Produkthandbuch
Revision A
McAfee Data Loss Prevention 10.0.100
Zur Verwendung mit McAfee ePolicy Orchestrator
COPYRIGHT
© 2016 Intel Corporation
MARKEN
Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee
Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat
Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee
TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen
Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
LIZENZINFORMATIONEN
LIZENZVEREINBARUNG
HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE
ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN
SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER
LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE,
DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET
HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT
EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN
HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK.
2
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Inhaltsverzeichnis
Einleitung
Informationen zu diesem Handbuch
Zielgruppe . . . . . . .
Konventionen . . . . . .
Quellen für Produktinformationen .
1
9
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . 9
. . 9
. . 9
. 10
Produktübersicht
11
Was ist McAfee DLP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wichtigste Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der
Wechselspeichermedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise der Client-Software . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint unter Microsoft Windows . . . . . . . . . . . . . . . . . . .
McAfee DLP Endpoint unter OS X . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Discover: Scannen von Dateien und Repositorys . . . . . . . . . . . . . . . .
Unterstützte Repositorys . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scan-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent – Schützen von E-Mails und Web-Datenverkehr . . . . . . . . . . . . .
Schützen des E-Mail-Verkehrs . . . . . . . . . . . . . . . . . . . . . . . . . .
Schützen des Web-Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent for Mobile Email – Schützen von mobiler E-Mail . . . . . . . . . . . . .
Interaktion mit anderen McAfee-Produkten . . . . . . . . . . . . . . . . . . . . . . .
11
12
12
14
15
16
17
18
19
19
20
20
21
21
22
Bereitstellung und Installation
2
Planen der Bereitstellung
25
Bereitstellungsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Optionen für McAfee DLP Endpoint und Device Control . . . . . . . . . . . . . . . .
McAfee DLP Discover-Optionen . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent-Optionen . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellungsszenarien . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen Ihrer DLP-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP-Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Der McAfee DLP-Schutzprozess . . . . . . . . . . . . . . . . . . . . . . . . .
Richtlinien-Workflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bewährte Methode: McAfee DLP Discover-Workflow . . . . . . . . . . . . . . . . .
Gemeinsam genutzte Richtlinienkomponenten . . . . . . . . . . . . . . . . . . .
Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Von McAfee DLP verwendete Standard-Ports . . . . . . . . . . . . . . . . . . . . . . .
Checkliste für die Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Installieren von McAfee DLP
26
26
27
27
28
29
29
30
34
35
36
36
36
38
41
Herunterladen von Produkterweiterungen und Installationsdateien . . . . . . . . . . . . . . 41
Installieren und Lizenzieren der McAfee DLP-Erweiterung . . . . . . . . . . . . . . . . . . 42
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
3
Inhaltsverzeichnis
Installieren der Erweiterung über den Software-Manager . . . . . . . . . . . . . . .
Manuelle Installation der Erweiterung . . . . . . . . . . . . . . . . . . . . . .
Lizenzieren von McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . .
Anwenden der Abwärtskompatibilität . . . . . . . . . . . . . . . . . . . . . . .
Konvertieren von Richtlinien und Migrieren von Daten . . . . . . . . . . . . . . . .
Installieren der McAfee DLP Endpoint- und Device Control-Client-Software . . . . . . . . . . .
Installieren des McAfee DLP Discover-Server-Pakets . . . . . . . . . . . . . . . . . . . .
Hinweise zum Durchführung eines Upgrades von McAfee DLP Discover . . . . . . . . .
Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO . . . . . . . . .
Manuelles Installieren oder Upgrade des Server-Pakets . . . . . . . . . . . . . . .
Überprüfen der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installieren von McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . . . . . . .
Installieren der Erweiterungen . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Netzwerkinformationen . . . . . . . . . . . . . . . . . . . . .
Installieren der Software auf einer virtuellen Appliance . . . . . . . . . . . . . . .
Installieren der Software auf einer Hardware-Appliance . . . . . . . . . . . . . . .
Ausführen des Einrichtungs-Assistenten und Registrieren bei McAfee ePO . . . . . . . .
Installieren des McAfee DLP Prevent for Mobile Email-Server-Pakets . . . . . . . . . .
Durchführen der Schritte nach der Installation . . . . . . . . . . . . . . . . . . . . . .
43
43
44
46
47
48
49
49
50
51
51
53
53
53
54
55
57
58
58
Konfiguration und Verwendung
4
Konfigurieren von Systemkomponenten
61
Konfigurieren von McAfee DLP im Richtlinienkatalog . . . . . . . . . . . . . . . . . . . .
Importieren oder Exportieren der McAfee DLP Endpoint-Konfiguration . . . . . . . . .
Client-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützung für Client-Konfigurationsparameter . . . . . . . . . . . . . . . . .
Konfigurieren der Client-Einstellungen . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . .
Schützen von Dateien mithilfe der Rechteverwaltung . . . . . . . . . . . . . . . . . . .
Zusammenwirken von McAfee DLP mit der Rechteverwaltung . . . . . . . . . . . . .
Unterstützte Rechteverwaltungs-Server . . . . . . . . . . . . . . . . . . . . . .
Definieren eines Servers für die Rechteverwaltung . . . . . . . . . . . . . . . . .
Dokumentieren von Ereignissen mithilfe von Nachweisen . . . . . . . . . . . . . . . . . .
Verwendung von Nachweisen und Nachweisspeicherung . . . . . . . . . . . . . . .
Erstellen von Nachweisordnern . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Einstellungen für Nachweisordner . . . . . . . . . . . . . . . . .
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen . . . . . . . . . . . . . .
Erstellen von Endbenutzerdefinitionen . . . . . . . . . . . . . . . . . . . . . .
Zuweisen von McAfee DLP-Berechtigungssätzen . . . . . . . . . . . . . . . . . .
Erstellen eines McAfee DLP-Berechtigungssatzes . . . . . . . . . . . . . . . . . .
Steuern des Zugriffs auf die McAfee DLP Prevent-Funktionen . . . . . . . . . . . . . . . .
Verhindern der Anzeige von Appliances in der Systemstruktur für Benutzer . . . . . . .
Zulassen der Richtlinienbearbeitung durch Benutzer . . . . . . . . . . . . . . . . .
Steuern des Zugriffs auf die Funktionen der Appliance-Verwaltung . . . . . . . . . . .
Arbeiten mit McAfee DLP Prevent-Richtlinien . . . . . . . . . . . . . . . . . . . . . . .
Festlegen der Einstellungen für das Verbindungszeitlimit . . . . . . . . . . . . . . .
Angeben der maximalen Verschachtelungsebene archivierter Anhänge . . . . . . . . .
Hinzufügen zusätzlicher MTAs, die E-Mails zustellen können . . . . . . . . . . . . .
Zustellen von E-Mails nach dem Round-Robin-Prinzip . . . . . . . . . . . . . . . .
Einschränken von Verbindungen auf bestimmte Hosts oder Netzwerke . . . . . . . . .
Aktivieren von TLS für ein- oder ausgehende Nachrichten . . . . . . . . . . . . . .
Verwenden von externen Authentifizierungs-Servern . . . . . . . . . . . . . . . .
Die Richtlinie Allgemeine Appliance-Verwaltung . . . . . . . . . . . . . . . . . .
Bearbeiten der Email Gateway-Richtlinie für die Zusammenarbeit mit McAfee DLP Prevent
Integrieren von McAfee DLP Prevent in die Web-Umgebung . . . . . . . . . . . . . .
4
McAfee Data Loss Prevention 10.0.100
62
62
63
66
66
67
68
69
69
70
71
71
74
74
75
76
77
78
81
81
81
82
83
84
84
84
85
85
86
87
91
91
93
Produkthandbuch
Inhaltsverzeichnis
Funktionen von McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Schutz von Wechselspeichermedien
95
97
Schützen von Geräten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Verwalten von Geräten mit Geräteklassen . . . . . . . . . . . . . . . . . . . . . . . . 99
Definieren einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Ermitteln einer GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Erstellen einer Geräteklasse . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Strukturieren von Geräten mithilfe von Gerätedefinitionen . . . . . . . . . . . . . . . . . 101
Arbeiten mit Gerätedefinitionen . . . . . . . . . . . . . . . . . . . . . . . . 102
Geräteeigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Gerätesteuerungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
108
Erstellen einer Regel für Wechselspeichermedien . . . . . . . . . . . . . . . . .
109
Erstellen einer Plug-and-Play-Geräteregel . . . . . . . . . . . . . . . . . . . . 110
Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff . . . . . . . . . . . . . 111
Erstellen einer Festplatten-Geräteregel . . . . . . . . . . . . . . . . . . . . .
112
Erstellen einer Citrix-Geräteregel . . . . . . . . . . . . . . . . . . . . . . . . 113
Erstellen einer TrueCrypt-Geräteregel . . . . . . . . . . . . . . . . . . . . . . 114
Regeln für den Wechselspeicher-Dateizugriff . . . . . . . . . . . . . . . . . . . . . . 114
6
Klassifizieren vertraulicher Inhalte
117
Komponenten des Moduls Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Klassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren anhand des Dateiziels . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren anhand des Dateispeicherorts . . . . . . . . . . . . . . . . . . .
Textextrahierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kategorisierung von Anwendungen in McAfee DLP Endpoint . . . . . . . . . . . . .
Klassifizierungsdefinitionen und -kriterien . . . . . . . . . . . . . . . . . . . . . . .
Wörterbuchdefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Definitionen für erweiterte Muster . . . . . . . . . . . . . . . . . . . . . . .
Klassifizieren von Inhalten mit Dokumenteigenschaften oder Dateiinformationen . . . . .
Anwendungsvorlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eingebettete Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der manuellen Klassifizierung . . . . . . . . . . . . . . . . . . .
Registrierte Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Text in der Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen und Konfigurieren von Klassifizierungen . . . . . . . . . . . . . . . . . . . .
Erstellen einer Klassifizierung . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Klassifizierungskriterien . . . . . . . . . . . . . . . . . . . . . .
Hochladen von registrierten Dokumenten . . . . . . . . . . . . . . . . . . . .
Hochladen von Dateien zur Aufnahme von Text in die Whitelist . . . . . . . . . . . .
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint . . . . . . . . . . .
Erstellen von Inhalts-Fingerprinting-Kriterien . . . . . . . . . . . . . . . . . . .
Anwendungsbeispiel: Anwendungsbasiertes Fingerprinting . . . . . . . . . . . . .
Zuweisen von Berechtigungen für die manuelle Klassifizierung . . . . . . . . . . . .
Anwendungsbeispiel: Manuelle Klassifizierung . . . . . . . . . . . . . . . . . . .
Erstellen von Klassifizierungsdefinitionen . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer allgemeinen Klassifizierungsdefinition . . . . . . . . . . . . . . . .
Erstellen oder Importieren einer Wörterbuchdefinition . . . . . . . . . . . . . . .
Erstellen eines erweiterten Musters . . . . . . . . . . . . . . . . . . . . . . .
Erstellen einer URL-Listendefinition . . . . . . . . . . . . . . . . . . . . . . .
Anwendungsbeispiel: Einbinden des Titus-Clients bei der Nutzung von Drittanbieter-Tags . . . .
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien . .
McAfee Data Loss Prevention 10.0.100
117
118
119
121
121
122
123
125
126
127
127
128
130
131
132
132
133
133
134
134
135
135
136
137
137
138
139
139
140
141
142
142
143
Produkthandbuch
5
Inhaltsverzeichnis
7
Schützen vertraulicher Inhalte
147
Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Erstellen von Regeldefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Erstellen eines Netzwerk-Port-Bereichs . . . . . . . . . . . . . . . . . . . . .
148
Erstellen eines neuen Netzwerkadressbereichs . . . . . . . . . . . . . . . . . . 148
Erstellen einer E-Mail-Adresslistendefinition . . . . . . . . . . . . . . . . . . .
149
Erstellen einer Netzwerkdrucker-Definition . . . . . . . . . . . . . . . . . . . . 150
Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150
Datenschutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Regeln für den Schutz des Zugriffs auf Anwendungsdateien . . . . . . . . . . . . . 151
Zwischenablage-Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . 152
Cloud-Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
Regeln für den E-Mail-Schutz . . . . . . . . . . . . . . . . . . . . . . . . . 153
Mobil-E-Mail-Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . .
154
Regeln für den Schutz der Netzwerkkommunikation . . . . . . . . . . . . . . . . 155
Regeln für den Netzwerkfreigabe-Schutz . . . . . . . . . . . . . . . . . . . . . 155
Regeln für den Druckerschutz . . . . . . . . . . . . . . . . . . . . . . . . . 155
Regeln für den Wechselspeicherschutz . . . . . . . . . . . . . . . . . . . . . . 156
Regeln für den Bildschirmaufnahmeschutz . . . . . . . . . . . . . . . . . . . . 156
Web-Schutzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln . . . . . . 157
Aktionen für Datenschutzregeln . . . . . . . . . . . . . . . . . . . . . . . . 159
Gerätesteuerungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
161
Erkennungsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Anpassen von Endbenutzernachrichten . . . . . . . . . . . . . . . . . . . . . . . .
163
Für Regeltypen verfügbare Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . . 164
Erstellen und Konfigurieren von Regeln und Regelsätzen . . . . . . . . . . . . . . . . .
168
Erstellen eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Erstellen einer Regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Zuweisen von Regelsätzen zu Richtlinien . . . . . . . . . . . . . . . . . . . . . 169
Aktivieren, Deaktivieren oder Löschen von Regeln . . . . . . . . . . . . . . . . . 170
Sichern und Wiederherstellen einer Richtlinie . . . . . . . . . . . . . . . . . . . 170
Konfigurieren von Spalten für Regeln oder Regelsätze . . . . . . . . . . . . . . .
171
Erstellen einer Begründungsdefinition . . . . . . . . . . . . . . . . . . . . . . 171
Erstellen einer Benachrichtigungsdefinition . . . . . . . . . . . . . . . . . . . . 173
Anwendungsbeispiele für Regeln . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Anwendungsbeispiel: Geräteregeln für den Wechselspeicher-Dateizugriff mit einem in der
Whitelist befindlichen Prozess . . . . . . . . . . . . . . . . . . . . . . . . . 174
Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein Wechselspeichermedium . . 175
Anwendungsbeispiel: Blockieren und Aufladen eines iPhones mithilfe einer Plug-and-PlayGeräteregel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Anwendungsbeispiel: Brennen vertraulicher Informationen auf einen Datenträger verhindern
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
177
Anwendungsbeispiel: Ausgehende Nachrichten mit vertraulichen Inhalten blockieren, es sei
denn, sie werden an eine bestimmte Domäne gesendet . . . . . . . . . . . . . . . 178
Anwendungsbeispiel: Senden von persönlichen Finanzdaten für eine bestimmte Benutzergruppe
zulassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Anwendungsbeispiel: Anhänge gemäß ihrem Ziel als WEITERGABE-ERFORDERLICH klassifizieren
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
181
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
185
Schützen von Dateien mithilfe von Erkennungsregeln . . . . . . . . . . . . . . . . . . .
Funktionsweise des Erkennungs-Scans . . . . . . . . . . . . . . . . . . . . . . . .
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler . . . . . . . . . . . . . . . .
Erstellen und Definieren einer Erkennungsregel . . . . . . . . . . . . . . . . . .
Erstellen einer Planerdefinition . . . . . . . . . . . . . . . . . . . . . . . . .
6
McAfee Data Loss Prevention 10.0.100
185
186
187
188
188
Produkthandbuch
Inhaltsverzeichnis
Einrichten eines Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-Mail-Elemente . . . . .
9
Scannen von Daten mit McAfee DLP Discover
189
190
193
Auswählen des Scan-Typs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise von Inventar-Scans . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise von Klassifizierungs-Scans . . . . . . . . . . . . . . . . . . . .
Funktionsweise von Behebungs-Scans . . . . . . . . . . . . . . . . . . . . . .
Wichtige Überlegungen und Einschränkungen in Bezug auf Scans . . . . . . . . . . . . . .
Repositorys und Anmeldeinformationen für Scans . . . . . . . . . . . . . . . . . . . .
Verwenden von Definitionen und Klassifizierungen mit Scans . . . . . . . . . . . . . . . .
Verwenden von Regeln mit Scans . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Richtlinie für Scans . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Definitionen für Scans . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Regeln für Behebungs-Scans . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Inventar-Scans . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Klassifizierungs-Scans . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Behebungs-Scans . . . . . . . . . . . . . . . . . . . . . .
Durchführen von Scan-Vorgängen . . . . . . . . . . . . . . . . . . . . . . . . . .
Scan-Verhalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Analysieren von gescannten Daten . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwendung von OLAP in McAfee DLP Discover . . . . . . . . . . . . . . . . . .
Anzeigen von Scan-Ergebnissen . . . . . . . . . . . . . . . . . . . . . . . .
Analysieren der Scan-Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Inventarergebnissen . . . . . . . . . . . . . . . . . . . . . . .
193
194
194
195
196
197
198
199
200
200
205
206
206
207
208
209
210
211
211
211
213
214
Überwachen und Berichten
10
Vorfälle und operative Ereignisse
217
Überwachen und Melden von Ereignissen . . . . . . . . . . . . . . . . . . . . . . .
DLP-Ereignisverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Funktionsweise des Vorfalls-Managers . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sortieren und Filtern von Vorfällen . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Spaltenansichten . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Vorfallsfiltern . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen von Details zu Vorfällen . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Vorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren eines bestimmten Vorfalls . . . . . . . . . . . . . . . . . . . . .
Aktualisieren mehrerer Vorfälle . . . . . . . . . . . . . . . . . . . . . . . .
Ausgewählte Ereignisse per E-Mail senden . . . . . . . . . . . . . . . . . . . .
Verwalten von Beschriftungen . . . . . . . . . . . . . . . . . . . . . . . . .
Arbeiten mit Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen der Fallinformationen . . . . . . . . . . . . . . . . . . . . . . . . .
Zuweisen von Vorfällen zu einem Fall . . . . . . . . . . . . . . . . . . . . . .
Verschieben oder Entfernen von Vorfällen aus Fällen . . . . . . . . . . . . . . . .
Aktualisieren von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen/Entfernen von Beschriftungen zu/von Fällen . . . . . . . . . . . . . .
Löschen von Fällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Erfassen und Verwalten von Daten
217
218
218
220
221
221
222
223
224
224
225
225
226
227
228
228
228
229
229
230
230
231
232
233
Bearbeiten von Server-Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Inhaltsverzeichnis
Erstellen eines Tasks Ereignisse bereinigen . . . . . . . . . . . . . . . . . . . .
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung . . . . . . . . . .
Erstellen eines Tasks Prüfer festlegen . . . . . . . . . . . . . . . . . . . . . .
Überwachen der Task-Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen von Berichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Berichtstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Berichtsoptionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Vordefinierte Dashboards . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Datenzusammenfassungs-Server-Tasks . . . . . . . . . . . . . . .
12
Protokollierung und Überwachung in McAfee DLP Prevent
234
235
236
237
237
237
238
238
240
241
Ereignisberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent-Ereignisse . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Syslog mit McAfee DLP Prevent . . . . . . . . . . . . . . . . . .
Überwachen des Systemzustands und -status . . . . . . . . . . . . . . . . . . . . . .
Dashboard für die Appliance-Verwaltung . . . . . . . . . . . . . . . . . . . . .
Die Systemzustandskarten . . . . . . . . . . . . . . . . . . . . . . . . . .
Anzeigen des Status einer Appliance . . . . . . . . . . . . . . . . . . . . . .
Herunterladen der MIB- und der SMI-Datei . . . . . . . . . . . . . . . . . . . .
241
241
243
245
245
245
246
246
Verwaltung und Fehlerbehebung
13
McAfee DLP Endpoint-Diagnose
251
Diagnose-Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen des Agentenstatus . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen des Diagnose-Tools . . . . . . . . . . . . . . . . . . . . . . . . .
Optimieren von Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . .
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
255
Verwalten mit der McAfee DLP Prevent-Appliance-Konsole . . . . . . . . . . . . . . . .
Zugriff auf die Appliance-Konsole . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ändern der ursprünglichen Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . .
Modifizieren der Geschwindigkeits- und Duplexeinstellungen für Hardware-Appliances . . . . .
Verwalten von Hardware-Appliances mit dem RMM . . . . . . . . . . . . . . . . . . . .
Konfigurieren des RMM . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ausführen des Einrichtungs-Assistenten über den KVM-Remote-Dienst . . . . . . . . .
Bewährte Methode: Absichern des RMM . . . . . . . . . . . . . . . . . . . . .
Durchführen eines Upgrade oder einer erneuten Installation vom internen Installations-Image . .
Neustarten der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zurücksetzen der Appliance auf die Werkseinstellungen . . . . . . . . . . . . . . . . . .
Abmelden der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee DLP Prevent akzeptiert keine E-Mail . . . . . . . . . . . . . . . . . . . . . .
Ersetzen des Standardzertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fehlermeldungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines Minimum-Eskalations-Berichts (MER) . . . . . . . . . . . . . . . . . . .
A
8
251
252
253
253
255
256
256
257
257
258
258
259
259
261
261
261
262
262
263
266
Glossar
267
Index
271
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Einleitung
In diesem Handbuch finden Sie die erforderlichen Informationen für die Arbeit mit Ihrem
McAfee-Produkt.
Inhalt
Informationen zu diesem Handbuch
Quellen für Produktinformationen
Informationen zu diesem Handbuch
In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen
Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben.
Zielgruppe
Die Dokumentation wurde von McAfee nach eingehender Recherche mit Blick auf die Zielgruppe
verfasst.
Die Informationen in diesem Handbuch richten sich in erster Linie an:
•
Administratoren: Personen, die für die Implementierung und Durchsetzung des
Sicherheitsprogramms eines Unternehmens verantwortlich sind.
Konventionen
In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet.
Kursiv
Titel eines Buchs, Kapitels oder Themas; neuer Begriff; Hervorhebung
Fett
Hervorgehobener Text
Festbreite
Befehle und anderer Text, den der Benutzer eingibt; Code-Beispiel; angezeigte
Nachricht
Narrow Bold
Wörter der Produktoberfläche wie Optionen, Menüs, Schaltflächen und Dialogfelder
Hypertext-blau Link zu einem Thema oder einer externen Website
Hinweis: Zusätzliche Informationen, um einen Punkt hervorzuheben, den Leser an
etwas zu erinnern oder eine alternative Methode aufzuzeigen
Tipp: Best-Practice-Informationen
Vorsicht: Wichtiger Hinweis zum Schutz von Computersystemen,
Software-Installationen, Netzwerken, Unternehmen oder Daten
Warnung: Wichtiger Hinweis, um Verletzungen bei der Verwendung des
Hardware-Produkts zu vermeiden
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Einleitung
Quellen für Produktinformationen
Quellen für Produktinformationen
Im ServicePortal finden Sie Informationen zu veröffentlichten Produkten, unter anderem die
Produktdokumentation und technische Hilfsartikel.
Vorgehensweise
10
1
Rufen Sie das ServicePortal unter https://support.mcafee.com auf, und klicken Sie auf die
Registerkarte Knowledge Center.
2
Klicken Sie im Fenster Knowledge Base unter Inhaltsquelle auf Produktdokumentation.
3
Wählen Sie ein Produkt aus, und klicken Sie dann auf Suchen, um eine Liste der gewünschten
Dokumente anzuzeigen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
1
Produktübersicht
Datenlecks (engl. "data loss") entstehen, wenn vertrauliche oder private Informationen infolge nicht
autorisierter Kommunikation über Anwendungen, physische Geräte, Netzwerkprotokolle oder andere
Kanäle aus dem Unternehmen gelangen.
®
McAfee Data Loss Prevention (McAfee DLP) identifiziert und schützt Daten in Ihrem Netzwerk. Anhand
von McAfee DLP können Sie nachvollziehen, welche Arten von Daten in Ihrem Netzwerk vorhanden
sind, wie auf die Daten zugegriffen wird und wie diese übertragen werden, und ob die Daten
vertrauliche Informationen erhalten. Mit McAfee DLP können Sie ohne langwieriges "Herumprobieren"
wirksame Schutzrichtlinien erstellen und implementieren.
Inhalt
Was ist McAfee DLP?
Wichtigste Funktionen
Funktionsweise
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der
Wechselspeichermedien
McAfee DLP Discover: Scannen von Dateien und Repositorys
McAfee DLP Prevent – Schützen von E-Mails und Web-Datenverkehr
McAfee DLP Prevent for Mobile Email – Schützen von mobiler E-Mail
Interaktion mit anderen McAfee-Produkten
Was ist McAfee DLP?
McAfee DLP ist eine Suite von Produkten, die jeweils unterschiedliche Arten von Daten in Ihrem
Netzwerk schützen.
•
McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint): Dieses Produkt überprüft
und kontrolliert Inhalte und Benutzeraktionen auf Endgeräten.
•
McAfee Device Control: Dieses Produkt steuert die Verwendung von Wechselspeichermedien an
Endgeräten.
•
McAfee Data Loss Prevention Discover (McAfee DLP Discover): Dieses Produkt scannt
Datei-Repositorys, um vertrauliche Daten zu erkennen und zu schützen.
•
McAfee Data Loss Prevention Prevent (McAfee DLP Prevent): Dieses Produkt arbeitet mit
dem Web-Proxy oder MTA-Server zusammen, um den Web- und E-Mail-Verkehr zu schützen.
•
McAfee Data Loss Prevention Prevent for Mobile Email (McAfee DLP Prevent for Mobile
Email): Arbeitet mit MobileIron zur Überwachung von Microsoft Exchange ActiveSync- oder
Microsoft Office 365 ActiveSync-Anfragen.
®
®
®
®
®
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
11
1
Produktübersicht
Wichtigste Funktionen
Wichtigste Funktionen
McAfee DLP bietet die folgenden Funktionen.
Erweiterter Schutz: Diese Funktion ermöglicht Fingerprinting, Klassifizierung und
Dateikennzeichnung, um den Schutz vertraulicher, unstrukturierter Daten sicherzustellen, z. B. von
geistigem Eigentum und Geschäftsgeheimnissen.
McAfee DLP bietet umfassenden Schutz vor Datenlecks über sämtliche potenziellen Kanäle: u. a.
Wechselspeichermedien, die Cloud, E-Mail, Instant Messaging, das Internet, Drucken, Zwischenablage,
Bildschirmaufzeichnungen und Filesharing-Anwendungen.
Compliance-Erzwingung: Durch die Kontrolle typischer Aktionen der Endbenutzer, z. B. Senden und
Empfangen von E-Mails, Veröffentlichung von Beiträgen in der Cloud und Herunterladen auf
Wechselspeichermedien, wird durchgehende Compliance sichergestellt.
Datei-Scans und -Erkennung: Auf lokalen Endgeräten, in freigegebenen Repositorys oder in der
Cloud gespeicherte Dateien werden zur Erkennung von vertraulichen Daten gescannt.
Schulung der Endbenutzer: Die Endbenutzer erhalten direkte Rückmeldungen in Form von
Pop-Up-Meldungen, die dazu beitragen, im Unternehmen ein Sicherheitsbewusstsein und eine
Sicherheitskultur zu schaffen.
®
®
Zentrale Verwaltung: Durch die systemeigene Integration in die McAfee ePolicy Orchestrator
(McAfee ePO ) -Software wird die Richtlinien- und Vorfallverwaltung optimiert.
™
Funktionsweise
Alle McAfee DLP-Produkte erkennen vertrauliche Daten und unerwünschte Benutzeraktivitäten, führen
bei Richtlinienverletzungen Aktionen aus und erstellen bei Verstößen entsprechende Vorfälle.
Erkennen und identifizieren
McAfee DLP identifiziert Daten in Ihrem Netzwerk, wenn diese Daten:
•
von einem Benutzer verwendet werden oder dieser darauf zugreift,
•
innerhalb des Netzwerks oder über die Grenzen des Netzwerks hinweg übermittelt werden,
•
sich auf einem lokalen Dateisystem oder in einem freigegebenen Repository befinden.
Reagieren und schützen
Die Software kann für vertrauliche Daten verschiedene Aktionen durchführen, z. B.:
•
Vorfall melden
•
Benutzerzugriff blockieren
•
Dateien verschieben oder verschlüsseln
•
E-Mails, in denen sich die Daten befinden, isolieren
Überwachen und melden
Wenn Richtlinienverletzungen erkannt werden, erstellt McAfee DLP einen Vorfall, der die Details dieser
Verletzung enthält.
12
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Produktübersicht
Funktionsweise
1
Kategorisierung von Daten
McAfee DLP erfasst Daten und kategorisiert diese anhand von Vektoren: Bewegte Daten, Ruhende
Daten und Verwendete Daten.
Datenvektor
Beschreibung
Verwendete
Daten
Aktionen von Benutzern auf Endgeräten,
• McAfee DLP Endpoint
beispielsweise das Kopieren von Daten und
• Device Control
Dateien auf Wechselspeichermedien, das
Drucken von Dateien über einen lokalen Drucker
und das Erstellen von Bildschirmaufnahmen.
Bewegte Daten
Datenverkehr, der aktuell im Netzwerk
stattfindet. Der Datenverkehr wird analysiert,
kategorisiert und in der McAfee DLP-Datenbank
gespeichert.
Ruhende Daten
Produkte
• McAfee DLP Prevent
• McAfee DLP Prevent for Mobile
Email
Daten, die sich in Netzwerkfreigaben und
• McAfee DLP Discover
Repositorys befinden. McAfee DLP kann ruhende
• McAfee DLP
Daten scannen, verfolgen und
Behebungsmaßnahmen für diese durchführen.
Endpoint-Erkennung
Interaktion der McAfee DLP-Produkte
Wenn Sie alle McAfee DLP-Produkte installieren, steht Ihnen der gesamte Funktionsumfang der
Produkt-Suite zur Verfügung.
Dieses Diagramm veranschaulicht ein vereinfachtes Netzwerk, in dem alle McAfee DLP-Produkte sowie
McAfee ePO bereitgestellt sind.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
13
1
Produktübersicht
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der Wechselspeichermedien
Referenz Beschreibung
Datenvektor
1
McAfee ePO übernimmt die Richtlinienkonfiguration und die
Vorfallverwaltung für alle McAfee DLP-Produkte.
Nicht zutreffend
2
McAfee DLP Endpoint und Device Control überwachen und
beschränken die Nutzung von Daten durch die Benutzer. McAfee DLP
Endpoint scannt außerdem die Dateisysteme und E-Mails auf
Endgeräten.
• Verwendete
Daten
3
McAfee DLP Discover scannt Dateien aus lokalen oder in der Cloud
befindlichen Repositorys auf vertrauliche Informationen.
Ruhende Daten
4
• McAfee DLP Prevent empfängt E-Mails von MTA-Servern. Die
Anwendung analysiert die Nachrichten, fügt ausgehend von der
konfigurierten Richtlinie entsprechende Header hinzu und sendet die
E-Mails anschließend an einen bestimmten MTA-Server, der auch als
der Smart-Host bezeichnet wird.
Bewegte Daten
• Ruhende Daten
• McAfee DLP Prevent empfängt den Web-Datenverkehr von
Web-Proxy-Servern. Die Anwendung analysiert den
Web-Datenverkehr, bestimmt, ob dieser zugelassen oder blockiert
werden soll, und sendet den Datenverkehr anschließend an den
entsprechenden Web-Proxy-Server zurück.
• McAfee DLP Prevent for Mobile Email empfängt E-Mails von einem
MobileIron Sentry-Server. Die Anwendung analysiert die E-Mails und
Anhänge und legt gemäß den Mobilgeräte-Schutzregeln Vorfälle an
oder speichert Nachweise.
McAfee DLP Endpoint und Device Control: Steuern der
Endgeräteinhalte und der Wechselspeichermedien
McAfee DLP Endpoint kontrolliert, wie Benutzer im Unternehmen mit vertraulichen Inhalten auf ihren
Computern umgehen.
McAfee Device Control verhindert die nicht autorisierte Verwendung von Wechselspeichermedien.
McAfee DLP Endpoint umfasst alle Funktionen von Device Control und schützt zusätzlich vor
Datenlecks über zahlreiche potenzielle Kanäle.
Wichtigste Funktionen
McAfee Device Control:
•
Steuert, welche Daten auf Wechseldatenträger kopiert werden können, bzw. steuert diese
Datenträger direkt. Geräte können vollständig blockiert oder mit einem Schreibschutz versehen
werden.
•
Blockiert die Ausführung von ausführbaren Dateien auf Wechselspeichermedien. Für unverzichtbare
ausführbare Dateien, wie z. B. eine Virenschutzanwendung, können Ausnahmen festgelegt werden.
•
Bietet Schutz für USB-Laufwerke, Smartphones, Bluetooth-Geräte und andere
Wechselspeichermedien.
McAfee DLP Endpoint schützt vor Datenlecks bei:
14
•
Zwischenablage-Software
•
Cloud-Anwendungen
•
E-Mail (einschließlich an Mobilgeräte gesendete E-Mails)
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Produktübersicht
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der Wechselspeichermedien
•
Netzwerkfreigaben
•
Drucker
•
Bildschirmaufnahmen
•
Bestimmten Anwendungen und Browsern
•
Web-Veröffentlichungen
1
Das McAfee DLP-Klassifizierungsmodul wendet Definitionen und Klassifizierungskriterien an, die den zu
schützenden Inhalt sowie Ort und Zeit der Anwendung des Schutzes definieren. Schutzregeln wenden
die Klassifizierungskriterien und weitere Definitionen zum Schutz des vertraulichen Inhalts an.
Regeln
Unterstützt von
Datenschutz
• McAfee DLP Endpoint
• Device Control (nur Wechselspeicher-Schutzregeln)
• McAfee DLP Prevent (E-Mail- und Web-Schutzregeln)
Gerätesteuerung
• McAfee DLP Endpoint
• Device Control
Erkennung
• McAfee DLP Endpoint (Endpunkterkennung)
• McAfee DLP Discover
Der McAfee DLP Endpoint-Erkennungs-Crawler wird lokal auf dem Endgerät ausgeführt. Er durchsucht
das lokale Dateisystem und die E-Mail-Speicherdateien und wendet Richtlinien zum Schutz
vertraulicher Inhalte an.
Funktionsweise
McAfee DLP Endpoint schützt vertrauliche Unternehmensinformationen:
•
Wendet Richtlinien an, die aus Definitionen, Klassifizierungen, Regelsätzen,
Endpunkt-Client-Konfigurationen und Zeitplänen für die Endpunkterkennung bestehen.
•
Überwacht die Richtlinien und blockiert ggf. definierte Aktionen, bei denen vertrauliche Inhalte
verarbeitet werden.
•
Verschlüsselt vertrauliche Inhalte, ehe die weitere Verarbeitung der Aktion gestattet wird.
•
Erstellt Berichte für die Überprüfung und Kontrolle des Prozesses. Bei Bedarf können vertrauliche
Inhalte als Nachweise gespeichert werden.
Funktionsweise der Client-Software
Die McAfee DLP Endpoint-Client-Software wird als McAfee Agent-Plug-In bereitgestellt und erzwingt
die in der McAfee DLP-Richtlinie definierten Richtlinien. Die McAfee DLP Endpoint-Client-Software
überprüft die zu überwachenden Benutzeraktivitäten, um das Kopieren oder Übertragen vertraulicher
Daten durch nicht autorisierte Benutzer zu überwachen, zu steuern und zu verhindern. Anschließend
erzeugt sie Ereignisse, die von der McAfee ePO-Ereignisanalyse aufgezeichnet werden.
Ereignisanalyse
Von der McAfee DLP Endpoint-Client-Software generierte Ereignisse werden an die McAfee
ePO-Ereignisanalyse gesendet und in den Tabellen in der McAfee ePO-Datenbank erfasst. Ereignisse
werden zur weiteren Analyse in der Datenbank gespeichert und von anderen Systemkomponenten
verwendet.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
15
1
Produktübersicht
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der Wechselspeichermedien
Online-/Offline-Betrieb
Sie können verschiedene Geräte- und Schutzregeln anwenden, je nachdem, ob der verwaltete
Computer online (mit dem Unternehmensnetzwerk verbunden) oder offline (nicht mit dem
Unternehmensnetzwerk verbunden) ist. Bei einigen Regeln können Sie zudem zwischen Computern im
Netzwerk und Computern, die über VPN mit dem Netzwerk verbunden sind, unterscheiden.
McAfee DLP Endpoint unter Microsoft Windows
Windows-Computer können entweder durch McAfee Device Control oder McAfee DLP Endpoint
geschützt werden. Die McAfee DLP Endpoint-Client-Software arbeitet mit leistungsstarken
Erkennungstechnologien, Textmustererkennung und vordefinierten Wörterbüchern. Sie erkennt
vertrauliche Inhalte und bietet durch Geräteverwaltung und Verschlüsselung zusätzliche
Kontrollebenen.
IRM-Software (Information Rights Management) schützt vertrauliche Dateien durch Verschlüsselung
und Verwaltung der Zugriffsberechtigungen. McAfee DLP Endpoint unterstützt Microsoft Rights
Management Service (RMS) und Seclore FileSecure als zusätzliche Methoden zum Datenschutz.
Üblicherweise wird das Kopieren von nicht IRM-geschützten Dateien verhindert.
Klassifizierungs-Software überprüft, ob E-Mails und andere Dateien konsistent klassifiziert und zum
Schutz mit einer Beschriftung versehen sind. McAfee DLP Endpoint lässt sich in Titus Message
Classification und Boldon James Email Classifier für Microsoft Outlook integrieren, sodass Sie
E-Mail-Schutzregeln auf der Grundlage der angewendeten Klassifizierungen erstellen können. Die
Anwendung kann auch über das Titus SDK in andere Titus-Klassifizierungs-Clients integriert werden,
sodass Sie weitere Schutzregeln erstellen können, die auf den angewendeten Klassifizierungen
beruhen.
Unterstützung von Sprachausgabe
Das weit verbreitete Sprachausgabeprogramm JAWS (Job Access With Sound) für Computer-Benutzer
mit Sehschwäche wird auf Endpunkt-Computern unterstützt. Unterstützt werden folgende McAfee DLP
Endpoint-Funktionen:
16
•
Pop-Up-Benachrichtigung für Endbenutzer: Wenn für das Pop-Up-Dialogfeld festgelegt ist,
dass es manuell geschlossen werden muss (im DLP-Richtlinien-Manager), wird der Text des
Dialogfelds vorgelesen, damit Personen mit Sehschwäche die Schaltflächen und Links nutzen
können.
•
Begründungsdialogfeld für Endbenutzer: Im Kombinationsfeld kann mit der Tabulatortaste
navigiert werden, und die gewünschte Begründung kann mit den Pfeiltasten ausgewählt werden.
•
Registerkarte Benachrichtigungsverlauf der Endbenutzerkonsole: Bei Auswahl dieser
Registerkarte wird von JAWS der Text "Notification history tab selected" gesprochen ("Registerkarte
'Benachrichtigungsverlauf' ausgewählt"; Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein
Inhalt vorhanden, für den Aktionen durchgeführt werden können. Alle im rechten Fensterbereich
aufgeführten Informationen werden vorgelesen.
•
Registerkarte Erkennung der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von
JAWS der Text "Discovery tab selected" gesprochen ("Registerkarte 'Erkennung' ausgewählt";
Sprachausgabe ist nur auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen
durchgeführt werden können. Alle im rechten Fensterbereich aufgeführten Informationen werden
vorgelesen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Produktübersicht
McAfee DLP Endpoint und Device Control: Steuern der Endgeräteinhalte und der Wechselspeichermedien
1
•
Registerkarte Tasks der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS
der Text "Tasks tab selected" gesprochen ("Registerkarte 'Tasks' ausgewählt"; Sprachausgabe ist
nur auf Englisch verfügbar). Mit der Tabulatortaste kann durch alle Schritte navigiert werden.
Hierbei werden die jeweils erforderlichen Anweisungen vorgelesen.
•
Registerkarte Info der Endbenutzerkonsole: Bei Auswahl dieser Registerkarte wird von JAWS
der Text "About tab selected" gesprochen ("Registerkarte 'Info' ausgewählt"; Sprachausgabe ist nur
auf Englisch verfügbar). Es ist kein Inhalt vorhanden, für den Aktionen durchgeführt werden
können. Alle im rechten Fensterbereich aufgeführten Informationen werden vorgelesen.
Mehrere Benutzersitzungen
Die McAfee DLP Endpoint-Client-Software unterstützt die schnelle Benutzerumschaltung mit mehreren
Benutzersitzungen unter den Windows-Betriebssystemversionen, die diese Funktion unterstützen. Die
Unterstützung von virtuellen Desktops kann auch zu mehreren Benutzersitzungen auf einem
Host-Computer führen.
Endpoint-Konsole
Die Endpoint-Konsole stellt Benutzern Informationen bereit und erleichtert die Selbsthilfe bei
Problemen. Sie wird auf der Registerkarte Client-Konfiguration | Benutzeroberflächendienst
konfiguriert.
Auf Windows-Computern wird die Konsole über das Taskleistensymbol durch Auswahl von Funktionen
verwalten | DLP Endpoint-Konsole aktiviert. Die vollständig konfigurierte Konsole verfügt über vier
Registerkarten:
•
Benachrichtigungsverlauf: Hier werden Ereignisse sowie Details aggregierter Ereignisse
angezeigt.
•
Erkennung: Hier werden Details der Erkennungs-Scans angezeigt.
•
Aufgaben: Hier können ID-Codes generiert und Freigabecodes für die Agentenumgehung sowie
die Freigabe aus der Quarantäne generiert werden.
•
Info: Hier werden Informationen zum Agentenstatus, zur aktiven Richtlinie, zur Konfiguration
sowie zur Computer-Zuweisungsgruppe (einschließlich Revisions-ID-Nummern) angezeigt.
McAfee DLP Endpoint unter OS X
McAfee DLP Endpoint for Mac verhindert die nicht autorisierte Verwendung von Wechseldatenträgern
und bietet Schutz für vertrauliche Inhalte auf dem Endpunkt-Computer und auf Netzwerkfreigaben.
McAfee DLP Endpoint for Mac unterstützt Regeln für Wechselspeicher und Plug-and-Play-Geräte sowie
die folgenden Datenschutzregeln:
•
Netzwerkfreigabe-Schutzregeln
•
Wechselspeicherschutzregeln
•
Regeln für den Schutz des Zugriffs auf Anwendungsdateien
Sie können vertrauliche Inhalte genau wie auf Windows-Computern mithilfe von Klassifizierungen
bezeichnen, registrierte Dokumente und die Kennzeichnung (anhand von Tags) werden jedoch nicht
unterstützt. Manuelle Klassifizierungen werden erkannt, können jedoch nicht festgelegt oder in der
Benutzeroberfläche angezeigt werden. Die Textextrahierung sowie die Nachweisverschlüsselung und
Definitionen für unternehmensbezogene Begründungen werden unterstützt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
17
1
Produktübersicht
McAfee DLP Discover: Scannen von Dateien und Repositorys
Endpoint-Konsole
Auf Mac-Endgeräten wird die Konsole über das McAfee-Menulet in der Statusleiste aktiviert. Das
Dashboard ist in andere installierte McAfee-Software wie McAfee VirusScan for Mac integriert und
zeigt eine Übersicht über den Status aller installierten McAfee-Software-Produkte an. Auf der Seite
Ereignisprotokoll werden die letzten McAfee-Software-Ereignisse angezeigt. Klicken Sie auf einen
Eintrag, um die entsprechenden Details anzuzeigen.
®
®
Abbildung 1-1 Anzeige von Endgeräten in McAfee DLP Endpoint for Mac
Sie aktivieren den Bildschirm für die Agentenumgehung, indem Sie im Menulet Voreinstellungen
auswählen.
McAfee DLP Discover: Scannen von Dateien und Repositorys
McAfee DLP Discover wird auf Microsoft Windows-Servern ausgeführt und scannt
Netzwerkdateisysteme, um vertrauliche Dateien und Daten zu erkennen und zu schützen.
McAfee DLP Discover ist ein skalierbares, erweiterbares Software-System, das sich für Netzwerke
jeder Größe eignet. Sie können die McAfee DLP Discover-Software auf einer beliebigen Anzahl von
Servern im Netzwerk bereitstellen.
Wichtigste Funktionen
McAfee DLP Discover kann für folgende Zwecke eingesetzt werden:
18
•
Erkennen und Klassifizieren von vertraulichen Inhalten
•
Verschieben oder Kopieren von vertraulichen Inhalten
•
Integration mit Microsoft Rights Management Service, um Dateien zu schützen
•
Automatisieren von IT-Tasks wie Auffinden von leeren Dateien, Ermitteln von Berechtigungen und
Auflisten von Dateien, die innerhalb eines bestimmten Zeitraums geändert wurden
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Produktübersicht
McAfee DLP Discover: Scannen von Dateien und Repositorys
1
Funktionsweise
®
McAfee ePO verwendet McAfee Agent, um die McAfee DLP Discover-Software auf einem
Erkennungs-Server (einem hierfür festgelegten Windows-Server) zu installieren und bereitzustellen.
McAfee ePO wendet die Scan-Richtlinie auf Erkennungs-Server an, die das Repository zum geplanten
Zeitpunkt scannen. Die erfassten Daten und die für Dateien ausgeführten Aktionen hängen vom
jeweiligen Scan-Typ und der Scan-Konfiguration ab.
Mit McAfee ePO können Sie u. a. die folgenden Konfigurations- und Analyse-Tasks durchführen:
•
Anzeigen der verfügbaren Erkennungs-Server
•
Konfigurieren und Planen von Scans
•
Konfigurieren von Richtlinienelementen wie Definitionen, Klassifizierungen und Regeln
•
Überprüfen der Datenanalyse- und Inventarergebnisse
•
Überprüfen der von Behebungs-Scans generierten Vorfälle
Unterstützte Repositorys
McAfee DLP Discover unterstützt lokale und Cloud-Repositorys.
•
Box
•
CIFS (Common Internet File System)
•
SharePoint 2010 und 2013
ESS-Websites (SharePoint Enterprise Search Center) werden nicht unterstützt. Eine ESS-Website ist
eine zusammengefasste Übersicht, die keine Dateien, sondern lediglich Verknüpfungen mit den
ursprünglichen Dateien enthält. Scannen Sie im Fall von ESS-Websites die tatsächlichen
Website-Sammlungen oder die gesamte Web-Anwendung.
Scan-Typen
McAfee DLP Discover unterstützt drei Arten von Scans: Inventar-, Klassifizierungs- und
Behebungs-Scans.
Inventar-Scans
Inventar-Scans liefern einen allgemeinen Überblick über die im Repository enthaltenen Dateitypen. Bei
einem solchen Scan werden lediglich Metadaten erfasst, die eigentlichen Dateien werden nicht
abgerufen. McAfee DLP Discover sortiert gescannte Metadaten nach verschiedenen Inhaltstypen und
analysiert Attribute wie Dateigröße, Speicherort und Dateierweiterung. Sie können mithilfe dieses
Scans eine Übersicht über Ihr Repository erstellen oder ihn für IT-bezogene Aufgaben verwenden,
z. B. zum Auffinden selten genutzter Dateien.
Klassifizierungs-Scans
Anhand von Klassifizierungs-Scans können Sie ermitteln, welche Arten von Daten sich im untersuchten
Repository befinden. Durch den Abgleich gescannter Inhalte mit Klassifizierungen wie Textmustern
oder Wörterbüchern können Sie Datenmuster analysieren, um optimierte Behebungs-Scans zu
erstellen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
19
1
Produktübersicht
McAfee DLP Prevent – Schützen von E-Mails und Web-Datenverkehr
Behebungs-Scans
Mit Behebungs-Scans wird nach Daten gesucht, die eine Richtlinie verletzen. Sie können Dateien
überwachen, eine Richtlinie für Rechteverwaltung anwenden sowie Dateien an einen Exportspeicherort
kopieren oder verschieben. Alle Aktionen können Vorfälle generieren, die an die Ereignisverwaltung in
McAfee ePO gemeldet werden.
McAfee DLP Prevent – Schützen von E-Mails und WebDatenverkehr
McAfee DLP Prevent lässt sich in einen MTA-Server oder Web-Proxy integrieren, um E-Mails und
Web-Datenverkehr zu überwachen und potenzielle Datenleckvorfälle zu verhindern.
Schützen des E-Mail-Verkehrs
McAfee DLP Prevent kann mit jedem MTA zusammenarbeiten, der die Header-Untersuchung
unterstützt.
Wichtigste Funktionen
McAfee DLP Prevent interagiert mit Ihrem E-Mail-Verkehr, generiert Vorfälle und erfasst diese in
McAfee ePO für die anschließende Fallüberprüfung.
Funktionsweise
Abbildung 1-2 E-Mail-Verkehr-Workflow in McAfee DLP Prevent
1 Benutzer: Eingehende oder ausgehende E-Mail-Nachrichten werden an den MTA-Server gesendet.
2 MTA-Server: E-Mail-Nachrichten werden an McAfee DLP Prevent weitergeleitet.
3 McAfee DLP Prevent: SMTP-Verbindungen werden vom MTA-Server empfangen, und folgende
Vorgänge werden ausgeführt:
• Zerlegen der E-Mail-Nachricht in ihre Bestandteile
• Extrahieren des Texts für Fingerprinting und Regelanalyse
• Analysieren der E-Mail-Nachricht, um Richtlinienverletzungen zu erkennen
• Hinzufügen eines X-RCIS-Aktions-Headers
• Senden der Nachricht an den konfigurierten Smart-Host.
In diesem Beispiel ist der konfigurierte Smart-Host der ursprüngliche MTA.
4 MTA-Server: Der MTA-Server führt auf der Grundlage der aus dem X-RCIS-Aktions-Header
abgerufenen Informationen eine Aktion für die E-Mail-Nachricht aus.
20
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Produktübersicht
McAfee DLP Prevent for Mobile Email – Schützen von mobiler E-Mail
1
Schützen des Web-Datenverkehrs
Wichtigste Funktionen
McAfee DLP Prevent empfängt ICAP-Verbindungen von einem Web-Proxy-Server, analysiert den Inhalt
und ermittelt, ob der Datenverkehr zugelassen oder blockiert werden soll.
Funktionsweise
Abbildung 1-3 Ablauf des Web-Datenverkehrs in McAfee DLP Prevent
Schritt Beschreibung
1
Benutzer senden Web-Datenverkehr an den Web-Proxy-Server.
2
Der Web-Proxy-Server leitet den Web-Datenverkehr an McAfee DLP Prevent weiter.
3
McAfee DLP Prevent untersucht den Web-Datenverkehr und sendet eine Antwort zurück an
den Web-Proxy-Server, um den Datenverkehr an den Ziel-Server durchzulassen und den
Zugriff zu verweigern.
Der Web-Proxy-Server sendet den untersuchten Web-Datenverkehr an das jeweilige Ziel.
McAfee DLP Prevent for Mobile Email – Schützen von mobiler EMail
McAfee DLP Prevent for Mobile Email kann in MobileIron MDM (Mobile Device Management)-Server
eingebunden werden, um an Mobilgeräte gesendete E-Mails zu analysieren.
Wichtigste Funktionen
McAfee DLP Prevent for Mobile Email analysiert den E-Mail-Verkehr von Microsoft Exchange ActiveSync
oder Microsoft Office 365 ActiveSync, generiert Vorfälle und erfasst die Vorfälle und Nachweise für
weitere Überprüfungen der Fälle in McAfee ePO.
Funktionsweise
Mithilfe der ActiveSync-Funktion in Microsoft Exchange können mobile E-Mail-Anwendungen eine
direkte Verbindung mit Exchange herstellen, um E-Mails zu senden und zu empfangen. Bei diesem
E-Mail-Verkehr wird kein SMTP verwendet, daher ist eine Erkennung durch den McAfee DLP
Prevent-E-Mail-Schutz nicht möglich. Der MobileIron MDM Sentry-Server fungiert als
ActiveSync-Front-End-Proxy, der mobilen E-Mail-Verkehr abfängt. Er leitet die E-Mail-Nachrichten an
den McAfee DLP-Server für Mobilgeräte weiter; dort werden die E-Mails und die zugehörigen Anhänge
entsprechend den im DLP-Richtlinien-Manager definierten Regeln für Mobilgeräteschutz analysiert.
Vertrauliche Inhalte lösen im DLP-Vorfallsmanager ein Ereignis für die nachfolgende Fallprüfung aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
21
1
Produktübersicht
Interaktion mit anderen McAfee-Produkten
Interaktion mit anderen McAfee-Produkten
McAfee DLP lässt sich in andere McAfee-Produkte integrieren und erweitert damit den
Funktionsumfang der Produkt-Suite.
Produkt
Beschreibung
McAfee ePO
Alle McAfee DLP-Produkte können zur Konfiguration, Verwaltung und
Überwachung in McAfee ePO integriert werden.
McAfee Email Gateway
Kann für den E-Mail-Schutz in McAfee DLP Prevent integriert werden.
McAfee File and
Removable Media
Protection (FRP)
Kann für die Verschlüsselung vertraulicher Dateien in McAfee DLP Endpoint
integriert werden. Dies wird von McAfee DLP Endpoint for Mac nicht
unterstützt.
®
®
McAfee Logon Collector Kann für die Bereitstellung von Benutzerauthentifizierungsdaten in McAfee
DLP Prevent integriert werden.
®
McAfee Web Gateway
®
22
Kann für den Web-Schutz in McAfee DLP Prevent integriert werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Bereitstellung und Installation
Ermitteln Sie die für Ihre Umgebung optimale Bereitstellungsoption, und
installieren Sie dann die Erweiterung. Installieren Sie abhängig von Ihren
McAfee DLP-Produkten die McAfee DLP Endpoint-Clients für Endpunkte, das
McAfee DLP Discover-Server-Paket oder die McAfee DLP Prevent-Erweiterung
und -Appliance.
Kapitel 2
Kapitel 3
Planen der Bereitstellung
Installieren von McAfee DLP
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
23
Bereitstellung und Installation
24
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
2
Planen der Bereitstellung
Bereiten Sie Ihre Umgebung für die Installation vor.
Inhalt
Bereitstellungsoptionen
Planen Ihrer DLP-Richtlinien
Systemanforderungen
Von McAfee DLP verwendete Standard-Ports
Checkliste für die Bereitstellung
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
25
2
Planen der Bereitstellung
Bereitstellungsoptionen
Bereitstellungsoptionen
Die McAfee DLP-Produkt-Suite bietet verschiedene Optionen für die Integration in Ihr Netzwerk.
Optionen für McAfee DLP Endpoint und Device Control
Für eine einfache McAfee DLP Endpoint-Implementierung wird die Installation auf einem McAfee
ePO-Server empfohlen.
Bei komplexeren Installationen können Sie sich im McAfee ePolicy Orchestrator-Handbuch zur
Hardwaredimensionierung und Bandbreitennutzung informieren, ob ein separater Server für die
McAfee ePO-Datenbank empfohlen wird.
Abbildung 2-1
McAfee DLP Endpoint-Komponenten und deren Beziehungen
Empfohlene Architektur:
•
•
26
McAfee ePO-Server: Hostet die integrierten McAfee DLP Endpoint-Konsolen (Vorfalls-Manager
und DLP-Vorgänge) und kommuniziert mit der McAfee Agent-Software auf den
Endpunkt-Computern
•
McAfee ePO-Ereignisanalyse: kommuniziert mit dem McAfee Agent und speichert
Ereignisinformationen in einer Datenbank
•
DLP-Ereignisanalyse: erfasst McAfee DLP Endpoint-Ereignisse aus der McAfee
ePO-Ereignisanalyse und speichert sie in DLP-Tabellen in der SQL-Datenbank
•
ePO-Datenbank: kommuniziert mit dem McAfee ePO-Richtlinien-Distributor zur Verteilung von
Richtlinien und mit der DLP-Ereignisanalyse zur Erfassung von Ereignissen und Nachweisen
Administrator-Workstation: greift über einen Browser auf McAfee ePO und die McAfee DLP
Endpoint-Richtlinienkonsole zu
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Planen der Bereitstellung
Bereitstellungsoptionen
•
2
Verwaltetes Endgerät: Wendet die Sicherheitsrichtlinien mithilfe der folgenden Software an:
•
McAfee DLP Endpoint-Client: ein McAfee Agent-Plug-In, das die McAfee DLP
Endpoint-Richtlinien und -Prozesse bereitstellt
•
McAfee Agent : stellt den Kommunikationskanal zwischen dem McAfee ePO-Server und der
McAfee DLP Endpoint-Client-Software bereit
McAfee DLP Discover-Optionen
McAfee DLP Discover kann auf physischen oder virtuellen Servern ausgeführt werden. Sie können
einen oder mehrere Erkennungs-Server im Netzwerk über McAfee ePO (empfohlen) oder manuell
installieren.
Vergewissern Sie sich, dass alle für McAfee DLP Discover verwendeten Server die folgenden
Anforderungen erfüllen:
•
Auf dem Server muss McAfee Agent installiert sein und ausgeführt werden.
•
Der Server muss mit McAfee ePO kommunizieren können.
•
Der Server muss der McAfee ePO-Systemstruktur hinzugefügt worden sein.
Weitere Informationen zum Installieren und Ausführen von McAfee Agent finden Sie im
Produkthandbuch zu McAfee Agent.
McAfee DLP Prevent-Optionen
McAfee DLP Prevent kann auf einer virtuellen oder physischen Hardware-Appliance ausgeführt werden.
•
Virtuelle Appliances können auf Ihrem eigenen VMware ESX- oder ESXi-Server ausgeführt werden.
•
Sie können McAfee DLP Prevent auf Appliances der Modelle 4400 und 5500 installieren.
•
Sie können einen VMWare ESX- oder ESXi-Server auf Appliances der Modelle 4400 und 5500
installieren.
Anforderungen an den MTA
Ein MTA-Server muss für die Integration in McAfee DLP Prevent die folgenden Anforderungen erfüllen.
•
Der MTA muss den E-Mail-Verkehr ganz oder teilweise an McAfee DLP Prevent senden. Beispiel: In
einigen Umgebungen kann es günstiger sein, dass McAfee DLP Prevent nur E-Mails an bzw. von
öffentlichen Websites wie Gmail verarbeitet, sodass nicht jede im Netzwerk gesendete und
empfangene E-Mail verarbeitet wird.
•
Der MTA muss in der Lage sein, E-Mail-Header zu prüfen, sodass von McAfee DLP Prevent
eingehende E-Mails erkannt und auf Header-Zeichenfolgen reagiert wird, die McAfee DLP Prevent
den E-Mail-Nachrichten hinzufügt. Wenn bestimmte Aktionen auf dem MTA-Server nicht unterstützt
werden, sollten Sie in McAfee DLP Prevent keine Regeln konfigurieren, die diese Aktionen
verwenden.
•
Ihr MTA muss sicherstellen, dass von McAfee DLP Prevent empfangene E-Mail-Nachrichten an das
vorgesehene Ziel weitergeleitet und nicht zurück an McAfee DLP Prevent übermittelt werden.
Beispiel: Für das Routing kann die Verwendung einer Port-Nummer oder IP-Quelladresse festgelegt
sein oder es kann beim Routing überprüft werden, ob X-RCIS-Aktions-Header vorhanden sind.
Anforderungen für McAfee DLP Prevent for Mobile Email
Die McAfee DLP Prevent for Mobile Email-Software kann auf physischen oder virtuellen Servern
ausgeführt werden. Die Anforderungen entsprechen denen für die McAfee DLP
Discover-Server-Software. Sie sollten beide Produkte nicht auf demselben Server ausführen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
27
2
Planen der Bereitstellung
Bereitstellungsoptionen
Bereitstellungsszenarien
Aufgrund der Anzahl der McAfee DLP-Produkte sowie der Art ihrer Implementierung kann die
Bereitstellung in verschiedenen Netzwerken unterschiedlich ausfallen.
Bereitstellen von McAfee DLP Endpoint in Citrix-Umgebungen
McAfee DLP Endpoint for Windows kann auf Citrix-Controllern für XenApp und XenDesktop installiert
werden.
Für die Nutzung von McAfee DLP Endpoint for Windows in Citrix-Umgebungen bestehen folgende
Anforderungen:
•
Citrix XenApp 6.5 FP2 oder 7.8
•
Citrix XenDesktop 7.0, 7.5 oder 7.8
Sie können den McAfee Agent- und den McAfee DLP Endpoint-Client wie auf jedem anderen Endgerät
auch auf den Citrix-Controllern bereitstellen. Stellen Sie eine McAfee DLP Endpoint for
Windows-Client-Richtlinie auf den Citrix-Controllern bereit.
Der McAfee DLP Endpoint-Client muss nicht auf den Endgeräten bereitgestellt werden, damit das
Zusammenwirken mit Citrix funktioniert. Hierfür ist lediglich Citrix Receiver 4.4.1000 erforderlich.
Wenn das Windows-Endgerät eine Verbindung mit dem Citrix-Controller herstellt und Dateien oder
E-Mails öffnet, werden Regeln erzwungen.
Funktionsweise
Schutzregeln in Citrix unterscheiden sich von einer McAfee DLP Endpoint-Installation auf einem
Unternehmens-Computer wie folgt:
•
Bei Verwendung eines separaten Controller-Servers mit XenApp 7.8 werden Citrix-Geräteregeln
nicht unterstützt.
•
Es besteht keine Unterstützung für Bildschirmaufnahmeschutzregeln. Der Grund hierfür liegt darin,
dass die Bildschirmaufnahme vom Endpunkt-Computer aus aktiviert wird, wo die Regel nicht
wirksam ist. Wenn ein Bildschirmaufnahmeschutz gegeben sein soll, installieren Sie auf dem
Endpunkt-Computer den McAfee DLP Endpoint-Client.
•
Zwischenablage-Schutzregeln werden zwar unterstützt, jedoch ohne Pop-Up-Benachrichtigungen
oder Ereignisse. Der Grund hierfür liegt darin, dass der versuchte Kopiervorgang zwar auf dem
Citrix-Controller stattfindet, auf dem die Regeln unterstützt werden, der versuchte Einfügevorgang
jedoch auf dem Endgerät erfolgt, sodass dort weder eine Pop-Up-Benachrichtigung aktiviert noch
ein Ereignis generiert werden kann.
Diese Beschränkungen gelten nicht, wenn Sie für die Herstellung der Verbindung mit dem
Citrix-Controller RDP verwenden.
Ausführen von McAfee Device Control auf durch Air-Gap abgesicherten
Computern
Mit Device Control kann die Verwendung von Wechseldatenträgern gesteuert werden, die mit durch
Air-Gap abgesicherten Systemen verbunden sind.
Um die Sicherheit für durch Air-Gap abgesicherte Systeme zu gewährleisten, müssen die üblicherweise
mit diesen Systemen verwendeten Wechseldatenträger auf erkannte Geräte und autorisierte
Verwendungszwecke beschränkt werden.
28
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
2
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
Durch Air-Gap abgesicherte Systeme können die drei im folgende beschriebenen Strukturen
aufweisen. Auf jedem dieser Systeme muss der Device Control-Schutz auf andere Weise eingerichtet
werden.
1
Direkt mit dem Intranet des Unternehmens verbundene, jedoch vom Internet isolierte Computer
2
Ein isoliertes Computer-Netzwerk, das einen McAfee ePO-Server einschließt
3
Isolierte Computer, bei denen die Übermittlung und der Abruf von Informationen ausschließlich
über Wechselspeichermedien möglich ist
Funktionsweise
Für Szenario 1 wird McAfee Agent auf den durch Air-Gap abgesicherten Computern bereitgestellt. Das
System funktioniert auf normale Weise: Richtlinien werden von McAfee ePO empfangen, und Vorfälle
werden an den McAfee ePO-Server gesendet. Jegliche Kommunikation erfolgt im Intranet.
Bei Szenario 2 können Konfigurationen und Richtlinien auf dem McAfee ePO-Haupt-Server verarbeitet
werden. Erstellen Sie eine Sicherungskopie, und speichern Sie diese auf einem
Wechselspeichermedium. Platzieren Sie die Sicherungskopie auf dem isolierten McAfee ePO-Server,
und kopieren Sie sie, indem Sie in DLP-Einstellungen auf die Schaltfläche Wiederherstellen klicken.
In Szenario 3 werden Richtlinien eingeschleust. Der Device Control-Client wird so konfiguriert, dass
Richtlinien aus einem bestimmten Ordner abgerufen werden. Auf einem externen McAfee ePO-Server
erstellte Richtlinien werden dann manuell in diesen Ordner kopiert. In diesem Betriebsmodus werden
McAfee Agent-Ereignisse in einem lokalen Ordner gespeichert und müssen regelmäßig auf den McAfee
ePO-Server kopiert werden. Wenn in Device Control Wechselspeicher-Schutzregeln konfiguriert sind,
zählen zu den Agentenereignissen Nachweise, Vorfälle und operative Ereignisse.
Planen Ihrer DLP-Richtlinien
Machen Sie sich mit den Workflows und Richtlinienkomponenten vertraut, damit Sie ein optimales
DLP-Konzept planen können.
McAfee DLP-Workflow
Nutzen Sie diesen Workflow als allgemeine Anleitung zum Arbeiten mit Ihren McAfee DLP-Produkten.
•
Nachvollziehen der Daten: Ermitteln und identifizieren Sie die in Ihrem Netzwerk befindlichen
Daten.
1
Mithilfe von McAfee DLP können Sie die Daten und Benutzeraktionen im Netzwerk passiv
überwachen. Sie können vordefinierte Regeln verwenden oder eine Basisrichtlinie erstellen.
2
Überprüfen Sie Vorfälle, und analysieren Sie Scan-Ergebnisse, um potenzielle
Richtlinienverletzungen zu ermitteln. Ausgehend von diesen Informationen können Sie dann
gültige Richtlinien erstellen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
29
2
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
•
•
•
Konfigurieren der Richtlinie: Reagieren Sie mit Regeln auf Verletzungen, um die Daten zu
schützen.
1
Klassifizieren und definieren Sie vertrauliche Daten, indem Sie Klassifizierungen und
Definitionen konfigurieren.
2
Verfolgen Sie vertrauliche Daten und Dateien mithilfe von Inhalts-Fingerprinting und
registrierten Dokumenten.
3
Schützen Sie Daten durch Scans und Regeln. Konfigurieren Sie die Aktion, die ausgeführt
werden soll, wenn vertrauliche Daten erkannt, aufgerufen oder übertragen werden.
Überwachen von Ergebnissen: Überwachen Sie Vorfälle, und erstellen Sie Berichte.
1
Werten Sie Vorfälle aus, um False-Positives und tatsächliche Richtlinienverletzungen zu
erkennen.
2
Fassen Sie zusammengehörige Vorfälle zu Fällen zusammen, die an andere Abteilungen (z. B.
an die Rechts- oder Personalabteilung) eskaliert werden können.
Optimieren der Richtlinien: Sie können Ihre Richtlinie bei Bedarf weiter präzisieren. Überwachen
Sie die Vorfälle und Scan-Ergebnisse weiter, und passen Sie die Richtlinien dann entsprechend den
Arten der ermittelten Verletzungen und False-Positives an.
Der McAfee DLP-Schutzprozess
McAfee DLP-Funktionen und Richtlinienkomponenten bilden einen Schutzprozess, der sich in den
Gesamt-Workflow integriert.
Abbildung 2-2 Der McAfee DLP-Schutzprozess
30
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
2
Klassifizieren
Erstellen Sie für den Schutz vertraulicher Inhalte zunächst eine Definition und Klassifizierung der zu
schützenden Inhalte.
Inhalte werden durch das Definieren von Klassifizierungen und Klassifizierungskriterien klassifiziert.
Klassifizierungskriterien definieren die Bedingungen für die Klassifizierung von Daten. Zu den
Definitionsmethoden für die Kriterien gehören:
•
Erweiterte Muster: Reguläre Ausdrücke in Kombination mit Validierungsalgorithmen zum
Vergleichen von Mustern, wie z. B. Kreditkartennummern
•
Wörterbücher: Listen mit spezifischen Wörtern oder Begriffen, wie z. B. medizinische Fachbegriffe
für die Erkennung möglicher Verletzungen der HIPAA-Regeln
•
Tatsächliche Dateitypen: Dokumenteigenschaften, Dateiinformationen oder die Anwendung, von
der die Datei erstellt wurde
•
Quell- oder Zielspeicherort: URLs, Netzwerkfreigaben oder die Anwendung bzw. der Benutzer,
die/der den Inhalt erstellt oder empfangen hat
McAfee DLP Endpoint unterstützt Klassifizierungs-Software von Drittanbietern. Sie können E-Mails
anhand von Boldon James Email Classifier klassifizieren. Sie können E-Mails oder andere Dateien
anhand von Titus-Klassifizierungs-Clients (Titus Message Classification, Titus Classification for Desktop
und Titus Classification Suite) klassifizieren. Zur Implementierung von Titus-Unterstützung muss das
Titus SDK auf den Endpunkt-Computern installiert sein.
McAfee DLP Prevent unterstützt Titus-Klassifizierungen. Boldon James-Klassifizierungen werden
hingegen nicht unterstützt.
Verfolgen
McAfee DLP kann Inhalte anhand ihres Speicherorts oder anhand der Anwendung verfolgen, mit der
sie erstellt wurden.
Benutzer von McAfee DLP Endpoint for Windows können zudem manuelle Klassifizierungen erstellen,
mit denen Dateien verfolgt werden können. Zur Verfolgung von Inhalten sind folgende Verfahren
verfügbar:
•
Inhalts-Fingerprinting: Unterstützt in McAfee DLP Endpoint
•
Registrierte Dokumente: Unterstützt von McAfee DLP Endpoint for Windows und McAfee DLP
Prevent
•
Manuelle Klassifizierungen: Erstellung nur durch Benutzer von McAfee DLP Endpoint for Windows
möglich, jedoch von allen McAfee DLP-Produkten unterstützt
Inhalts-Fingerprinting
Das Inhalts-Fingerprinting ist eine speziell für McAfee DLP Endpoint entwickelte Methode zur
Verfolgung von Inhalten. Der Administrator erstellt einen Satz von Inhalts-Fingerprinting-Kriterien zum
Definieren des Dateispeicherorts oder der Anwendung, von der auf die Datei zugegriffen wird, sowie
die Klassifizierung, die auf die Dateien angewendet werden soll. Der McAfee DLP Endpoint-Client
verfolgt alle Dateien, die von den in den Inhalts-Fingerprinting-Kriterien definierten Speicherorten oder
Anwendungen geöffnet werden, und erstellt bei Zugriff auf diese Dateien in Echtzeit
Fingerabdrucksignaturen. Diese Signaturen werden anschließend zum Verfolgen der Dateien bzw. der
Fragmente der Dateien verwendet. Inhalts-Fingerprinting-Kriterien können anhand der Anwendung,
des UNC-Pfads (Speicherort) oder der URL (Web-Anwendung) definiert werden.
Unterstützung von dauerhaften Fingerabdruckinformationen
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
31
2
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
Inhalts-Fingerabdrucksignaturen werden in den erweiterten Dateiattributen (EA) bzw. alternativen
Datenströmen (ADS) gespeichert. Bei Zugriff auf diese Dateien verfolgt die McAfee DLP
Endpoint-Software Datenveränderungen und behält die Klassifizierung der vertraulichen Inhalte
ungeachtet ihrer Verwendung dauerhaft bei. Wenn ein Benutzer beispielsweise ein mit einem
Fingerabdruck versehenes Word-Dokument öffnet, einige Absätze daraus in eine Textdatei kopiert und
diese Textdatei dann an eine E-Mail-Nachricht anhängt, weist die ausgehende Nachricht die gleichen
Signaturen wie das ursprüngliche Dokument auf.
Für Dateisysteme, die keine EA oder ADS unterstützen, speichert die McAfee DLP Endpoint-Software
Signaturinformationen als Metadatei auf der Festplatte. Die Metadateien werden im ausgeblendeten
Ordner 'ODB$' gespeichert, der automatisch von der McAfee DLP Endpoint-Client-Software erstellt
wird.
Signaturen und Inhalts-Fingerprinting-Kriterien werden in McAfee Device Control nicht unterstützt.
Registrierte Dokumente
Für die Dokumentregistrierung werden alle Dateien in den angegebenen Repositorys (z. B. auf der
SharePoint-Entwicklungs-Website) vorab gescannt, und es werden Signaturen für die Fragmente jeder
einzelnen Datei in diesen Repositorys erstellt. Diese Signaturen werden anschließend an alle
verwalteten Endgeräte verteilt. Der McAfee DLP Endpoint-Client kann nun jeden beliebigen aus diesen
Dokumenten kopierten Abschnitt verfolgen und entsprechend der Klassifizierung der registrierten
Dokumentsignatur klassifizieren.
Für registrierte Dokumente wird viel Speicherplatz benötigt. Dies kann die Systemleistung
beeinträchtigen, da jedes vom McAfee DLP Endpoint-Client zu prüfende Dokument zur Identifizierung
seiner Herkunft mit allen registrierten Dokumentsignaturen verglichen wird.
Bewährte Methode: Um die Anzahl der Signaturen und die Leistungsbeeinträchtigungen durch diese
Methode möglichst gering zu halten, sollten Sie registrierte Dokumente nur zum Verfolgen streng
vertraulicher Dokumente einsetzen.
Manuelle Klassifizierung
Benutzer, die mit manuellen Klassifizierungen arbeiten, können Inhaltsfingerabdrücke oder
Inhaltsklassifizierungen auf ihre Dateien anwenden. Manuell angewendetes Inhalts-Fingerprinting
entspricht dem bereits beschriebenen automatisch angewendeten Fingerprinting. Bei manuell
angewendeten Inhaltsklassifizierungen wird ein physisches Tag in die Datei eingebettet, anhand
dessen die Datei verfolgt werden kann, egal wohin diese kopiert wird; es werden jedoch keine
Signaturen erstellt, sodass aus diesen Dateien in andere Dateien kopierte Inhalte nicht verfolgt
werden können.
Schutz
Erstellen Sie Regeln für die Identifizierung vertraulicher Daten und zur Ergreifung geeigneter
Maßnahmen.
Regeln bestehen aus Bedingungen, Ausnahmen und Aktionen. Bedingungen enthalten mehrere
Parameter (z. B. Klassifizierungen) zur Definition der zu identifizierenden Daten oder
Benutzeraktionen. Ausnahmen geben Parameter an, die von der Auslösung der Regel ausgeschlossen
werden sollen. Aktionen geben an, wie sich die Regel verhalten soll, wenn eine Regel ausgelöst wird,
z. B. den Benutzerzugriff blockieren, eine Datei verschlüsseln oder einen Vorfall erstellen.
Datenschutzregeln
Datenschutzregeln werden in McAfee DLP Endpoint, Device Control und McAfee DLP Prevent zur
Verhinderung der nicht autorisierten Weitergabe von klassifizierten Daten verwendet. Wenn ein
Benutzer versucht, klassifizierte Daten zu kopieren oder anzuhängen, fängt McAfee DLP diesen
32
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
2
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
Vorgang ab und ermittelt anhand der Datenschutzregeln die durchzuführende Aktion. Beispielsweise
unterbricht McAfee DLP Endpoint den Versuch, und dem Endbenutzer wird ein Dialogfeld angezeigt.
Nachdem der Benutzer eine Begründung für den Vorgang angegeben hat, wird die Verarbeitung
fortgesetzt.
McAfee DLP Prevent verwendet Web- und E-Mail-Schutzregeln, um die Kommunikation von einem
MTA-Server oder Web-Proxy-Server zu überwachen und ggf. entsprechende Aktionen durchzuführen.
McAfee Device Control verwendet nur Wechselspeicher-Datenschutzregeln.
Regeln für die Gerätesteuerung
Regeln für die Gerätesteuerung überwachen das System und blockieren gegebenenfalls das Laden von
physischen Geräten, z. B. von Wechselspeichermedien, Bluetooth-, WLAN- und anderen
Plug-and-Play-Geräten. Gerätesteuerungsregeln bestehen aus Gerätedefinitionen und zugehörigen
Reaktionen und können durch das Filtern der jeweiligen Regel anhand von Endbenutzerdefinitionen
bestimmten Endbenutzergruppen zugewiesen werden.
Erkennungsregeln
Erkennungsregeln werden in McAfee DLP Endpoint und McAfee DLP Discover zum Scannen von Dateien
und Daten verwendet.
Die Endgeräterkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der
verwalteten Computer. Dabei werden das Dateisystem des lokalen Endgeräts sowie der lokale (im
Cache gespeicherte) E-Mail-Posteingang und PST-Dateien gescannt. Erkennungsregeln für das lokale
Dateisystem und den E-Mail-Speicher geben an, ob entsprechende Inhalte isoliert, gekennzeichnet
oder verschlüsselt werden sollen. Diese Regeln können außerdem definieren, ob die klassifizierte Datei
oder E-Mail als Vorfall gemeldet werden soll und ob die Datei bzw. E-Mail als Nachweis im Vorfall
gespeichert werden soll.
Scans des Dateisystems werden auf Server-Betriebssystemen nicht unterstützt.
McAfee DLP Discover scannt Repositorys und kann Dateien verschieben oder kopieren,
Rechteverwaltungsrichtlinien auf Dateien anwenden und Vorfälle erstellen.
Regelsätze
Regeln werden zu Regelsätzen zusammengefasst. Ein Regelsatz kann jede beliebige Kombination aus
Regeltypen enthalten.
Richtlinien
Richtlinien enthalten aktive Regelsätze und werden von McAfee ePO in der McAfee DLP
Endpoint-Client-Software, auf dem Erkennungs-Server oder in der McAfee DLP Prevent-Appliance
bereitgestellt. McAfee DLP Endpoint-Richtlinien enthalten außerdem Informationen und Definitionen
zur Richtlinienzuweisung.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
33
2
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
Überwachung
Überprüfen Sie Vorfälle für aufgetretene Richtlinienverstöße.
Es sind folgende Überwachungsfunktionen verfügbar:
•
Vorfallverwaltung: Vorfälle werden an die McAfee ePO-Ereignisanalyse gesendet und in einer
Datenbank gespeichert. Die Vorfälle enthalten Details zum Verstoß und optional auch
Nachweisinformationen. Empfangene Vorfälle und Nachweise können Sie in der Konsole
DLP-Vorfalls-Manager anzeigen.
•
Fallverwaltung: Gruppieren Sie ähnliche Vorfälle in Fälle zur weiteren Überprüfung in der Konsole
DLP-Fallverwaltung.
•
Operative Ereignisse: Fehler und Verwaltungsereignisse können Sie in der Konsole DLP-Vorgänge
anzeigen.
•
Nachweiserfassung: Wenn Regeln zur Erfassung von Nachweisen konfiguriert sind, wird eine
Kopie der Daten bzw. der Datei gespeichert und mit dem entsprechenden Vorfall verknüpft. Diese
Informationen können dabei helfen, den Schweregrad bzw. das Ausmaß der Offenlegung des
Ereignisses zu bestimmen. Der Nachweis wird vor dem Speichern mit dem AES-Algorithmus
verschlüsselt.
•
Hervorheben von Übereinstimmungen: Der Nachweis kann so gespeichert werden, dass der
Text, der den Vorfall ausgelöst hat, hervorgehoben wird. Der Nachweis mit Hervorhebungen wird
als separate, verschlüsselte HTML-Datei gespeichert.
•
Berichte: McAfee DLP Endpoint kann Berichte, Diagramme und Trends zur Anzeige in den McAfee
ePO-Dashboards erstellen.
Richtlinien-Workflow
Die McAfee DLP-Produkte verwenden einen ähnlichen Workflow zum Erstellen von Richtlinien.
Eine Richtlinie besteht aus Regeln, die in Regelsätze zusammengefasst werden. Regeln geben mithilfe
von Klassifikationen und Definitionen die Elemente an, die von McAfee DLP erkannt werden sollen.
Regelreaktionen bestimmen die Aktionen, die bei Übereinstimmung von Daten mit der Regel
durchgeführt werden sollen.
Verwenden Sie den folgenden Workflow zum Erstellen von Richtlinien.
34
1
Erstellen Sie Klassifizierungen und Definitionen.
2
Erstellen Sie Datenschutz-, Geräte- und Erkennungsregeln. Regeln müssen Klassifizierungen oder
Definitionen enthalten.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Planen der Bereitstellung
Planen Ihrer DLP-Richtlinien
2
3
Die Regelsätze müssen DLP-Richtlinien zugewiesen werden. Erstellen Sie für McAfee DLP Discover
Scan-Definitionen.
4
Weisen Sie die Richtlinien in der Systemstruktur zu, und stellen Sie die Richtlinien bereit. Wenden
Sie für McAfee DLP Discover die Richtlinie für die Erkennungs-Server an.
Abbildung 2-3 Struktur der Komponenten in einer Richtlinie
Die Optionen und die Verfügbarkeit dieser Komponenten hängen vom verwendeten McAfee
DLP-Produkt ab.
Siehe auch
Gemeinsam genutzte Richtlinienkomponenten auf Seite 36
Bewährte Methode: McAfee DLP Discover-Workflow
Verwenden Sie diesen Workflow als Leitlinie bei der Implementierung von McAfee DLP Discover, vor
allem in neuen Umgebungen.
1
Führen Sie einen Inventar-Scan aus, um Metadaten aus den Dateien in den Repositorys Ihres
Unternehmens zu erfassen. Anhand der Scan-Ergebnisse können Sie nachvollziehen, welche Arten
von Dateien sich in den Repositorys befinden.
2
Konfigurieren Sie Klassifizierungen, um klassifizierte oder vertrauliche Informationen zu erkennen.
Definieren Sie anhand dieser Klassifizierungen einen Klassifizierungs-Scan, und führen Sie diesen
aus.
3
Vollziehen Sie anhand der Ergebnisse des Klassifizierungs-Scans nach, wo sich die vertraulichen
Informationen befinden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
35
2
Planen der Bereitstellung
Systemanforderungen
4
Konfigurieren Sie einen Behebungs-Scan, um vertrauliche Dateien zu verschlüsseln oder in ein
sichereres Repository zu verschieben.
5
Führen Sie weiterhin regelmäßig Scans aus, und überwachen Sie Scan-Ergebnisse und alle
generierten Vorfälle. Präzisieren Sie die Scans basierend auf den Ergebnissen oder Änderungen in
den Richtlinien Ihres Unternehmens.
Gemeinsam genutzte Richtlinienkomponenten
McAfee DLP-Produkte nutzen viele Komponenten der Richtlinienkonfiguration gemeinsam.
Komponente
Definitionen
Device
Control
McAfee DLP
Endpoint
McAfee DLP
Discover
McAfee DLP
Prevent
X
X
X
X
Klassifizierungen
X*
X
X
X
Inhaltsklassifizierungskriterien
X*
X
X
X
X**
X**
Inhalts-Fingerprinting-Kriterien
X
Manuelle Klassifizierungen
X
Registrierte Dokumente
X
X
Text in der Whitelist
X
X
Regeln und Regelsätze
X
X
X
X
Client-Konfiguration
X
X
X
X
X
X
X
X
X
Server-Konfiguration
Nachweise
Rechteverwaltung
X*
* Device Control verwendet Klassifizierungen, Inhaltsklassifizierungskriterien und Nachweise nur in
Regeln für den Wechselspeicherschutz.
** McAfee DLP Discover und McAfee DLP Prevent können Dateien für manuelle Klassifizierungen
analysieren, diese Produkte können jedoch keine manuellen Klassifizierungen zuweisen.
Systemanforderungen
Für jedes McAfee DLP-Produkt gelten eigene Anforderungen.
Eine Liste der Systemanforderungen für McAfee DLP-Produkte finden Sie in den Versionshinweisen zu
McAfee Data Loss Prevention.
Von McAfee DLP verwendete Standard-Ports
McAfee DLP nutzt verschiedene Ports für die Netzwerkkommunikation. Möglicherweise müssen Sie
zwischengeschaltete Firewalls oder Geräte, die Richtlinien erzwingen, so konfigurieren, dass diese die
entsprechenden Ports nicht blockieren.
Sofern nicht anders angegeben, verwenden alle aufgeführten Protokolle ausschließlich TCP.
In KB66797 sind die Ports aufgeführt, die mit McAfee ePO kommunizieren.
36
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
2
Planen der Bereitstellung
Von McAfee DLP verwendete Standard-Ports
Tabelle 2-1 McAfee DLP Discover-Standard-Ports
Port, Protokoll
Verwenden
• 137, 138, 139 – NetBIOS
CIFS-Scans
• 445 – SMB
Box- und SharePoint-Scans
• 80 – HTTP
SharePoint-Server können für die
Verwendung nicht-standardmäßiger
HTTP- oder SSL-Ports konfiguriert sein.
Sie müssen dann in den Firewalls
gegebenenfalls einstellen, dass diese
nicht-standardmäßigen Ports zugelassen
werden.
• 443 – SSL
53 – DNS (UDP)
DNS-Abfragen
• 1801 – TCP
Microsoft Message Queuing (MSMQ)
• 135, 2101*, 2103*, 2105 – RPC
• 1801, 3527 – UDP
* Gibt an, dass die Port-Nummer je nach den bei der
Initialisierung verfügbaren Ports möglicherweise um 11
erhöht wird.
Weitere Informationen hierzu finden Sie im
Microsoft-KB-Artikel https://support.microsoft.com/
en-us/kb/178517#/en-us/kb/178517.
Tabelle 2-2 McAfee DLP Prevent-Standard-Ports
Port
Verwenden
22 – SSH
SSH (sofern aktiviert)
25 – SMTP
SMTP-Datenverkehr mit dem MTA
161 – SNMP
SNMP (sofern aktiviert)
1344 – ICAP
ICAP-Datenverkehr mit dem Web-Proxy
8081 – ePO
ePO-Agentendienst
10443 – HTTPS
HTTPS-Datenverkehr zum Herunterladen von Dateien, z. B. von MER-Dateien
(Minimum Escalation Report, Minimum-Eskalations-Bericht) und MIB-Dateien
11344 – ICAP
ICAP über SSL
53 – DNS (UDP) DNS-Abfragen
123 – NTP
NTP-Anfragen
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
37
2
Planen der Bereitstellung
Checkliste für die Bereitstellung
Checkliste für die Bereitstellung
Vergewissern Sie sich vor der Installation von McAfee DLP-Produkten, dass Sie über alle für die
Bereitstellung benötigten Informationen verfügen.
Tabelle 2-3 Hinweise zu McAfee DLP Endpoint und Device Control
Ermitteln
Hinweis
Auswirkung auf die Arbeit Testen Sie neue Installationen oder Upgrades in einem Subnetz des
Produktionsnetzwerks. Legen Sie neue Regeln zunächst auf Keine Aktion
fest, und überwachen Sie die Ergebnisse im DLP-Vorfallsmanager, um die
Auswirkungen zu überprüfen. Passen Sie Regelparameter entsprechend
den Anforderungen an, bevor Sie sie im Produktionsnetzwerk
implementieren.
In großen Unternehmen erfolgt die volle Bereitstellung in der Regel in
Phasen, um die Auswirkungen zu minimieren und ggf. ausreichend Zeit
für die Fehlerbehebung zu haben.
Art der Bereitstellung
(physisch oder virtuell)
Für virtuelle Bereitstellungen gelten weitere Beschränkungen.
Ausführliche Informationen hierzu finden Sie im entsprechenden
Handbuch zur Dimensionierung.
Tabelle 2-4 Hinweise zu McAfee DLP Discover
Ermitteln
Hinweis
Erkennungs-Server
Ermitteln Sie, auf wie vielen und welchen Windows-Servern die McAfee
DLP Discover-Server-Software installiert werden soll.
Server-Installationsmethode Ermitteln Sie, ob die McAfee DLP Discover-Software über McAfee ePO
oder manuell installiert werden soll.
Repositorys
38
Erstellen Sie eine Liste der zu scannenden Repositorys. Rufen Sie die
Pfade und Anmeldeinformationen für diese Repositorys ab, und
vergewissern Sie sich, dass diese Typen von Repositorys von McAfee
DLP Discover unterstützt werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Planen der Bereitstellung
Checkliste für die Bereitstellung
2
Tabelle 2-5 Hinweise zu McAfee DLP Prevent
Ermitteln
Hinweis
Sicherheit
Beachten Sie beim Vorbereiten der Umgebung die folgenden Punkte:
• Verwenden Sie Out of Band-Verwaltung für ein Netzwerk, auf das
McAfee ePO zugreifen kann, um Verwaltungs- und
Netzwerkdatenverkehr voneinander zu trennen.
• LAN1-Datenverkehr darf von außerhalb des Unternehmens nicht
zugänglich sein.
• Verbinden Sie eine BMC-Schnittstelle (Baseboard-Verwaltungscontroller)
mit einem dedizierten sicheren Verwaltungsnetzwerk.
• Regeln Sie den Zugriff auf die physische oder virtuelle
Appliance-Konsole.
Netzwerkinformationen
Beachten Sie beim Vorbereiten der Netzwerkumgebung die folgenden
Punkte:
• Netzwerkschnittstellen: Dies müssen statisch (nicht dynamisch)
zugewiesene IP-Adressen sein.
• IP-Adresse für den Client-Datenverkehr: Wenn der DNS-Server
abgefragt wird, muss der vollqualifizierte Domänenname
(Hostname.Domänenname) in diese IP-Adresse aufgelöst werden.
Die IP-Adresse muss bei einer umgekehrten Suche in den FQDN
aufgelöst werden.
• Anmeldekonto: Die Appliance verfügt über ein Anmeldekonto für lokale
Administratoren zur Anmeldung bei der Shell der virtuellen Maschine.
Sie sollten unbedingt das Standardkennwort ändern, um das Konto
abzusichern.
• (Optional) IP-Adresse für die Verwaltungsschnittstelle: Sie können die
OOB (Out of Band)-Schnittstelle für den Verwaltungsdatenverkehr
nutzen. Andernfalls wird für Client- und Verwaltungsdatenverkehr die
LAN1-Schnittstelle verwendet.
Remote Management
Module (RMM)
McAfee Data Loss Prevention 10.0.100
(Nur Hardware-Appliances) Wenn Sie das RMM für die
Appliance-Verwaltung verwenden möchten, stellen Sie die Verbindung mit
dem RMM von einem sicheren oder geschlossenen Netzwerk aus her.
Produkthandbuch
39
2
Planen der Bereitstellung
Checkliste für die Bereitstellung
40
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
3
Installieren von McAfee DLP
Installieren Sie die für Ihre Produkte erforderlichen Erweiterungen und Pakete, und nehmen Sie bei
Bedarf die entsprechenden Erstkonfigurationen vor.
Alle McAfee DLP-Produkte nutzen die McAfee DLP-Erweiterung für McAfee ePO. Installieren Sie diese
deshalb als Erstes.
Inhalt
Herunterladen von Produkterweiterungen und Installationsdateien
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Installieren der McAfee DLP Endpoint- und Device Control-Client-Software
Installieren des McAfee DLP Discover-Server-Pakets
Installieren von McAfee DLP Prevent
Durchführen der Schritte nach der Installation
Herunterladen von Produkterweiterungen und
Installationsdateien
Laden Sie die Dateien für Ihre Installation herunter.
Bevor Sie beginnen
Suchen Sie die Grant-Nummer, die Sie nach dem Erwerb des Produkts erhalten haben.
Sie können die Software auch mithilfe des McAfee ePO-Software-Managers (Menü | Software |
Software-Manager) anzeigen, herunterladen und installieren.
Vorgehensweise
1
Rufen Sie in einem Web-Browser www.mcafee.com/us/downloads/downloads.aspx auf.
2
Geben Sie Ihre Grant-Nummer ein, und wählen Sie dann das Produkt und die Version aus.
3
Wählen Sie auf der Registerkarte Software-Downloads die entsprechende Datei aus, und speichern Sie
sie.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
41
3
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Produkt
Beschreibung der Datei
Dateiname
Alle
Produkte
McAfee Data Loss
Prevention-Erweiterung
DLP_Mgmt_Version_Package.zip
McAfee
DLP
Endpoint,
Device
Control
Client-Software
• Device Control –
HDLP_Agent_Device_Control_Version_x.zip
McAfee
DLP
Discover
Server-Paket
McAfeeDLPDiscoverVersionLicensed.zip
McAfee
DLP
Prevent
McAfee DLP
Prevent-Erweiterung
dlp-prevent-server-package-Version-extensions.zip
AME-Erweiterung
appliance-management-package-Version-extensions.zip
Common UI-Erweiterung
commonui-core-package-Version-extensions.zip
McAfee DLP
Prevent-Installations-Image
• Virtuelle Appliance –
McAfee-PS-Version.ps.hw8.hdd.ova
• Microsoft Windows – HDLP_Agent_Version_x.zip
• Mac OS X — DLPAgentInstaller.zip
• Hardware-Appliance — McAfee-PS-Version.iso
McAfee
Keine (Teil der McAfee Data
DLP
Loss
Prevent for Prevention-Erweiterung). Für
Mobile
die Aktivierung der McAfee
Email
DLP Prevent for Mobile
Email-Komponente ist eine
McAfee DLP Prevent-Lizenz
erforderlich.
N. zutr.
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Die Erweiterung stellt die Benutzeroberfläche zum Konfigurieren von McAfee DLP in McAfee ePO bereit.
Bevor Sie beginnen
Der Name des McAfee ePO-Servers muss in den Sicherheitseinstellungen von Internet
Explorer in der Liste 'Vertrauenswürdige Sites' aufgeführt sein.
42
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
3
Aufgaben
•
Installieren der Erweiterung über den Software-Manager auf Seite 43
Mit dem Software-Manager können Sie Erweiterungen installieren und entfernen sowie
Upgrades für die Erweiterungen durchführen.
•
Manuelle Installation der Erweiterung auf Seite 43
Die Erweiterung wird über die Seite Erweiterungen installiert.
•
Lizenzieren von McAfee DLP auf Seite 44
Geben Sie die Lizenz für den Zugriff auf die McAfee DLP-Konsolen an.
•
Anwenden der Abwärtskompatibilität auf Seite 46
Abwärtskompatible Richtlinien ermöglichen die Verwendung des neuen
Erweiterungsformats zusammen mit älteren Client-Versionen und sorgen damit bei großen
Unternehmen für einen reibungslosen Upgrade-Pfad.
•
Konvertieren von Richtlinien und Migrieren von Daten auf Seite 47
Für das Upgrade auf McAfee DLP 10.0 von früheren Versionen vor 9.4.100 müssen die
Vorfälle, operativen Ereignisse und Richtlinien migriert oder konvertiert werden. Für die
Konvertierung/Migration werden McAfee ePO-Server-Tasks verwendet.
Installieren der Erweiterung über den Software-Manager
Mit dem Software-Manager können Sie Erweiterungen installieren und entfernen sowie Upgrades für
die Erweiterungen durchführen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Software | Software-Manager aus.
2
Erweitern Sie im linken Bereich die Option Software (nach Beschriftung), und wählen Sie Data Loss Prevention
aus.
3
Wählen Sie Ihr McAfee DLP-Produkt aus.
Wenn Sie McAfee DLP Prevent als eines Ihrer Produkte installieren, wählen Sie den Eintrag für
McAfee DLP Prevent aus, der alle erforderlichen Erweiterungen installiert:
•
McAfee DLP
•
Common UI
•
Appliance-Verwaltungserweiterung
•
McAfee DLP Prevent
4
Klicken Sie für die verfügbare Software auf Einchecken.
5
Aktivieren Sie das Kontrollkästchen zum Annehmen des Vertrags, und klicken Sie dann auf OK.
Die Erweiterung wird nun installiert. Eingecheckte Erweiterungen werden in der Liste Eingecheckte
Software angezeigt. Wenn neue Versionen der Software veröffentlicht werden, können Sie die
Erweiterungen mithilfe der Option Aktualisieren aktualisieren.
Manuelle Installation der Erweiterung
Die Erweiterung wird über die Seite Erweiterungen installiert.
Bevor Sie beginnen
Laden Sie die McAfee DLP-Erweiterung von der McAfee-Download-Site herunter.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
43
3
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Software | Erweiterungen aus, und klicken Sie dann auf Erweiterung
installieren.
2
Navigieren Sie zur ZIP-Datei mit der Erweiterung, und klicken Sie auf OK.
Daraufhin öffnet sich das Installationsdialogfeld mit den Dateiparametern. Vergewissern Sie sich,
dass Sie die richtige Erweiterung installieren.
3
Klicken Sie zum Installieren der Erweiterung auf OK.
Lizenzieren von McAfee DLP
Geben Sie die Lizenz für den Zugriff auf die McAfee DLP-Konsolen an.
Sie müssen mindestens einen Lizenzschlüssel eingeben, bei mehreren McAfee DLP-Produkten
entsprechend mehr. Von den eingegebenen Lizenzen ist abhängig, welche Konfigurationsoptionen
Ihnen in McAfee ePO zur Verfügung stehen.
Sie können entweder eine Lizenz für McAfee DLP Endpoint oder für Device Control in das Feld McAfee
DLP Endpoint eingeben. Wenn eine Lizenzart durch eine andere ersetzt wird, verändert dies die
Konfiguration.
Sie können Schlüssel für die folgenden Produkte eingeben:
•
McAfee DLP Endpoint oder Device Control
•
McAfee DLP Discover
•
McAfee DLP Prevent (im Feld McAfee Network DLP eingegeben)
Durch diese Lizenz wird außerdem die Software McAfee DLP-Server für Mobilgeräte aktiviert.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Installieren Sie in DLP-Einstellungen die Lizenzen und Komponenten, um die Installation an Ihre
Anforderungen anzupassen.
Das Modul DLP-Einstellungen enthält drei Registerkarten. Die Informationen auf der Registerkarte
Allgemein sind erforderlich. Wenn Sie keine speziellen Anforderungen haben, können Sie für die
übrigen Einstellungen die Standardwerte verwenden.
a
Wählen Sie Menü | Datenschutz | DLP-Einstellungen aus.
b
Für jede hinzuzufügende Lizenz: Geben Sie im Feld Lizenzschlüssel | Schlüssel die Lizenz ein, und
klicken Sie dann auf Hinzufügen.
Bei der Installation der Lizenz werden die zugehörigen McAfee ePO-Komponenten und
Richtlinien des McAfee ePO-Richtlinienkatalogs aktiviert.
c
Geben Sie im Feld Standard-Nachweisspeicherung den entsprechenden Speicherpfad ein.
Beim Pfad für die Nachweisspeicherung muss es sich um einen Netzwerkpfad im Format \\
[Server]\[Freigabe] handeln. Dieser Schritt ist zum Speichern der Einstellungen und zum
Aktivieren der Software erforderlich.
44
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
d
3
Legen Sie das freigegebene Kennwort fest.
Bewährte Methode: Sie sollten aus Sicherheitsgründen das Kennwort ändern.
e
Legen Sie die gewünschte Abwärtskompatibilität fest.
Wählen Sie für die Kompatibilität mit älteren Clients eine der Kompatibilitätsoptionen 9.4.0.0 bzw.
9.4.200.0 aus. Mit dieser Einstellung werden die Nutzungsmöglichkeiten neuer Funktionen
eingeschränkt.
Es stehen zwei Kompatibilitätsmodi zur Verfügung: strikt und nicht strikt. Im strikten Modus
können Richtlinien, bei denen Fehler bezüglich der Abwärtskompatibilität auftreten, nicht
angewendet werden. Im nicht strikten Modus kann der Richtlinienbesitzer oder ein Benutzer mit
Administratorberechtigungen entscheiden, dass auch Richtlinien, bei denen Fehler bezüglich der
Abwärtskompatibilität auftreten, angewendet werden.
Die Abwärtskompatibilität gilt für Richtlinien von McAfee DLP Endpoint und McAfee DLP Discover.
Sie gilt nicht für Richtlinien von McAfee DLP Prevent.
2
(Optional) Bearbeiten Sie bei Bedarf die Einstellungen auf der Registerkarte Erweitert.
Die weiteren Einstellungen verfügen über Standardwerte. Sie können die Standardeinstellungen
entweder übernehmen, indem Sie die Seite speichern, oder nach Bedarf bearbeiten.
a
Legen Sie die Länge des Abfrage/Antwort-Schlüssels fest.
Sie können zwischen Schlüsseln mit 8 Zeichen und mit 16 Zeichen wählen.
b
Legen Sie die Systemstrukturberechtigungen fest.
Anhand der Systemstrukturzugriffsberechtigung können Sie Informationen filtern, z. B. Vorfälle,
Ereignisse, Abfragen und Dashboards.
c
Wählen Sie die Ereignisprodukt-Anzeigeoption für die Vorfallverwaltung aus.
d
Wählen Sie die E-Mail-Optionen für die Fallverwaltung aus.
e
Legen Sie die benutzerdefinierte Ereigniszeitzone fest.
Mithilfe der benutzerdefinierten Ereigniszeitzone können Administratoren Ereignisse
entsprechend ihrer lokalen Zeitzone sortieren. Die Einstellung gibt den Unterschied zur UTC-Zeit
an.
f
Legen Sie den Standardstatus der Richtlinien-Manager-Regeln fest.
Sie können im Richtlinien-Manager einstellen, dass erstellte Regeln standardmäßig aktiviert
bzw. deaktiviert sind und dass Vorfälle gemeldet sowie zugehörige Nachweise gespeichert bzw.
nicht gespeichert werden. Wenn Sie die Berichterstellungsoption aktivieren, überwachen alle
Regeln standardmäßig, und Sie müssen nur für die Regeln eine Reaktion festlegen, bei denen
Sie die Standardeinstellung außer Kraft setzen möchten.
Diese Standardeinstellung gilt für alle Regeln, sowohl für McAfee DLP Endpoint als auch für
McAfee DLP Discover und McAfee DLP Prevent.
3
Klicken Sie auf Speichern.
4
Wählen Sie zum Sichern der Konfiguration die Registerkarte Sichern und wiederherstellen aus, und
klicken Sie dort auf In Datei sichern.
Die McAfee DLP-Module werden entsprechend der Lizenz unter Menü | Datenschutz angezeigt.
Siehe auch
Client-Konfiguration auf Seite 63
Konfigurieren von Server-Einstellungen auf Seite 67
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
45
3
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
Anwenden der Abwärtskompatibilität
Abwärtskompatible Richtlinien ermöglichen die Verwendung des neuen Erweiterungsformats
zusammen mit älteren Client-Versionen und sorgen damit bei großen Unternehmen für einen
reibungslosen Upgrade-Pfad.
Die Abwärtskompatibilität wird für Richtlinien von McAfee DLP 10.0.0, 9.4.0 und 9.4.200 unterstützt.
Die Optionen befinden sich auf der Seite DLP-Einstellungen (Menü | Datenschutz | DLP-Einstellungen). Für
Richtlinien von McAfee DLP 9.3 wird die Abwärtskompatibilität nicht unterstützt. Richtlinien aus
Versionen vor 9.4.0 müssen in das Schema der Version 9.4 migriert werden.
Im abwärtskompatiblen Modus überträgt die McAfee DLP-Erweiterung Richtlinien nur dann mithilfe von
Push an Endpunkte, wenn die Richtlinien keine Bedingungen enthalten, die dazu führen könnten, dass
ältere Client-Versionen die jeweilige Richtlinie falsch interpretieren. Über 90 % der Richtlinien aus der
Version 10.0.100 beziehen sich auf alte Funktionen oder Funktionen, die von Clients mit Version 9.4
problemlos ignoriert werden können. Die Abwärtskompatibilität verhindert, dass die Anwendung des
verbleibenden Anteils von Richtlinien (weniger als 10 %) angewendet wird. Dies ist zwar bei
Netzwerken mit älteren McAfee DLP Endpoint-Clients hilfreich, bedeutet aber auch, dass den
Endpunkten einige neue Funktionen nicht zur Verfügung stehen, auch bei Endpunkten, auf denen die
aktuelle Client-Version ausgeführt wird.
Kompatibilitätsmodus Nicht unterstützte Elemente (Elemente, die Fehler verursachen)
9.4.0
• Eine Klassifizierung enthält eine Definition für ein erweitertes Muster für
Luhn10 mit BIN.
• Eine Klassifizierung enthält eine Definition für ein erweitertes Muster für
kroatische persönliche Identifikationsnummern.
• Eine Richtlinie verwendet die Kennwortbestätigung zum Definieren von
Länge und Format gültiger Kennwörter.
• Eine Regel für den Schutz des Zugriffs auf Anwendungsdateien verwendet
die Option für nicht unterstützte Chrome-Versionen.
• Eine E-Mail-Schutzregel verwendet die E-Mail-Umschlagsdefinition "digital
signiert", "S-MIME-verschlüsselt" oder "PGP-verschlüsselt".
9.4.200
• Eine Klassifizierung enthält eine Definition für ein erweitertes Muster für
die japanische "My Number" (japanische Sozialversicherungs- und
Steuernummer).
• Eine Klassifizierung enthält eine Definition für ein erweitertes Muster für
australische Medicare-Nummern (Krankenversicherungsnummern).
10.0
• Es wurde keine Reaktion ausgewählt.
• Eine unternehmensbezogene Begründung wurde in Kombination mit einer
nicht unterstützten Aktion verwendet.
• Eine McAfee DLP Discover-Regel enthält eine Box-Definition.
Die Tabelle ist kumulativ aufgebaut, d. h., bei Kompatibilität mit Version 9.4.0 verursacht jedes Element
in der Tabelle einen Fehler. Bei Kompatibilität mit Version 9.4.200 werden Fehler durch Elemente in den
letzten beiden Zeilen verursacht. Bei Kompatibilität mit Version 10.0 ist nur noch die letzte Zeile
relevant.
Die Abwärtskompatibilität kann in zwei unterschiedlichen Modi angewendet werden:
46
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren und Lizenzieren der McAfee DLP-Erweiterung
•
Nicht-strikter Modus: Wenn bei der Richtlinie Kompatibilitätsfehler auftreten, wird eine
Warnmeldung ausgegeben. Die Richtlinie kann von Administratoren mit
Administratorberechtigungen für Richtlinien angewendet werden.
•
Strikter Modus: Richtlinien mit Fehlern können nicht auf die McAfee ePO-Datenbank angewendet
werden.
3
Wenn eine Richtlinie, bei der Fehler hinsichtlich der Abwärtskompatibilität auftreten, auf die Datenbank
angewendet wird, werden diese Fehler auf der Seite DLP-Richtlinie unter Richtlinienüberprüfung
angezeigt. In der Spalte Details auf der Seite werden die möglichen Folgen beschrieben, die auftreten
können, wenn Sie die Regel auf Endpunkt-Clients anwenden, die diese Funktion nicht unterstützen.
McAfee DLP Prevent kann Richtlinien mit Warnungen verwenden, die im nicht-strikten Modus erstellt
werden. Wenn die Abwärtskompatibilität im strikten Modus angewendet wird, können Richtlinien, bei
denen Fehler auftreten, nicht auf die McAfee ePO-Datenbank angewendet werden und werden deshalb
von McAfee DLP Prevent auch nicht erkannt.
Beispiel – Gerätebeschreibungen
Für Gerätedefinitionen gibt es in McAfee DLP 9.4.200 und 10.0 den optionalen Parameter
Gerätebeschreibung, der in früheren Versionen noch nicht verfügbar war. Wenn Sie in einer
Gerätedefinition eine Gerätebeschreibung verwenden und diese Definition dann in einer
Device Control-Regel verwenden, wird ein Regelsatz erstellt, der nicht auf 9.4.0-Clients
erzwungen werden kann. Wenn Sie die Richtlinie trotz der Warnung akzeptieren, wird der
Fehler auf der Seite Richtlinienüberprüfung angezeigt. Im Feld Details wird erklärt, dass der
Fehler bewirkt, dass Geräte als übereinstimmend erkannt und Reaktionen ausgeführt
werden, die so nicht von Ihnen beabsichtigt waren. Sie können auf Bearbeiten klicken, um
den Fehler zu beheben.
Konvertieren von Richtlinien und Migrieren von Daten
Für das Upgrade auf McAfee DLP 10.0 von früheren Versionen vor 9.4.100 müssen die Vorfälle,
operativen Ereignisse und Richtlinien migriert oder konvertiert werden. Für die Konvertierung/
Migration werden McAfee ePO-Server-Tasks verwendet.
Bevor Sie beginnen
Dieser Task beschreibt den Upgrade-Vorgang von McAfee DLP Endpoint 9.3.x.
Sie können das Upgrade direkt von McAfee DLP Endpoint 9.4.0 aus durchführen. Für die
Unterstützung von 9.4.0-Clients können Sie Abwärtskompatibilität festlegen; Sie müssen
jedoch den Server-Task Konvertierung von DLP-Vorfällen von Version 9.4 zu 9.4.1 und höher ausführen,
wenn Sie ältere Vorfälle und operative Ereignisse in den Konsolen DLP-Vorfalls-Manager oder
DLP-Vorgänge der Version 10.0 anzeigen möchten.
Führen Sie ein Upgrade der McAfee DLP Endpoint-Erweiterung auf Version 9.3.600 (9.3
Patch 6) oder höher aus, und installieren Sie dann in McAfee ePO die Erweiterung McAfee
DLP 9.4.100 oder eine höhere Version.
Der Richtlinienkonvertierungs-Task konvertiert nur Regeln, die aktiviert sind und auf die
Datenbank angewendet werden. Überprüfen Sie vor der Konvertierung den Status der zu
konvertierenden Regeln in der McAfee DLP Endpoint 9.3-Richtlinie.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
47
3
Installieren von McAfee DLP
Installieren der McAfee DLP Endpoint- und Device Control-Client-Software
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus.
2
Wählen Sie DLP-Richtlinienkonvertierung aus, und klicken Sie dann auf Aktionen | Ausführen.
Daraufhin öffnet sich die Seite Server-Task-Protokoll, auf der Sie die Ausführung des Tasks
überprüfen können. Die konvertierte Richtlinie ist mit Richtlinien aus Version 9.4.100 und höher
kompatibel.
Wenn der Task schon einmal ausgeführt wurde, kommt es nun zu einem Fehler. Wenn Sie an der
McAfee DLP 9.3-Richtlinie Änderungen vornehmen und die Konvertierung erneut durchführen
möchten, müssen Sie den Server-Task zunächst bearbeiten, indem Sie auf der Seite Aktionen die
Option Richtlinienkonvertierung nicht durchführen, wenn der Regelsatz '[9.3] Policy Conversion Rule Set' vorhanden ist
deaktivieren. Der vorherige Regelsatz wird dann gelöscht und ersetzt.
3
Kehren Sie auf die Seite Server-Tasks zurück, wählen Sie DLP – Migration von Vorfällen aus, und klicken Sie
dann auf Aktionen | Bearbeiten.
Die Migration von operativen DLP-Ereignissen kann auf die gleiche Art und Weise ausgeführt werden.
4
Wählen Sie Planungsstatus | Aktiviert aus, und klicken Sie dann zweimal auf Weiter.
Die Migration ist bereits programmiert, sodass Sie die Seite Aktionen überspringen können.
5
Wählen Sie einen Planungstyp und eine Häufigkeit aus.
Bewährte Methode: Da Migrations-Tasks den Prozessor stark auslasten, empfiehlt es sich, diese
Tasks am Wochenende oder anderweitig außerhalb der Geschäftszeiten zu planen.
a
Legen Sie das Startdatum und das Enddatum für den gewünschten Zeitraum fest, und stellen
Sie die stündliche Ausführung des Tasks ein.
b
Planen Sie die Wiederholungsfrequenz des Tasks entsprechend der Größe der zu migrierenden
Vorfallsdatenbank.
Die Migration von Vorfällen erfolgt in Paketen von jeweils 200.000 Elementen.
6
Klicken Sie zum Überprüfen der Einstellungen auf Weiter, und klicken Sie dann auf Speichern.
Installieren der McAfee DLP Endpoint- und Device ControlClient-Software
Stellen Sie die Client-Software mittels McAfee ePO auf den Endpunkt-Computern bereit.
Bei einer sauberen Installation der Client-Software McAfee DLP Endpoint 10.0 muss der
Endpunkt-Computer nicht neu gestartet werden. Wenn Sie auf dem Client jedoch ein Upgrade von
einer früheren Version auf die neue Version durchführen, müssen Sie den Endpunkt-Computer nach
der Installation neu starten.
48
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren des McAfee DLP Discover-Server-Pakets
3
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Software | Master-Repository aus.
2
Klicken Sie im Master-Repository auf Paket einchecken.
3
Wählen Sie als Pakettyp Produkt oder Aktualisierung (.zip) aus. Klicken Sie auf Durchsuchen.
Navigieren Sie für Microsoft Windows-Clients zu ...\HDLP_Agent_10_0_0_xxx.zip. Navigieren Sie
für Mac OS X-Clients zu ...\DlpAgentInstaller.zip.
4
Klicken Sie auf Weiter.
5
Überprüfen Sie die auf der Seite Paket einchecken angezeigten Details, und klicken Sie dann auf
Speichern.
Das Paket wird nun dem Master-Repository hinzugefügt.
Installieren des McAfee DLP Discover-Server-Pakets
Das Server-Paket wird auf Erkennungs-Servern bereitgestellt. Es installiert McAfee DLP Discover und
die erforderlichen Komponenten wie .NET, PostgreSQL, AD RMS-Client 2.1 und C++ Redistributables.
Aufgaben
•
Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO auf Seite 50
McAfee empfiehlt, das Server-Paket mithilfe von McAfee ePO zu installieren.
•
Manuelles Installieren oder Upgrade des Server-Pakets auf Seite 51
Wenn Sie das Server-Paket z. B. aufgrund von Problemen mit der Netzwerkverbindung
nicht über McAfee ePO installieren können, können Sie McAfee DLP Discover manuell auf
dem Erkennungs-Server installieren.
•
Überprüfen der Installation auf Seite 51
Sie sollten sich vergewissern, dass McAfee DLP Discover ordnungsgemäß installiert wurde
und mit McAfee ePO kommunizieren kann.
Hinweise zum Durchführung eines Upgrades von McAfee DLP
Discover
Die Schritte zur Durchführung eines Upgrades für McAfee DLP Discover entsprechen weitgehend den
Schritten zum Installieren der Erweiterung und des Server-Pakets.
1
Das Upgrade der Erweiterung erfolgt durch eine Installation über die vorhandene Version.
2
Das Upgrade des Erkennungs-Servers wird mittels einer der folgenden Optionen ausgeführt.
•
Stellen Sie das Server-Paket mittels McAfee ePO bereit.
•
Installieren Sie das Paket manuell auf dem Server.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
49
3
Installieren von McAfee DLP
Installieren des McAfee DLP Discover-Server-Pakets
3
Bei einem Upgrade von Version 9.4.0 müssen Sie die Richtlinie erneut anwenden, da bei diesem
Upgrade Änderungen an der Richtlinienkonfiguration vorgenommen werden.
4
Wenn Sie die in Version 10.x neu hinzugekommenen Funktionen, wie z. B. Box-Scans, verwenden
möchten, müssen Sie die entsprechende Kompatibilitätsoption auswählen.
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Einstellungen und dann für Abwärtskompatibilität die
Option 10.0.0.0 und höher aus.
Vor dem Upgrade des Erkennungs-Servers müssen Sie zunächst in McAfee ePO ein Upgrade der
Erweiterung durchführen. McAfee DLP Discover unterstützt die Nutzung einer neueren
Erweiterungsversion zum Verwalten eines Servers einer älteren Version. Ein Server einer neueren
Version kann jedoch nicht mit einer älteren Erweiterungsversion verwaltet werden.
Ein erneutes Lizenzieren der Software bzw. die erneute Eingabe des Server-Nachweispfads ist nicht
erforderlich. Falls MSMQ nach dem Upgrade nicht aktiviert wird oder alte Datenprogrammordner bzw.
Registrierungsschlüssel nicht gelöscht wurden, müssen Sie den Erkennungs-Server möglicherweise
neu starten.
Wenn ein Neustart erforderlich ist, generiert McAfee DLP Discover ein operatives Ereignis.
•
Wenn Sie das Server-Paket manuell installiert haben, werden Sie zum Neustart aufgefordert.
•
Haben Sie hingegen McAfee ePO verwendet, hängt die Anzeige dieser Aufforderung u. U. von den
Konfigurationseinstellungen von McAfee Agent ab.
In einigen Fällen ist MSMQ auch nach einem Neustart noch nicht aktiviert. Der Erkennungs-Server
sendet daraufhin ein operatives Ereignis. In einem solchen Fall müssen Sie MSMQ manuell aktivieren
und den Erkennungs-Server-Dienst manuell starten.
Informationen zu den unterstützten Upgrade-Pfaden finden Sie in den Versionshinweisen zu McAfee
Data Loss Prevention Discover.
Installieren Sie die Software nicht über eine vorhandene Software-Installation der gleichen Version.
Installieren oder Upgrade des Server-Pakets mithilfe von
McAfee ePO
McAfee empfiehlt, das Server-Paket mithilfe von McAfee ePO zu installieren.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
50
Checken Sie das Server-Paket ein.
a
Wählen Sie in McAfee ePO Menü | Software | Master-Repository aus.
b
Klicken Sie auf Paket einchecken.
c
Navigieren Sie zur ZIP-Datei mit dem Server-Paket, und klicken Sie auf Weiter.
d
Klicken Sie auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren des McAfee DLP Discover-Server-Pakets
2
3
4
3
Erstellen Sie einen Client-Task.
a
Wählen Sie Menü | Systemstruktur aus.
b
Wählen Sie zunächst den Erkennungs-Server und dann Aktionen | Agent | Tasks auf einem einzelnen
System ändern aus.
c
Wählen Sie Aktionen | Neue Client-Task-Zuweisung aus.
Konfigurieren Sie die Task-Zuweisung.
a
Wählen Sie im Bereich Produkt die Option McAfee Agent aus.
b
Wählen Sie im Bereich Task-Typ die Option Produktbereitstellung aus.
c
Klicken Sie im Bereich Task-Name auf Neuen Task erstellen.
Konfigurieren Sie den Task.
a
Wählen Sie im Bereich Zielplattformen die Option Windows aus.
b
Wählen Sie im Menü Produkte und Komponenten die Option McAfee Discover Server aus.
c
Wählen Sie im Menü Aktion die Option Installieren aus.
d
Klicken Sie auf Speichern.
5
Wählen Sie den Namen des neuen Tasks aus, und klicken Sie anschließend auf Weiter.
6
Legen Sie fest, wann der Task ausgeführt werden soll, und klicken Sie dann auf Weiter.
7
Klicken Sie auf Speichern.
Manuelles Installieren oder Upgrade des Server-Pakets
Wenn Sie das Server-Paket z. B. aufgrund von Problemen mit der Netzwerkverbindung nicht über
McAfee ePO installieren können, können Sie McAfee DLP Discover manuell auf dem Erkennungs-Server
installieren.
Vorgehensweise
1
Laden Sie die Datei "DiscoverServerInstallx64.exe" auf den Erkennungs-Server herunter, bzw.
kopieren Sie sie dorthin.
2
Doppelklicken Sie auf die Datei, und befolgen Sie die auf dem Bildschirm angezeigten
Anweisungen.
Überprüfen der Installation
Sie sollten sich vergewissern, dass McAfee DLP Discover ordnungsgemäß installiert wurde und mit
McAfee ePO kommunizieren kann.
Wenn eine Installation fehlschlägt, generiert McAfee DLP Discover ein operatives Ereignis. Wählen Sie
zur Anzeige von Ereignissen Menü | Datenschutz | DLP-Vorgänge aus.
Vorgehensweise
1
Wenn MSMQ nach der Installation nicht aktiviert wird oder alte Datenprogrammordner bzw.
Registrierungsschlüssel nicht gelöscht wurden, starten Sie den Erkennungs-Server neu.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
51
3
Installieren von McAfee DLP
Installieren des McAfee DLP Discover-Server-Pakets
Wenn Sie den Server neu starten müssen, generiert McAfee DLP Discover ein operatives Ereignis.
•
Wenn Sie das Server-Paket manuell installiert haben, werden Sie zum Neustart aufgefordert.
•
Haben Sie hingegen McAfee ePO verwendet, hängt die Anzeige dieser Aufforderung von den
Konfigurationseinstellungen von McAfee Agent ab.
In einigen Fällen ist MSMQ auch nach einem Neustart noch nicht aktiviert. Der Erkennungs-Server
sendet daraufhin ein operatives Ereignis. In einem solchen Fall müssen Sie MSMQ manuell aktivieren
und den Erkennungs-Server-Dienst manuell starten.
Informationen zur Aktivierung von MSMQ finden Sie in KB87274.
2
3
Vergewissern Sie sich auf dem Server-Betriebssystem, dass die folgenden Dienste und Prozesse
von McAfee DLP Discover ausgeführt werden:
•
McAfee Discover Service
•
McAfee Discover Server Postgres Service
Führen Sie in McAfee ePO eine Agentenreaktivierung durch, oder erfassen und senden Sie
Eigenschaften vom Erkennungs-Server.
•
Wählen Sie in McAfee ePO Menü | Systemstruktur und dann den Server aus, und klicken Sie auf
Agenten reaktivieren.
•
Klicken Sie auf der Taskleiste des Erkennungs-Servers auf das McAfee-Symbol, wählen Sie
McAfee Agent-Statusmonitor aus, und klicken Sie dann auf Eigenschaften erfassen und senden.
In der Spalte Status wird die Meldung Richtlinien für DISCOVERxxx werden erzwungen angezeigt.
4
Vergewissern Sie sich, dass der Erkennungs-Server erkannt wird.
a
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
b
Klicken Sie auf die Registerkarte Erkennungs-Server.
Daraufhin wird eine Liste der erkannten Server angezeigt.
Wenn der Server nicht aufgeführt wird, wählen Sie Aktionen | Server erkennen aus. Standardmäßig
wird dieser Task alle zehn Minuten ausgeführt.
5
Bewährte Methode: Ändern Sie das Agent-Server-Kommunikationsintervall von McAfee Agent, um
die Analysedaten zuverlässig auf dem aktuellen Stand zu halten.
a
Wählen Sie Menü | Richtlinie | Richtlinienkatalog aus.
b
Wählen Sie in der Dropdown-Liste Produkt den Eintrag McAfee Agent aus.
c
Suchen Sie in der Spalte Kategorie nach der als Allgemein bezeichneten Standardrichtlinie, und
öffnen Sie diese.
d
Ändern Sie auf der Registerkarte Allgemein im Bereich Agent-Server-Kommunikation das Intervall in 5.
Wählen Sie zum Deinstallieren des Erkennungs-Servers auf dem Windows-Server Systemsteuerung |
Programme und Funktionen aus.
52
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Installieren von McAfee DLP
Installieren von McAfee DLP Prevent
3
Installieren von McAfee DLP Prevent
Installieren Sie die Appliance, und registrieren Sie sie bei McAfee ePO.
Aufgaben
•
Installieren der Erweiterungen auf Seite 53
Wenn die McAfee DLP-Erweiterung manuell und nicht über den Software-Manager installiert
wurde, müssen auch die für McAfee DLP Prevent erforderlichen Erweiterungen installiert
werden.
•
Konfigurieren der Netzwerkinformationen auf Seite 53
Konfigurieren Sie den DNS-Server, den NTP-Server und den Smart-Host in McAfee ePO.
•
Installieren der Software auf einer virtuellen Appliance auf Seite 54
Verwenden Sie zum Installieren in der virtuellen Umgebung die OVA-Datei.
•
Installieren der Software auf einer Hardware-Appliance auf Seite 55
Installieren Sie McAfee DLP Prevent auf einer Appliance des Modells 4400 oder 5500.
•
Ausführen des Einrichtungs-Assistenten und Registrieren bei McAfee ePO auf Seite 57
Mit dem Einrichtungs-Assistenten können Sie die Netzwerkeinstellungen konfigurieren und
die Appliance bei McAfee ePO registrieren.
•
Installieren des McAfee DLP Prevent for Mobile Email-Server-Pakets auf Seite 58
Installieren der Erweiterungen
Wenn die McAfee DLP-Erweiterung manuell und nicht über den Software-Manager installiert wurde,
müssen auch die für McAfee DLP Prevent erforderlichen Erweiterungen installiert werden.
Bevor Sie beginnen
•
Laden Sie die Erweiterungen herunter.
•
Installieren Sie die McAfee DLP-Erweiterung.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Software | Erweiterungen aus, und klicken Sie dann auf Erweiterung
installieren.
2
Führen Sie diese Schritte für jede Erweiterung aus. Installieren Sie die Erweiterungen in der
folgenden Reihenfolge:
•
Common UI-Paket
•
Appliance-Verwaltungserweiterung
•
McAfee DLP Prevent
a
Navigieren Sie zur ZIP-Datei mit der Erweiterung.
b
Klicken Sie zwei Mal auf OK.
Konfigurieren der Netzwerkinformationen
Konfigurieren Sie den DNS-Server, den NTP-Server und den Smart-Host in McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
53
3
Installieren von McAfee DLP
Installieren von McAfee DLP Prevent
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie in der Dropdown-Liste Produkt den Eintrag Allgemeine Appliance-Verwaltung aus.
3
Wählen Sie die Richtlinie My Default aus.
4
Fügen Sie den DNS-Server und den NTP-Server hinzu, und klicken Sie dann auf Speichern.
5
Wählen Sie in der Dropdown-Liste Produkt den Eintrag DLP Prevent-Server aus.
6
Wählen Sie für die E-Mail-Einstellungen die Richtlinie My Default aus.
7
Geben Sie die IP-Adresse des Smart-Hosts ein, und klicken Sie dann auf Speichern.
Installieren der Software auf einer virtuellen Appliance
Verwenden Sie zum Installieren in der virtuellen Umgebung die OVA-Datei.
Vorgehensweise
1
Starten Sie den VMware vSphere-Client, und melden Sie sich beim VMware vCenter Server an.
2
Klicken Sie auf Actions | Deploy OVF Template (Aktionen | OVF-Vorlage bereitstellen).
Daraufhin öffnet sich das Dialogfeld Deploy OVF Template (OVF-Vorlage bereitstellen).
3
Wählen Sie Local file | Browse (Lokale Datei | Durchsuchen) aus, und öffnen Sie die von der
McAfee-Download-Website heruntergeladene OVA-Datei.
4
Befolgen Sie nun die auf dem Bildschirm angezeigten Anweisungen, und klicken Sie nach den
einzelnen Einrichtungsschritten jeweils auf Weiter.
a
Überprüfen Sie das Paket, und wählen Sie Accept extra configuration options (Zusätzliche
Konfigurationsoptionen akzeptieren) aus.
b
Geben Sie einen Namen für die Appliance ein, und geben Sie dann das Datencenter und den
Ordner an, in dem die Bereitstellung erfolgen soll.
c
Wählen Sie den Cluster und bei Bedarf einen Ressourcen-Pool aus.
d
Wählen Sie den Datenspeicher für die Appliance aus.
Bewährte Methode: Wählen Sie für die Formatierung der virtuellen Festplatte die Option Thick
Provision (Lazy Zeroed) (Bereitstellung im Thick-Format, verbliebene Daten werden von der virtuellen
Maschine erst beim ersten Schreiben durch Null-Bytes ersetzt) aus. Bei anderen Optionen ist die
anfängliche Leistung möglicherweise eingeschränkt. Bei Auswahl der Option Thick Eager
(Bereitstellung im Thick-Format, verbliebene Daten werden bei der Erstellung der virtuellen
Maschine durch Null-Bytes ersetzt) kann die Formatierung einige Zeit in Anspruch nehmen.
54
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
3
Installieren von McAfee DLP
Installieren von McAfee DLP Prevent
e
Wählen Sie die virtuellen Netzwerke aus. Standardmäßig sind folgende IP-Adressen konfiguriert:
•
LAN_1: 10.1.1.108/24
Verwenden Sie das LAN_1-Netzwerk für Datenverkehr über SMTP oder ICAP. Sie können es
außerdem für den Verwaltungsdatenverkehr nutzen.
•
OOB: 10.1.3.108/24
(Optional) Verwenden Sie das Out of Band-Netzwerk (OOB) für den
Verwaltungsdatenverkehr, zu dem auch die Kommunikation mit McAfee ePO gehört.
Wenn im Netzwerk DHCP genutzt wird, wird stattdessen die erste IP-Adresse verwendet, die der
Appliance vom DHCP-Server zugewiesen wird. Sie können die IP-Adresse im Setup-Assistenten
manuell konfigurieren. Die Appliance unterstützt keine durchgehende DHCP-Konfiguration.
Das Standard-Gateway für die Appliance verwendet das LAN1-Netzwerk. Konfigurieren Sie das
für die OOB-Schnittstelle erforderliche Routing mithilfe statischer Routen.
f
5
Überprüfen Sie die Zusammenfassung.
Klicken Sie auf Finish (Fertig stellen).
Überprüfen Sie anhand der Angaben unter Recent Tasks (Kürzlich bearbeitete Aufgaben), ob die
virtuelle Maschine ordnungsgemäß erstellt wurde.
6
Navigieren Sie nun zur virtuellen Maschine, und starten Sie sie.
Installieren der Software auf einer Hardware-Appliance
Installieren Sie McAfee DLP Prevent auf einer Appliance des Modells 4400 oder 5500.
Aufgaben
•
Verbinden der Appliance auf Seite 55
Bereiten Sie die Appliance für die Installation vor.
•
Installieren eines neuen Images auf Hardware-Appliances auf Seite 56
Installieren Sie McAfee DLP Prevent auf der Appliance.
Verbinden der Appliance
Bereiten Sie die Appliance für die Installation vor.
Jede Appliance ist standardmäßig mit den folgenden IP-Adressen konfiguriert:
•
LAN1: 10.1.1.108/24
Verwenden Sie das LAN1-Netzwerk für Datenverkehr über SMTP oder ICAP. Sie können es
außerdem für den Verwaltungsdatenverkehr nutzen.
•
OOB: 10.1.3.108/24
(Optional) Verwenden Sie das Out of Band-Netzwerk (OOB) für den Verwaltungsdatenverkehr, zu
dem auch die Kommunikation mit McAfee ePO gehört.
Wenn im Netzwerk DHCP genutzt wird, wird stattdessen die erste IP-Adresse verwendet, die der
Appliance vom DHCP-Server zugewiesen wird. Sie können die IP-Adresse im Setup-Assistenten manuell
konfigurieren. Die Appliance unterstützt keine durchgehende DHCP-Konfiguration.
Das Standard-Gateway für die Appliance verwendet das LAN1-Netzwerk. Konfigurieren Sie das für die
OOB-Schnittstelle erforderliche Routing mithilfe statischer Routen.
Die Appliance verfügt auch über ein Remote Management Module (RMM, Modul zur
Remote-Verwaltung), das Funktionen für die Lights-Out-Verwaltung bietet, beispielsweise
KVM-Steuerung per Remote-Zugriff und Zugriff auf das BIOS der Appliance.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
55
3
Installieren von McAfee DLP
Installieren von McAfee DLP Prevent
Informationen zum Identifizieren der Netzwerk-Ports für die Appliance finden Sie im
Hardware-Handbuch für McAfee Data Loss Prevention.
Vorgehensweise
1
Schließen Sie einen Monitor, eine Tastatur und eine Maus an die Appliance an.
2
Verbinden Sie die LAN1-Schnittstelle der Appliance mit dem Netzwerk.
3
(Optional) Verbinden Sie die OOB-Schnittstelle mit einem anderen Netzwerk.
4
(Optional) Verbinden Sie die RMM-Schnittstelle mit einem Verwaltungsnetzwerk.
Bewährte Methode: Verwenden Sie für das RMM ein geschlossenes bzw. sicheres Netzwerk.
Einstellungen für die serielle Konsole
Sie können die serielle Konsole nur zum Installieren der McAfee DLP Prevent-Software verwenden.
Für die Konfiguration der Netzwerkeinstellungen und die Registrierung bei McAfee ePO müssen Sie
eine andere Methode verwenden, z. B. RMM. Sie können das RMM über die serielle Konsole aktivieren.
Der Installationsfortschritt wird bei Verwendung der seriellen Konsole nicht angezeigt.
Tabelle 3-1
Parameter für die serielle Verbindung
Anschlusseinstellungen
Wert
Baudrate
115200
Datenbits
8
Stoppbits
1
Parität
Keine
Flusssteuerung
Keine
Siehe auch
Konfigurieren des RMM auf Seite 258
Installieren eines neuen Images auf Hardware-Appliances
Installieren Sie McAfee DLP Prevent auf der Appliance.
Sie können die Erstinstallation mit einer dieser Methoden durchführen:
•
USB-Laufwerk
Verwenden von Software zum Schreiben von Images (z. B. Launchpad Image Writer), um das Image
auf das USB-Laufwerk zu schreiben. Weitere Informationen hierzu finden Sie in KB87321.
•
USB-CD-Laufwerk
•
(Nur 4400-Appliances) Systemeigenes CD-Laufwerk
•
Virtuelles CD-Laufwerk unter Verwendung des Remote Management Module (RMM)
Vorgehensweise
56
1
Sie müssen zunächst das externe Image-Erstellungsmedium mithilfe der ISO-Installationsdatei
erstellen oder einrichten.
2
Schließen Sie nun das Medium an die Appliance an, bzw. legen Sie es in die Appliance ein.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
3
Installieren von McAfee DLP
Installieren von McAfee DLP Prevent
3
Schalten Sie die Appliance ein, oder starten Sie sie neu.
4
Drücken Sie vor dem Starten des Betriebssystems F6, um das Boot-Menü aufzurufen, und wählen
Sie das externe Medium aus.
Das BIOS-Kennwort für 4400-Appliances lautet R3c0n3x.
5
Befolgen Sie die auf dem Bildschirm angezeigten Aufforderungen.
6
Lesen Sie den Endbenutzer-Lizenzvertrag, und drücken Sie anschließend Y (Ja), um ihn zu
akzeptieren.
7
Drücken Sie im Installationsmenü A, um eine vollständige Installation durchzuführen, und drücken
Sie anschließend Y, um fortzufahren.
Nach Abschluss der Installationssequenz wird die Appliance neu gestartet.
Wenn die Installation fehlschlägt, rufen Sie den technischen Support von McAfee an. Führen Sie die
Installation nicht noch einmal aus.
Ausführen des Einrichtungs-Assistenten und Registrieren bei
McAfee ePO
Mit dem Einrichtungs-Assistenten können Sie die Netzwerkeinstellungen konfigurieren und die
Appliance bei McAfee ePO registrieren.
Nach der Installation und dem Neustart der Appliance wird der Einrichtungs-Assistent automatisch
gestartet.
Wenn Sie die Software anhand der seriellen Konsole auf einer Hardware-Appliance installiert haben,
verwenden Sie eine andere Methode, z. B. das RMM, um den Einrichtungs-Assistenten abzuschließen.
Vorgehensweise
1
Wählen Sie die Sprache für den Einrichtungs-Assistenten aus, und konfigurieren Sie die
grundlegenden Netzwerkeinstellungen.
Der Assistent unterstützt Sie mit Informationen bei der Konfiguration der Einstellungen.
a
Wählen Sie auf der Seite Begrüßung die Option Grundlegende Netzwerkeinrichtung aus, und klicken Sie
auf Weiter.
b
Aktivieren Sie die Optionen auf der Seite Grundlegende Einstellungen, und klicken Sie auf Weiter.
Bei der ersten Ausführung des Einrichtungs-Assistenten müssen Sie das Standardkennwort
ändern. Das neue Kennwort muss aus mindestens acht Zeichen bestehen. Das
Standardkennwort lautet password.
c
Aktivieren Sie die Optionen auf der Seite Netzwerkdienste, und klicken Sie dann auf Weiter.
d
Überprüfen Sie die Informationen auf der Seite Übersicht, und nehmen Sie gegebenenfalls
Korrekturen vor.
e
Klicken Sie auf Fertig stellen.
Die Ausgangskonfiguration der Netzwerkeinstellungen wird nun angewendet. Nach dem ersten
Abschließen des Einrichtungs-Assistenten oder wenn Sie sich bei einem neuen McAfee ePO
registrieren müssen, wird der Assistent nach dem Anwenden der Netzwerkeinstellungen neu
gestartet.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
57
3
Installieren von McAfee DLP
Durchführen der Schritte nach der Installation
2
3
Registrieren Sie sich bei McAfee ePO.
a
Wählen Sie ePO-Registrierung aus, und klicken Sie auf Weiter.
b
Wählen Sie die Optionen auf der Seite ePO-Registrierung aus.
c
Klicken Sie auf Fertig stellen.
Melden Sie sich bei McAfee ePO an.
Das Produkt wird in der Systemstruktur angezeigt. Verschieben Sie den Eintrag bei Bedarf an die
korrekte Position in der Hierarchie.
Installieren des McAfee DLP Prevent for Mobile Email-ServerPakets
Das McAfee DLP Prevent for Mobile Email-Server-Paket kann manuell oder mit McAfee ePO für Server
bereitgestellt werden. Die Installation verläuft genau wie die Installation des McAfee DLP
Discover-Server-Pakets.
Installieren Sie die beiden Server-Pakete nicht auf demselben Server.
Siehe auch
Installieren oder Upgrade des Server-Pakets mithilfe von McAfee ePO auf Seite 50
Manuelles Installieren oder Upgrade des Server-Pakets auf Seite 51
Durchführen der Schritte nach der Installation
Nach der Installation müssen Sie die Einstellungen und Richtlinien für Ihre Produkte konfigurieren.
Dies umfasst folgende Schritte:
•
Erstellen und Konfigurieren von Nachweisordnern
•
Konfigurieren von Client- oder Server-Einstellungen
•
Erstellen von Klassifizierungen, Definitionen und Regeln
•
Zuweisen der Konfigurationen und Richtlinien in der Systemstruktur.
•
(McAfee DLP Discover und McAfee DLP Endpoint) Erstellen von Scans
•
(McAfee DLP Prevent) Integration in einen MTA-Server oder Web-Proxy.
Siehe auch
Dokumentieren von Ereignissen mithilfe von Nachweisen auf Seite 71
Klassifizierungsdefinitionen und -kriterien auf Seite 123
Regeln auf Seite 150
Schützen von Dateien mithilfe von Erkennungsregeln auf Seite 185
Arbeiten mit McAfee DLP Prevent-Richtlinien auf Seite 83
Konfigurieren der Client-Einstellungen auf Seite 66
Konfigurieren von Server-Einstellungen auf Seite 67
Konfigurieren der Richtlinie für Scans auf Seite 200
Herunterladen von Produkterweiterungen und Installationsdateien auf Seite 41
58
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfiguration und Verwendung
Konfigurieren Sie die Software für die optimale Nutzung in der
Unternehmensumgebung. Die Einstellungen richten sich nach den auf
Management-Ebene getroffenen Entscheidungen darüber, welche Inhalte
geschützt werden sollen und wie dieser Schutz bestmöglich umgesetzt
werden kann.
Kapitel
Kapitel
Kapitel
Kapitel
Kapitel
Kapitel
4
5
6
7
8
9
Konfigurieren von Systemkomponenten
Schutz von Wechselspeichermedien
Klassifizieren vertraulicher Inhalte
Schützen vertraulicher Inhalte
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Scannen von Daten mit McAfee DLP Discover
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
59
Konfiguration und Verwendung
60
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Die Systemkomponenten können individuell an die Erfordernisse Ihres Unternehmens angepasst
werden. Durch die Konfiguration des Agenten und der Systemoptionen können Sie das System für den
effizienten Schutz vertraulicher Unternehmensinformationen optimieren.
Inhalt
Konfigurieren von McAfee DLP im Richtlinienkatalog
Schützen von Dateien mithilfe der Rechteverwaltung
Dokumentieren von Ereignissen mithilfe von Nachweisen
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
Steuern des Zugriffs auf die McAfee DLP Prevent-Funktionen
Arbeiten mit McAfee DLP Prevent-Richtlinien
Funktionen von McAfee ePO
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
61
4
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
Konfigurieren von McAfee DLP im Richtlinienkatalog
McAfee DLP verwendet den McAfee ePO-Richtlinienkatalog zum Speichern von Richtlinien und
Client-Konfigurationen.
McAfee DLP erstellt Richtlinien im Richtlinienkatalog von McAfee ePO. Richtlinien werden den
Endpunkt-Computern in der Systemstruktur von McAfee ePO zugewiesen.
•
DLP-Richtlinie: Enthält Aktive Regelsätze, die der Richtlinie zugewiesen sind, geplante
Endgeräterkennungs-Scans, Einstellungen für die Anwendungsstrategie, für das Außerkraftsetzen der
Geräteklasse und für privilegierte Benutzer sowie die Richtlinienvalidierung.
•
Server-Konfiguration: Enthält die Konfigurationen für McAfee DLP Discover, McAfee DLP Prevent
und McAfee DLP Prevent for Mobile Email. Hier können Sie die Optionen für den
Nachweiskopierdienst und die Protokollierung, die Einstellungen für die Rechteverwaltung und
SharePoint sowie die Textextrahierungsoptionen festlegen.
Die Server-Konfiguration wird nur angezeigt, wenn eine Lizenz für McAfee DLP Discover oder McAfee
DLP Prevent registriert ist.
Bewährte Methode: Erstellen Sie separate Server-Konfigurationen für McAfee DLP Discover,
McAfee DLP Prevent und McAfee DLP Prevent for Mobile Email.
McAfee DLP Prevent verwendet nur den Abschnitt Nachweiskopierdienst der Server-Konfiguration,
McAfee DLP Prevent for Mobile Email verwendet nur den Abschnitt ActiveSync-Proxy. McAfee DLP
Discover verwendet alle Abschnitte außer ActiveSync-Proxy.
•
Client-Konfigurationen: Die Konfigurationseinstellungen für die McAfee DLP Endpoint-Clients sind
für Microsoft Windows- und OS X-Computer in jeweils separaten Konfigurationen enthalten. Die
Einstellungen legen fest, wie Clients McAfee DLP-Richtlinien auf den Endpunkt-Computern
anwenden.
Client-Konfigurationen werden nur angezeigt, wenn eine Lizenz für McAfee DLP Endpoint registriert
ist.
Die DLP-Richtlinie umfasst aktive Regelsätze, die Konfiguration der Endgeräterkennung, Einstellungen und die
Richtlinienvalidierung.
Die Client-Konfigurationsrichtlinien (Windows, OS X) enthalten Einstellungen, die die Verarbeitung der
Richtlinien auf den Endpunkt-Computern festlegen. Diese befinden sich dort, wo Sie den
Nachweiskopierdienst für McAfee DLP Endpoint aktivieren.
Verwenden Sie die Server-Konfigurationsrichtlinien für McAfee Data Loss Prevention Discover und
McAfee DLP Prevent. Konfigurieren Sie die Einstellungen, wie z. B. den Nachweiskopierdienst und die
Protokollierungsparameter.
Importieren oder Exportieren der McAfee DLP EndpointKonfiguration
Richtlinienkonfigurationen für Endgeräte können zur Sicherung oder zum Übertragen von Richtlinien
auf andere McAfee ePO-Server im HTML-Format gespeichert werden.
Verwenden Sie diese Vorgehensweise nicht zum Speichern von DLP-Richtlinienkonfigurationen. Die
Datei kann zwar mit der Option Exportieren gespeichert werden, sie kann jedoch nicht mit der Option
Importieren importiert werden. Verwenden Sie zum Speichern von DLP-Richtlinien die Seite Sichern und
wiederherstellen in den DLP-Einstellungen.
62
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Richtlinienkatalog | Produkt | Data Loss Prevention aus.
2
Führen Sie eine der folgenden Aktionen aus:
•
Klicken Sie zum Exportieren auf Exportieren. Klicken Sie im Fenster Exportieren mit der rechten
Maustaste auf den Datei-Link, und wählen Sie Link speichern unter aus, um die Richtlinie als
XML-Datei zu speichern.
Mit der Schaltfläche Exportieren werden alle Richtlinien exportiert. Sie können eine einzelne
Richtlinie exportieren, indem Sie in der Zeile mit dem Richtliniennamen in der Spalte Aktionen die
Option Exportieren auswählen.
•
Klicken Sie zum Importieren einer gespeicherten Richtlinie auf Importieren. Navigieren Sie im
Fenster Richtlinien importieren zu einer gespeicherten Richtlinie, und klicken Sie auf Öffnen und dann
auf OK.
Daraufhin öffnet sich das Importfenster, in dem die zu importierenden Richtlinien aufgeführt
werden und angegeben wird, ob ein Namenskonflikt besteht. Sie können die Auswahl der
Richtlinien, bei denen ein Konflikt besteht, aufheben und diese nicht importieren. Wenn Sie eine
Richtlinie mit einem Namenskonflikt importieren, überschreibt diese die bestehende Richtlinie
und übernimmt deren Zuweisungen.
Client-Konfiguration
Die Client-Software McAfee DLP Endpoint für McAfee Agent ist auf den Unternehmens-Computern
installiert und führt die definierte Richtlinie aus. Außerdem überwacht die Software Benutzeraktivitäten
in Zusammenhang mit vertraulichen Inhalten. Die Client-Konfiguration wird in der Richtlinie
gespeichert, die auf verwalteten Computern bereitgestellt wird.
Der Richtlinienkatalog enthält McAfee-Standard-Richtlinien für Windows- und
OS X-Endpunktkonfigurationen und DLP-Richtlinien. Klicken Sie auf Duplizieren (in der Spalte Aktionen), um
eine bearbeitbare Kopie als Grundlage für Ihre Richtlinie zu erstellen.
Die Client-Konfiguration wird in der Richtlinie gespeichert, die über McAfee ePO auf verwalteten
Computern bereitgestellt wird. Wenn die Konfiguration geändert wird, müssen Sie die Richtlinie erneut
bereitstellen.
Client-Dienst-Watchdog
Der Client-Dienst-Watchdog wird von McAfee DLP Endpoint for Mac nicht unterstützt.
McAfee DLP Endpoint führt einen Schutzdienst namens Client-Dienst-Watchdog aus, um die
ordnungsgemäße Funktion der McAfee DLP Endpoint-Software auch im Fall von Manipulations- oder
Störversuchen aufrechtzuerhalten. Dieser Dienst überwacht die McAfee DLP Endpoint-Software und
startet diese neu, falls sie aus einem beliebigen Grund beendet wird. Der Dienst ist standardmäßig
aktiviert. Wenn Sie überprüfen möchten, ob dieser Dienst ausgeführt wird, suchen Sie im Microsoft
Windows Task-Manager nach dem Prozess "fcagswd.exe".
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
63
4
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
Client-Konfigurationseinstellungen
Client-Konfigurationseinstellungen legen die Arbeitsweise der Endgeräte-Software fest. Die meisten
Client-Konfigurationseinstellungen verfügen über geeignete Standardwerte, die für die Ersteinrichtung
und zu Testzwecken unverändert verwendet werden können.
Bewährte Methode: Sie sollten die Client-Konfigurationseinstellungen regelmäßig überprüfen, um
sicherzustellen, dass sie noch den Anforderungen entsprechen.
In der folgenden Liste werden einige der wichtigen Einstellungen aufgeführt, die Sie überprüfen
sollten.
Tabelle 4-1
Endgerätkonfiguration
Einstellung
Details
Beschreibung
Erweiterte Konfiguration
DLP-Client im sicheren Modus
ausführen
Diese Option ist standardmäßig deaktiviert.
Bei Aktivierung dieser Option arbeitet McAfee
DLP Endpoint mit vollem Funktionsumfang,
wenn der Computer im sicheren Modus
gestartet wird. Es gibt einen
Wiederherstellungsmechanismus für den Fall,
dass der McAfee DLP Endpoint-Client einen
Startfehler verursacht.
Gilt nur für
Windows-Clients
Agentenumgehung
Gilt für Windows- und
Mac OS X-Clients
Inhaltsüberwachung
Gilt für Windows- und
Mac OS X-Clients
Unternehmenskonnektivität
Gilt für Windows- und
Mac OS X-Clients
E-Mail-Schutz
Folgende alternative
ANSI-Codepage verwenden
Wenn keine Sprache festgelegt ist, wird als
Alternative die Sprache des
Endpunkt-Computers verwendet.
Prozesse in der Whitelist
Fügen Sie der Whitelist Prozesse und
Erweiterungen hinzu.
Erkennung des
Unternehmensnetzwerks
Sie können für Endpunkt-Computer im
Unternehmensnetzwerk und außerhalb des
Netzwerks unterschiedliche vorbeugende
Aktionen anwenden. Bei einigen Regeln kann
eine andere vorbeugende Aktion angewendet
werden, wenn eine Verbindung über ein VPN
besteht. Wenn die VPN-Option verwendet
werden soll oder die Netzwerkverbindung
anhand des Unternehmens-Servers anstelle
der Verbindung über McAfee ePO bestimmt
werden soll, geben Sie im entsprechenden
Bereich die gewünschte Server-IP-Adresse an.
Unternehmens-VPN-Erkennung
E-Mail-Caching
Bei Aktivierung dieser Option werden
Tag-Signaturen aus E-Mails auf dem
Datenträger gespeichert, damit E-Mails nicht
mehrfach analysiert werden müssen.
E-Mail-Verarbeitungs-API
Ausgehende E-Mails werden entweder über
OOM (Outlook Object Model) oder MAPI
(Messaging Application Programming
Interface) verarbeitet. OOM ist die
Standard-API, für einige Konfigurationen ist
jedoch MAPI erforderlich.
Integration von
Drittanbieter-Add-Ins für Outlook
Zwei Klassifizierungsanwendungen von
Drittanbietern werden unterstützt: Titus und
Boldon James.
Gilt nur für
Windows-Clients
64
Beendet die Agentenumgehung, wenn eine
neue Client-Konfiguration geladen wird. Diese
Option ist standardmäßig deaktiviert.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
Tabelle 4-1
4
Endgerätkonfiguration (Fortsetzung)
Einstellung
Details
Beschreibung
Zeitlimit-Strategie für E-Mails
Legt die zulässige Höchstdauer für die Analyse
von E-Mails und die Aktion fest, die bei
Überschreitung des Zeitlimits durchgeführt
werden soll.
Gilt für Windows- und
Mac OS X-Clients
UNC-Pfad der Freigabe für
die Nachweisspeicherung
Ersetzen Sie den Beispieltext durch die
Nachweisspeicherungsfreigabe.
Client-Einstellungen
Sie können die Art ändern, wie das
Hervorheben von Übereinstimmungen
angezeigt wird, indem Sie für "Klassifizierung
entspricht Datei" entweder "Alle
Übereinstimmungen erstellen" oder
"Abgekürzte Ergebnisse erstellen" festlegen.
Betriebsmodus und Module
Betriebsmodus
Sie können den Device Control-Modus oder
den vollständigen McAfee DLP
Endpoint-Modus einstellen. Wenn Sie ein
Lizenz-Upgrade oder -Downgrade
durchführen, müssen Sie diesen Parameter
zurücksetzen.
Datenschutzmodule
Aktivieren Sie die erforderlichen Module.
Nachweiskopierdienst
Gilt für Windows- und
Mac OS X-Clients
Bewährte Methode: Zur Verbesserung
der Leistung empfiehlt es sich, die
Auswahl nicht verwendeter Module
aufzuheben.
Web-Schutz
Web-Schutz-Überprüfung
Wählen Sie die Eingaben aus, die beim
Abgleichen der Web-Schutzregeln überprüft
werden sollen. Diese Einstellungen
ermöglichen das Blockieren von Anfragen, die
über AJAX an eine andere als die in der
Adresszeile angezeigte URL gesendet werden.
Es muss mindestens eine Option ausgewählt
werden.
HTTP-GET-Anfragen verarbeiten
GET-Anfragen sind standardmäßig deaktiviert,
da sie die Ressourcen stark belasten.
Verwenden Sie diese Option zurückhaltend.
Unterstützte Chrome-Versionen
Wenn Sie Google Chrome verwenden, klicken
Sie auf Durchsuchen, um die aktuelle Liste der
unterstützten Versionen hinzuzufügen. Diese
Liste ist eine XML-Datei, die Sie auf der
McAfee-Support-Website herunterladen
können.
Zeitlimit-Strategie für
Web-Veröffentlichungen
Hier werden das Zeitlimit für die Analyse der
Web-Veröffentlichungen, die bei
Überschreitung dieses Limits durchzuführende
Aktion sowie optional eine Meldung für den
Benutzer festgelegt.
URLs in der Whitelist
Hier sind die von Web-Schutzregeln
ausgeschlossenen URLs aufgeführt.
Gilt nur für
Windows-Clients
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
65
4
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
Unterstützung für Client-Konfigurationsparameter
McAfee DLP Endpoint for Windows und McAfee DLP Endpoint for Mac werden in separaten
Client-Richtlinien konfiguriert.
Tabelle 4-2 Seite 'Debugging und Protokollierung'
Parameter
Unterstützte Betriebssysteme
Von den Clients gemeldete
Verwaltungsereignisse
Folgende Filtereinstellungen gelten sowohl für McAfee DLP Endpoint for
Windows als auch für McAfee DLP Endpoint for Mac:
• Client wechselt in Umgehungsmodus
• Client beendet Umgehungsmodus
• Client wurde installiert
Alle anderen Einstellungen gelten nur für McAfee DLP Endpoint for
Windows.
Protokollierung
Wird sowohl von McAfee DLP Endpoint for Windows als auch von
McAfee DLP Endpoint for Mac unterstützt.
Tabelle 4-3 Seite 'Komponenten der Benutzeroberfläche'
Abschnitt
Parameter
Unterstützte Betriebssysteme
Client-Benutzeroberfläche
DLP-Konsole anzeigen (alle
Optionen)
Nur McAfee DLP Endpoint for Windows
Benachrichtigungs-Pop-Up für
Endbenutzer aktivieren
McAfee DLP Endpoint for Windows und
McAfee DLP Endpoint for Mac
Dialogfeld "Begründung anfordern"
anzeigen
McAfee DLP Endpoint for Windows und
McAfee DLP Endpoint for Mac
Abfrage und Antwort
Alle Optionen
McAfee DLP Endpoint for Windows und
McAfee DLP Endpoint for Mac
Richtlinie zum Sperren des
Freigabecodes
Alle Optionen
McAfee DLP Endpoint for Windows und
McAfee DLP Endpoint for Mac
Bild für Client-Banner
Alle Optionen
Nur McAfee DLP Endpoint for Windows
Konfigurieren der Client-Einstellungen
Konfigurieren Sie die Einstellungen für McAfee DLP Endpoint.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
66
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie in der Dropdown-Liste Produkt die Option Data Loss Prevention 10 aus.
3
(Optional) Wählen Sie in der Dropdown-Liste Kategorie die Option Windows-Client-Konfiguration oder Mac
OS X-Client-Konfiguration aus.
4
Wählen Sie eine Konfiguration aus, die Sie dann bearbeiten, oder klicken Sie für die Konfiguration
McAfee Default auf Duplizieren.
5
Geben Sie auf der Seite Nachweiskopierdienst die Speicherfreigabe und die Anmeldeinformationen ein.
6
Ändern Sie die Einstellungen auf den anderen Seiten nach Bedarf.
7
Klicken Sie auf Richtlinie anwenden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Konfigurieren von McAfee DLP im Richtlinienkatalog
4
Konfigurieren von Server-Einstellungen
Konfigurieren Sie Einstellungen für McAfee DLP Discover, McAfee DLP Prevent und den McAfee
DLP-Server für Mobilgeräte.
Bevor Sie beginnen
Für McAfee DLP Discover-Server-Einstellungen:
•
Bei Verwendung eines Servers für Rechteverwaltung benötigen Sie den Domänennamen,
den Benutzernamen und das Kennwort.
•
Wenn Sie Behebungs-Scans auf SharePoint-Servern durchführen möchten, müssen Sie
ermitteln, ob die SharePoint-Server in Ihrem Unternehmen den Papierkorb verwenden.
Wenn diese Einstellung nicht übereinstimmt, können während des Behebungs-Scans
Fehler oder unerwartetes Verhalten auftreten.
Konfigurieren Sie für den McAfee DLP-Server für Mobilgeräte die ActiveSync Configuration
(ActiveSync-Konfiguration) des MobileIron Sentry-Servers wie folgt:
•
Server Authentication (Server-Authentifizierung): Pass Through (Durchleiten)
•
ActiveSync Server(s) (ActiveSync-Server): [Proxy-Adresse für DLP ActiveSync]
Für den McAfee DLP-Server für Mobilgeräte ist eine Zertifizierung erforderlich.
Informationen zum Abrufen und Installieren von Zertifikaten finden Sie in KBxxxxx.
•
Der McAfee DLP-Server für Mobilgeräte verwendet nur die Einstellungen für ActiveSync-Proxy.
•
McAfee DLP Prevent verwendet nur die Einstellungen für den Nachweiskopierdienst.
•
McAfee DLP Discover kann alle Server-Einstellungsoptionen verwenden, mit Ausnahme von
ActiveSync-Proxy, wobei einige jedoch optional sind.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie in der Dropdown-Liste Produkt die Option Data Loss Prevention 10 aus.
3
(Optional) Wählen Sie in der Dropdown-Liste Kategorie die Option Server-Konfiguration aus.
4
Führen Sie eine der folgenden Aktionen aus.
•
Wählen Sie eine Server-Konfiguration zur Bearbeitung aus.
•
Klicken Sie für die Konfiguration McAfee Default auf Duplizieren.
5
(Optional, nur McAfee DLP Discover) Überprüfen Sie auf der Seite Box die Optionen für den
Papierkorb und den Versionsverlauf.
6
Geben Sie auf der Seite Nachweiskopierdienst die Speicherfreigabe und die Anmeldeinformationen ein.
Geben Sie für McAfee DLP Prevent einen Benutzernamen und ein Kennwort an. Verwenden Sie
nicht die Option für das lokale Systemkonto.
Bewährte Methode: Verwenden Sie für die Server-Einstellungen die Standardwerte. (McAfee DLP
Prevent ignoriert die Einstellungen für die Übertragungsbandbreite.)
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
67
4
Konfigurieren von Systemkomponenten
Schützen von Dateien mithilfe der Rechteverwaltung
7
(Optional, nur in McAfee DLP Discover) Auf der Seite Protokollierung können Sie den Ausgabetyp für
die Protokollierung und die Protokollebene festlegen.
Bewährte Methode: Verwenden Sie die Standardwerte.
8
(Nur McAfee DLP-Server für Mobilgeräte) Geben Sie auf der Seite ActiveSync-Proxy den DNS-Namen
des ActiveSync-Servers ein.
9
(Nur McAfee DLP Discover) Legen Sie auf der Seite Rechteverwaltung die Anmeldeinformationen für
den Rechteverwaltungsdienst fest.
10 (Nur McAfee DLP Discover) Aktivieren oder deaktivieren Sie auf der Seite SharePoint die Option
Gelöschte Dateien im Papierkorb ablegen.
Wenn Sie diese Einstellung aktivieren und der SharePoint-Server den Papierkorb nicht verwendet,
schlägt das Verschieben von Dateien fehl, und sie werden stattdessen standardmäßig kopiert. In
SharePoint ist der Papierkorb standardmäßig aktiviert.
11 (Optional, nur McAfee DLP Discover) Konfigurieren Sie auf der Seite Textextrahierung die Einstellungen
für die Textextrahierung.
Bewährte Methode: Verwenden Sie die Standardwerte.
a
Legen Sie eine alternative ANSI-Codepage fest.
Standardmäßig wird die Standardsprache des Erkennungs-Servers verwendet.
b
Legen Sie die maximale Größe für Ein- und Ausgabedateien und die Zeitlimits fest.
12 Klicken Sie auf Richtlinie anwenden.
Siehe auch
Schützen von Dateien mithilfe der Rechteverwaltung auf Seite 68
Dokumentieren von Ereignissen mithilfe von Nachweisen auf Seite 71
Aktionen für Datenschutzregeln auf Seite 159
Schützen von Dateien mithilfe der Rechteverwaltung
McAfee DLP Endpoint und McAfee DLP Discover können mit Rechteverwaltungs-Servern (RM-Server)
zusammenarbeiten, um Schutzmaßnahmen auf Dateien anzuwenden, die Regelklassifizierungen
entsprechen.
Bei Verwendung von McAfee DLP Endpoint, Version 10.x, müssen Sie Active Directory Rights
Management Services-Client 2.1, Build 1.0.2004.0, auf jedem Endpunkt-Computer installieren, auf dem
Rechteverwaltungsdienste verwendet werden. Der Befehl Richtlinie für Rechteverwaltung anwenden funktioniert
nur bei dieser Version des Rechteverwaltungs-Clients.
McAfee DLP Prevent kann erkennen, ob auf eine E-Mail Rechteverwaltungsschutz angewendet wurde.
Die Anwendung von Richtlinien für Rechteverwaltung auf E-Mails wird von McAfee DLP Prevent jedoch
nicht unterstützt.
Sie können eine Reaktion der Richtlinie für Rechteverwaltung auf die folgenden Datenschutz- und
Erkennungsregeln anwenden:
68
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Schützen von Dateien mithilfe der Rechteverwaltung
•
Cloud-Schutz
•
Datei-Server-Schutz (CIFS)
•
Endgerät-Dateisystem
•
SharePoint-Schutz
•
Box-Schutz
4
Richtlinien für die Rechteverwaltung können nicht mit Device Control-Regeln verwendet werden.
McAfee DLP kann durch Rechteverwaltung geschützte Dateien erkennen, indem den
Inhaltsklassifizierungs- oder Inhalts-Fingerprinting-Kriterien eine Dateiverschlüsselungseigenschaft
hinzugefügt wird. Diese Dateien können in die Klassifizierung ein- bzw. aus ihr ausgeschlossen
werden.
Zusammenwirken von McAfee DLP mit der Rechteverwaltung
Die Anwendung von Richtlinien für Rechteverwaltung auf Dateien in McAfee DLP folgt einem Workflow.
Workflow für die Rechteverwaltung
1
Zur Anwendung einer Richtlinie für Rechteverwaltung müssen Sie eine Datenschutz- oder
Erkennungsregel mit einer Reaktion erstellen und anwenden. Für die Reaktion sind ein
Rechteverwaltungs-Server und ein Eintrag in einer Richtlinie für Rechteverwaltung erforderlich.
2
Wenn eine Datei die Regel auslöst, sendet McAfee DLP diese Datei an den
Rechteverwaltungs-Server.
3
Der Rechteverwaltungs-Server wendet gemäß der angegebenen Richtlinie Schutzmaßnahmen an,
indem beispielsweise die Datei verschlüsselt wird, der Kreis der Benutzer mit Berechtigung zum
Aufrufen oder Entschlüsseln der Datei eingeschränkt wird oder die Bedingungen begrenzt werden,
unter denen auf die Datei zugegriffen werden kann.
4
Anschließend sendet der Rechteverwaltungs-Server die Datei mit den angewendeten
Schutzmaßnahmen zurück an die Quelle.
5
Wenn Sie eine Klassifizierung für die Datei konfiguriert haben, kann diese Datei von McAfee DLP
überwacht werden.
Beschränkungen
McAfee DLP Endpoint überprüft durch Rechteverwaltung geschützte Dateien nicht auf Inhalte. Wenn
eine Klassifizierung auf eine durch Rechteverwaltung Datei angewendet wird, werden nur die
Inhaltsfingerabdruckkriterien (Speicherort, Anwendung oder Web-Anwendung) beibehalten. Wenn ein
Benutzer die Datei ändert, gehen beim Speichern der Datei sämtliche Fingerabdrucksignaturen
verloren.
Unterstützte Rechteverwaltungs-Server
McAfee DLP Endpoint unterstützt Microsoft Windows Rights Management Services (Microsoft RMS) und
Seclore FileSecure™ Information Rights Management (IRM). McAfee DLP Discover unterstützt
Microsoft RMS.
Microsoft RMS
McAfee DLP unterstützt Microsoft RMS unter Windows Server 2003 und Active Directory RMS
(AD-RMS) unter Windows Server 2008 und 2012. Sie können den
Windows-Rechteverwaltungsdienst-Schutz auf die folgenden Anwendungen anwenden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
69
4
Konfigurieren von Systemkomponenten
Schützen von Dateien mithilfe der Rechteverwaltung
Dokumenttyp
Version
Microsoft Word
2010, 2013 und 2016
Microsoft Excel
Microsoft PowerPoint
SharePoint
2007
Exchange Server
Bei Microsoft RMS kann McAfee DLP den Inhalt geschützter Dateien untersuchen, wenn der aktuelle
Benutzer über Anzeigeberechtigungen verfügt.
Weitere Informationen zu Microsoft RMS finden Sie unter http://technet.microsoft.com/en-us/library/
cc772403.aspx.
Seclore IRM
McAfee DLP Endpoint unterstützt Seclore FileSecure RM, das mehr als 140 Dateiformate (einschließlich
der gängigen Dokumentformate) unterstützt:
•
Microsoft Office-Dokumente
•
Open Office-Dokumente
•
PDF
•
Text- und textbasierte Formate, darunter CSV, XML und HTML
•
Bildformate, darunter JPEG, BMP, GIF usw.
•
Technische Entwurfsformate wie DWG, DXF und DWF
Der McAfee DLP Endpoint-Client arbeitet mit dem FileSecure-Desktop-Client zusammen und
ermöglicht sowohl Online- als auch Offline-Integration.
Weitere Informationen zu Seclore IRM finden Sie unter http://seclore.com/
seclorefilesecure_overview.html.
Definieren eines Servers für die Rechteverwaltung
McAfee DLP Endpoint unterstützt zwei Rechteverwaltungssysteme: Microsoft Windows Rights
Management Services (RMS) und Seclore FileSecure™. Zur Verwendung dieser Systeme müssen Sie
den Server konfigurieren, der die Richtlinien für die Rechteverwaltung in McAfee ePO bereitstellt.
Bevor Sie beginnen
70
•
Richten Sie die Rechteverwaltungs-Server ein, und erstellen Sie Benutzer und
Richtlinien. Beschaffen Sie sich die URL und das Kennwort für alle Server
(Richtlinienvorlage, Zertifizierung und Lizenzierung). Für Seclore benötigen Sie die Hot
Folder-ID der CAB-Datei und die Passphrase sowie ggf. Angaben zu erweiterten
Lizenzen.
•
Vergewissern Sie sich, dass Sie über die Berechtigung zum Anzeigen, Erstellen und
Bearbeiten der Microsoft RMS- und Seclore-Server besitzen. Wählen Sie in McAfee ePO
Menü | Benutzerverwaltung | Berechtigungssätze aus, und vergewissern Sie sich, dass Sie zu
einer Gruppe gehören, die in Registrierte Server über die erforderlichen Berechtigungen
verfügt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Dokumentieren von Ereignissen mithilfe von Nachweisen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Registrierte Server aus.
2
Klicken Sie auf Neuer Server.
Daraufhin öffnet sich die Beschreibungsseite Registrierte Server.
3
Wählen Sie in der Dropdown-Liste Server-Typ den zu konfigurierenden Server-Typ aus:
Microsoft RMS-Server oder Seclore-Server.
4
Geben Sie einen Namen für die Server-Konfiguration ein, und klicken Sie dann auf Weiter.
5
Geben Sie die erforderlichen Details ein. Klicken Sie nach dem Ausfüllen aller erforderlichen Felder
auf Verbindung testen, um die eingegebenen Daten zu überprüfen.
6
•
Zu den RMS-Einstellungen gehört auch der Abschnitt DLP-Erzwingungseinstellungen. Das Feld Lokaler
Pfad zur RMS-Vorlage ist optional, die URL-Felder für die Zertifizierung und Lizenzierung müssen
jedoch ausgefüllt werden, sofern die Option zur automatischen Erkennung von Active
Directory-Diensten nicht aktiviert ist.
•
Für Seclore sind nur Angaben zur HotFolder-CAB-Datei erforderlich, zusätzliche Lizenzinformationen
sind optional.
Klicken Sie nach Abschluss der Konfiguration auf Speichern.
Dokumentieren von Ereignissen mithilfe von Nachweisen
Ein Nachweis ist eine Kopie der Daten, die ein Sicherheitsereignis ausgelöst haben, das an den
DLP-Vorfallsmanager gesendet wird.
Nach Möglichkeit werden mehrere Nachweisdateien für ein Ereignis erstellt. Wenn das Ereignis
aufgrund einer ausgelösten E-Mail-Schutzregel aufgetreten ist, werden die E-Mail, der Text und die
Anhänge als Nachweisdateien gespeichert.
Wenn eine Klassifizierung in den E-Mail-Headern erfolgt, wird kein separater Nachweis geschrieben, da
sich dieser in der Nachricht selbst befindet. Der übereinstimmende Text ist in den hervorgehobenen
Übereinstimmungen für den Textnachweis enthalten.
Verwendung von Nachweisen und Nachweisspeicherung
Die meisten Regeln bieten eine Option zum Speichern von Nachweisen. Bei Auswahl dieser Option wird
eine verschlüsselte Kopie der blockierten bzw. überwachten Inhalte im vordefinierten Nachweisordner
gespeichert.
McAfee DLP Endpoint speichert Nachweise zwischen den einzelnen Agent-Server-Kommunikationen in
einem temporären Speicherort auf dem Client. Wenn McAfee Agent Informationen an den Server
weiterleitet, wird der Ordner bereinigt, und der Nachweis wird im Nachweisordner des Servers
gespeichert. Sie können die maximale Größe und das maximale Alter der Nachweise festlegen, die
lokal gespeichert werden dürfen, wenn der Computer offline ist.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
71
4
Konfigurieren von Systemkomponenten
Dokumentieren von Ereignissen mithilfe von Nachweisen
Voraussetzungen für die Nachweisspeicherung
Die Nachweisspeicherung ist in McAfee DLP standardmäßig aktiviert. Wenn Sie keine Nachweise
speichern möchten, können Sie den Nachweisdienst deaktivieren und damit die Leistung verbessern.
Folgendes ist bei der Einrichtung der Software entweder erforderlich oder wird als Standardeinstellung
festgelegt:
•
Ordner für Nachweisspeicherung: Zur Anwendung einer Richtlinie für McAfee ePO müssen Sie
im Netzwerk einen Ordner für die Nachweisspeicherung erstellen und den UNC-Pfad zu diesem
Ordner angeben. Der Pfad wird auf der Seite DLP-Einstellungen angegeben. Der UNC-Standardpfad
wird auf die Seiten für den Nachweiskopierdienst der Server-Konfiguration (McAfee DLP Discover,
McAfee DLP Prevent) und der Client-Konfigurationen (McAfee DLP Endpoint) im Richtlinienkatalog
kopiert. Sie können die Standardeinstellungen bearbeiten und andere Ordner für die
Nachweisspeicherung in den Konfigurationen angeben.
•
Nachweiskopierdienst: Der Nachweiskopierdienst für McAfee DLP Endpoint wird auf der Seite
Betriebsmodus und Module der Richtlinie zur Client-Konfiguration aktiviert. Der Berichterstellungsdienst, der
noch über einen Untereintrag verfügt, muss für die Nachweiserfassung ebenfalls aktiviert werden.
Für McAfee DLP Discover und McAfee DLP Prevent wird der Dienst in der
Server-Konfigurationsrichtlinie aktiviert.
Siehe auch
Konfigurieren der Client-Einstellungen auf Seite 66
Konfigurieren von Server-Einstellungen auf Seite 67
Nachweisspeicherung und Speicher
Die Anzahl der pro Ereignis gespeicherten Nachweisdateien hat Auswirkungen auf das
Speichervolumen, die Leistung der Ereignisanalyse und die Bildschirmdarstellung (und damit auf die
Benutzerfreundlichkeit) der Seiten DLP-Vorfallsmanager und DLP-Vorgänge. Die verschiedenen Anforderungen
bezüglich der Nachweise werden in der McAfee DLP-Software wie folgt gehandhabt:
•
Die höchstzulässige Anzahl der pro Ereignis zu speichernden Nachweisdateien wird auf der Seite
Nachweiskopierdienst festgelegt.
•
Wenn eine große Anzahl von Nachweisdateien mit einem Ereignis verknüpft sind, werden nur die
ersten 100 Dateinamen in der Datenbank gespeichert und auf der Detailseite des DLP-Vorfallsmanagers
angezeigt. Die restlichen Nachweisdateien (bis zum festgelegten Maximum) werden in der
Nachweisspeicherfreigabe gespeichert, jedoch nicht mit dem Ereignis verknüpft. Berichte und
Abfragen, die die Nachweise anhand des Dateinamens filtern, haben nur Zugriff auf diese ersten
100 Dateinamen.
•
Im Feld Gesamtanzahl von Übereinstimmungen des DLP-Vorfallsmanagers wird die Gesamtzahl der Nachweise
angezeigt.
•
Wenn im Nachweisspeicher die Obergrenze erreicht ist, lehnt McAfee DLP Prevent die Nachricht
zeitweise ab und gibt einen SMTP-Fehler aus. Daraufhin wird im Protokoll für Client-Ereignisse ein
Ereignis registriert, und auf dem Dashboard für die Appliance-Verwaltung wird eine Warnung angezeigt.
Hervorheben von Übereinstimmungen
Mithilfe der Option zum Hervorheben von Übereinstimmungen können Administratoren gezielt
überprüfen, welche vertraulichen Inhalte das jeweilige Ereignis ausgelöst haben.
Bei Auswahl dieser Option wird eine verschlüsselte HTML-Nachweisdatei gespeichert, die den
extrahierten Text enthält.
Die Nachweisdatei ist aus Auszügen zusammengesetzt. Ein Auszug für Inhaltsklassifizierungen oder
Inhaltsfingerabdrücke enthält üblicherweise den vertraulichen Text sowie die 100 vorhergehenden und
100 nachfolgenden Zeichen (als Kontext), geordnet nach der Inhaltsklassifizierung bzw. dem
Inhaltsfingerabdruck, der das Ereignis ausgelöst hat, sowie die Anzahl der Ereignisse pro
72
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Dokumentieren von Ereignissen mithilfe von Nachweisen
4
Inhaltsklassifizierung bzw. Inhaltsfingerabdruck. Wenn im Abstand von bis zu 100 Zeichen der
vorherigen Übereinstimmung mehrere Übereinstimmungen vorhanden sind, werden diese
hervorgehoben, und der hervorgehobene Text wird einschließlich der darauffolgenden 100 Zeichen
dem Auszug hinzugefügt. Wenn sich die Übereinstimmung im Header oder in der Fußzeile eines
Dokuments befindet, enthält der Auszug nur den hervorgehobenen Text ohne die vorherigen bzw.
nachfolgenden 100 Zeichen.
Die Anzeigeoptionen werden auf der Seite Nachweiskopierdienst der Richtlinie für die Client- oder
Server-Konfiguration im Feld Klassifizierung entspricht Datei festgelegt:
•
Abgekürzte Ergebnisse erstellen (Standardeinstellung)
•
Alle Übereinstimmungen erstellen
•
Deaktiviert: Deaktiviert die Funktion zur Hervorhebung von Übereinstimmungen
Die abgekürzten Ergebnisse können bis zu 20 Auszüge umfassen. Eine Datei für die Hervorhebung von
Übereinstimmungen kann bei aktivierter Option 'Alle Übereinstimmungen erstellen' eine unbegrenzte
Anzahl von Auszügen enthalten, die Anzahl von Übereinstimmungen pro Klassifizierung ist jedoch
beschränkt. Bei den Klassifizierungen Erweitertes Muster und Stichwort besteht eine Obergrenze von
100 Übereinstimmungen. Bei Wörterbuchklassifizierungen sind es 250 Übereinstimmungen pro
Wörterbucheintrag. Wenn eine Datei für die Hervorhebung von Übereinstimmungen mehrere
Klassifizierungen enthält, werden am Anfang der Datei noch vor den Auszügen zuerst die Namen der
Klassifizierungen und die Anzahl der Übereinstimmungen aufgelistet.
Regeln mit Nachweisspeicherungsoption
Die folgenden Regeln bieten eine Option zur Nachweisspeicherung.
Tabelle 4-4 Anhand von Regeln gespeicherte Nachweise
Regel
Gespeicherter Inhalt
Produkt
Regel für den Schutz des Zugriffs auf
Anwendungsdateien
Kopie der Datei
McAfee DLP Endpoint
Zwischenablage-Schutzregel
Kopie der Zwischenablage
Cloud-Schutzregel
Kopie der Datei
E-Mail-Schutzregel
Kopie der E-Mail
• McAfee DLP Endpoint
• McAfee DLP Prevent
Mobilgeräte-Schutzregel
Kopie der E-Mail
McAfee DLP Prevent for
Mobile Email
Netzwerkfreigabe-Schutzregel
Kopie der Datei
McAfee DLP Endpoint
Druckerschutzregel
Kopie der Datei
Wechselspeicher-Schutzregel
Kopie der Datei
Bildschirmaufnahme-Schutzregel
JPEG-Bild des Bildschirms
Web-Schutzregel
Kopie der Web-Veröffentlichung
Dateisystem-Erkennungsregel
Kopie der Datei
E-Mail-Speicher-Erkennungsregel
Kopie der MSG-Datei
Box-Schutzregel
Kopie der Datei
Datei-Server-Schutzregel (CIFS)
Kopie der Datei
SharePoint-Schutzregel
Kopie der Datei
McAfee Data Loss Prevention 10.0.100
McAfee DLP Discover
Produkthandbuch
73
4
Konfigurieren von Systemkomponenten
Dokumentieren von Ereignissen mithilfe von Nachweisen
Erstellen von Nachweisordnern
Nachweisordner enthalten Informationen, die von allen McAfee DLP-Software-Produkten zum Erstellen
von Richtlinien und Berichten verwendet werden. Abhängig von Ihrer McAfee DLP-Installation müssen
bestimmte Ordner und Netzwerkfreigaben erstellt und ihre Eigenschaften und Sicherheitseinstellungen
entsprechend konfiguriert werden.
Die einzelnen McAfee DLP-Produkte verfügen jeweils über unterschiedliche Speicherpfade für die
Nachweisordner. Wenn mehrere McAfee DLP-Produkte in McAfee ePO installiert sind, werden die
UNC-Pfade der Nachweisordner synchronisiert. Die Ordner müssen sich nicht auf demselben Computer
befinden wie der McAfee DLP-Datenbank-Server, in der Regel bietet es sich jedoch an.
Der Nachweisspeicherpfad muss eine Netzwerkfreigabe sein, d. h., er muss den Namen des Servers
enthalten.
•
Nachweisordner: In einigen Regeln kann festgelegt werden, dass Nachweise gespeichert werden
sollen. Hierfür müssen Sie vorher festlegen, wo diese Nachweisdateien gespeichert werden sollen.
Wenn beispielsweise eine Datei blockiert wird, wird eine Kopie dieser Datei im Nachweisordner
abgelegt.
•
Kopieren und Verschieben von Ordnern: Wird von McAfee DLP Discover zur Problembehebung
für Dateien verwendet.
Die folgenden Ordnerpfade, Ordnernamen und Freigabenamen sind Empfehlungen, Sie können jedoch
passend für Ihre Umgebung andere erstellen.
•
C:\DLP_Ressourcen\
•
C:\DLP_Ressourcen\Nachweis
•
C:\DLP_Ressourcen\Kopieren
•
C:\DLP_Ressourcen\Verschieben
Siehe auch
Konfigurieren der Einstellungen für Nachweisordner auf Seite 74
Konfigurieren der Einstellungen für Nachweisordner
In Nachweisordnern werden Nachweisinformationen gespeichert, wenn Dateien erkannt wurden, die
einer Regel entsprechen.
Abhängig von Ihrer McAfee DLP-Installation müssen bestimmte Ordner und Netzwerkfreigaben erstellt
und ihre Eigenschaften und Sicherheitseinstellungen entsprechend konfiguriert werden. Das
erforderliche Feld Standard-Nachweisspeicherung in den DLP-Einstellungen erfüllt die Grundanforderung.
Es empfiehlt sich jedoch, für alle McAfee DLP-Produkte jeweils separate Nachweisfreigaben
festzulegen. Durch das Festlegen von Nachweisfreigaben auf die unten erläuterte Weise wird die
Standardeinstellung außer Kraft gesetzt.
Sie müssen Schreibzugriff für das Benutzerkonto konfigurieren, das die Daten in den Nachweisordner
schreibt, wie z. B. das lokale Systemkonto auf dem Server. Um Nachweise aus McAfee ePO anzeigen zu
können, müssen Sie Lesezugriff für das lokale Systemkonto des McAfee ePO-Servers zulassen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
74
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie in der Dropdown-Liste Produkt die Option Data Loss Prevention 10 aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
3
Wählen Sie aus der Dropdown-Liste Kategorie je nach dem zu konfigurierenden Produkt eine der
folgenden Optionen aus.
•
Windows-Client-Konfiguration: McAfee DLP Endpoint for Windows
•
Mac OS X-Client-Konfiguration: McAfee DLP Endpoint for Mac
•
Server-Konfiguration: McAfee DLP Discover und McAfee DLP Prevent
4
Wählen Sie eine Konfiguration aus, die Sie dann bearbeiten, oder klicken Sie auf Duplizieren, damit
die Konfiguration McAfee Default verwendet wird.
5
Führen Sie auf der Seite Nachweiskopierdienst Folgendes durch:
a
Wählen Sie aus, ob der Dienst aktiviert oder deaktiviert werden soll.
Mithilfe des Nachweiskopierdienstes können beim Auslösen von Regeln entsprechende
Nachweise gespeichert werden. Wenn der Dienst deaktiviert ist, werden keine Nachweise
erfasst, sondern nur Vorfälle generiert.
b
Geben Sie bei Bedarf den UNC-Pfad für die Nachweisspeicherfreigabe ein. Wenn nicht das lokale
Systemkonto verwendet werden soll, geben Sie einen Benutzernamen und ein Kennwort für die
Nachweisspeicherung ein.
Für McAfee DLP Prevent ist die Angabe eines Benutzernamens und eines Kennworts
obligatorisch.
Standardmäßig handelt es sich beim UNC-Pfad um den Pfad, der beim Konfigurieren der Lizenz
auf der Seite DLP-Einstellungen eingegeben wurde. Sie können den UNC-Pfad für jede neu erstellte
und funktionierende Richtlinie ändern oder aber die Standardeinstellung belassen.
c
(Optional) Setzen Sie die Standardfilter Maximale Größe der Nachweisdatei und Max. Bandbreite bei
Nachweisübertragung zurück.
McAfee DLP Prevent ignoriert die Einstellung für die Übertragungsbandbreite.
d
Wählen Sie aus, ob das Speichern der ursprünglichen Datei aktiviert oder deaktiviert werden
soll.
Wenn Sie Deaktiviert auswählen, wird die Einstellung Ursprüngliche Datei speichern in den jeweiligen
Regeln außer Kraft gesetzt.
e
6
Legen Sie für den Abgleich mit der Klassifizierung "Abgekürzte Ergebnisse" oder "Alle
Übereinstimmungen" fest. Sie können den Abgleich an dieser Stelle auch deaktivieren.
Klicken Sie auf Richtlinie anwenden.
Siehe auch
Verwendung von Nachweisen und Nachweisspeicherung auf Seite 71
Steuern von Zuweisungen mit Benutzern und
Berechtigungssätzen
McAfee DLP verwendet Benutzer und Berechtigungssätze von McAfee ePO, um verschiedene Bereiche der
McAfee DLP-Verwaltung unterschiedlichen Benutzern oder Gruppen zuzuweisen.
Bewährte Methode: Erstellen Sie spezifische Berechtigungssätze, Benutzer und Gruppen für McAfee
DLP.
Erstellen Sie verschiedene Rollen, indem Sie verschiedene Administrator- und Prüferberechtigungen für
die verschiedenen McAfee DLP-Module in McAfee ePO zuweisen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
75
4
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
Unterstützung von Filterberechtigungen für die Systemstruktur
McAfee DLP unterstützt im DLP-Vorfallsmanager und in den DLP-Vorgängen Filterberechtigungen für die
McAfee ePO-Systemstruktur. Bei aktivierter Filterung in der Systemstruktur können McAfee ePO-Bediener nur
Vorfälle auf Computern in dem Bereich der Systemstruktur sehen, für den sie über eine Berechtigung
verfügen. Gruppenadministratoren haben standardmäßig keine Berechtigungen in der McAfee
ePO-Systemstruktur. Unabhängig von den im Berechtigungssatz Data Loss Prevention zugewiesenen
Berechtigungen werden ihnen im DLP-Vorfalls-Manager und in den DLP-Vorgängen keine Vorfälle angezeigt.
Die Filterung der Systemstruktur ist standardmäßig deaktiviert, kann jedoch unter DLP-Einstellungen aktiviert
werden.
Bewährte Methode: Für Kunden, die in Data Loss Prevention-Berechtigungssätzen Gruppenadministratoren
verwendet haben, sollten Sie Gruppenadministratoren folgende Berechtigungen gewähren:
· Berechtigung Registerkarte "Systemstruktur" anzeigen (unter Systeme)
· Systemstrukturzugriffs-Berechtigungen auf der entsprechenden Ebene
Unkenntlichmachung vertraulicher Daten und McAfee ePO-Berechtigungssätze
Die McAfee DLP-Software bietet eine Funktion, mit der Daten unkenntlich gemacht werden können,
um den gesetzlichen Bestimmungen in einigen Märkten gerecht zu werden, die den vollständigen
Schutz vertraulicher Informationen vorschreiben. Felder in den Konsolen DLP-Vorfallsmanager und
DLP-Vorgänge, die vertrauliche Informationen enthalten, können unkenntlich gemacht werden, um die
nicht autorisierte Einsichtnahme zu verhindern. Links zu vertraulichen Nachweisen werden dann
ausgeblendet. Die Freigabe dieser Felder ist aus Sicherheitsgründen zweistufig angelegt. Zur
Verwendung dieser Funktion müssen daher zwei Berechtigungssätze erstellt werden: einer zum
Anzeigen der Vorfälle und einer zum Anzeigen der unkenntlich gemachten Felder
(Supervisor-Berechtigung). Beide Rollen können demselben Benutzer zugewiesen werden.
Erstellen von Endbenutzerdefinitionen
McAfee DLP greift zum Erstellen von Endbenutzerdefinitionen auf Active Directory (AD)- oder
Lightweight Directory Access Protocol (LDAP)-Server zu.
Endbenutzergruppen werden für Administratorzuordnungen und -berechtigungen sowie in Schutz- und
Geräteregeln eingesetzt. Sie können Benutzer, Benutzergruppen oder Organisationseinheiten (OU,
Organizational Units) beinhalten, was dem Administrator die Auswahl eines passenden Modells
ermöglicht. Unternehmen, die bereits nach dem Organisationseinheitenmodell strukturiert sind,
können weiterhin dieses Modell nutzen, andere Unternehmen können je nach Bedarf Gruppen oder
einzelne Benutzer verwenden.
LDAP-Objekte können anhand des Namens oder der Sicherheits-ID (SID) identifiziert werden. SIDs
sind sicherer, und zudem bleiben die entsprechenden Berechtigungen auch nach der Umbenennung
von Konten bestehen. Allerdings werden sie im Hexadezimalformat gespeichert, sodass sie zunächst
decodiert werden müssen, damit sie in ein lesbares Format umgewandelt werden können.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
76
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie erst Quelle/Ziel | Endbenutzergruppe und dann Aktionen | Neu aus.
4
Geben Sie auf der Seite Neue Benutzergruppe einen eindeutigen Namen und bei Bedarf eine
Beschreibung ein.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
5
Wählen Sie die Methode zum Identifizieren von Objekten aus (SID oder Name).
6
Klicken Sie auf eine der Schaltflächen zum Hinzufügen (Benutzer hinzufügen, Gruppen hinzufügen oder OE
hinzufügen).
4
Daraufhin öffnet sich ein Auswahlfenster, in dem die ausgewählte Art von Elementen angezeigt
wird.
Wenn es sich um eine lange Liste handelt, kann es einige Sekunden dauern, bis die Anzeige erfolgt.
Wenn keine Informationen angezeigt werden, wählen Sie im Dropdown-Menü Voreingestellt die Option
Container und untergeordnete Elemente aus.
7
Wählen Sie die gewünschten Namen aus, und klicken Sie auf OK, um sie zur Definition
hinzuzufügen.
Wiederholen Sie diesen Vorgang zum Hinzufügen weiterer Benutzer, Gruppen oder
Organisationseinheiten-Benutzer nach Bedarf.
8
Klicken Sie auf Speichern.
Zuweisen von McAfee DLP-Berechtigungssätzen
Mit McAfee DLP-Berechtigungssätzen werden Berechtigungen zum Anzeigen und Speichern von
Richtlinien sowie zum Anzeigen unkenntlich gemachter Felder zugewiesen. Darüber hinaus werden sie
zur Zuweisung der rollenbasierten Zugangskontrolle (Role-Based Access Control, RBAC) verwendet.
Bei der Installation der McAfee DLP-Server-Software wird der McAfee ePO-Berechtigungssatz Data
Loss Prevention hinzugefügt. Wenn eine Vorversion von McAfee DLP auf demselben McAfee ePO-Server
installiert ist, wird dieser Berechtigungssatz ebenfalls angezeigt.
Die Berechtigungssätze decken alle Bereiche der Verwaltungskonsole ab. Es gibt drei
Berechtigungsstufen:
•
Verwenden: Dem Benutzer werden nur Namen der Objekte (Definitionen, Klassifizierungen usw.)
und keine Details angezeigt.
Die Mindestberechtigung für Richtlinien ist Keine Berechtigung.
•
Anzeigen und verwenden: Dem Benutzer werden Detailinformationen über die Objekte
angezeigt, diese können jedoch nicht geändert werden.
•
Vollständige Berechtigung: Der Benutzer kann Objekte erstellen und ändern.
Sie können Berechtigungen für verschiedene Abschnitte der Verwaltungskonsole festlegen und somit
Administratoren und Prüfern nach Bedarf verschiedene Berechtigungen erteilen. Die Abschnitte sind in
einer logischen Hierarchie gruppiert, beispielsweise wird bei der Auswahl von Klassifizierungen
automatisch Definitionen ausgewählt, da zur Konfiguration der Klassifizierungskriterien Definitionen
benötigt werden.
Es gibt folgende McAfee DLP Endpoint-Berechtigungsgruppen:
Gruppe I
Gruppe II
Gruppe III
• Richtlinienkatalog
• DLP-Richtlinien-Manager
• Klassifizierungen
• DLP-Richtlinien-Manager
• Klassifizierungen
• Definitionen
• Klassifizierungen
• Definitionen
• Definitionen
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
77
4
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
Die McAfee DLP Discover-Berechtigungsgruppe lautet wie folgt:
•
DLP Discover
•
DLP-Richtlinien-Manager
•
Klassifizierungen
•
Definitionen
Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden.
Die Berechtigungen für Data Loss Prevention-Aktionen wurden in den Berechtigungssatz Help
Desk-Aktionen verschoben. Mithilfe dieser Berechtigungen können Administratoren Schlüssel für die
Umgehung von Clients, Deinstallationsschlüssel, Schlüssel für die Freigabe aus der Quarantäne und
Master-Schlüssel generieren.
Zusätzlich zu den Standardberechtigungen für den Abschnitt können Sie für jedes Objekt eine
Außerkraftsetzung festlegen. Die Außerkraftsetzung kann die Berechtigungsstufe entweder erhöhen
oder verringern. Beispielsweise werden in den DLP-Richtlinien-Manager-Berechtigungen alle
Regelsätze aufgelistet, die beim Erstellen des Berechtigungssatzes vorhanden sind. Sie können für
jedes Objekt eine andere Außerkraftsetzung festlegen. Neu erstellte Regelsätze erhalten die
Standard-Berechtigungsstufe.
Abbildung 4-1 McAfee DLP-Berechtigungssätze
Erstellen eines McAfee DLP-Berechtigungssatzes
Berechtigungssätze werden zum Definieren verschiedener administrativer Rollen und Prüferrollen in
der McAfee DLP-Software verwendet.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
78
1
Wählen Sie in McAfee ePO Menü | Benutzerverwaltung | Berechtigungssätze aus.
2
Wählen Sie einen vordefinierten Berechtigungssatz aus, oder klicken Sie auf Neu, um einen
Berechtigungssatz zu erstellen.
a
Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus.
b
Klicken Sie auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
3
4
Wählen Sie einen Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data Loss Prevention auf
Bearbeiten.
a
Wählen Sie im linken Bereich ein Datenschutzmodul aus.
Vorfallverwaltung, Operative Ereignisse und Fallverwaltung können separat ausgewählt werden. Mit
anderen Optionen werden automatisch vordefinierte Gruppen erstellt.
b
Bearbeiten Sie nun die gewünschten Optionen, und setzen Sie die Berechtigungen nach Bedarf
außer Kraft.
Der Richtlinienkatalog enthält keine Optionen, die bearbeitet werden können. Wenn Sie den
Richtlinienkatalog einem Berechtigungssatz hinzufügen, können Sie jedoch die Untermodule in
der Gruppe Richtlinienkatalog bearbeiten.
c
Klicken Sie auf Speichern.
Aufgaben
•
Anwendungsbeispiel: DLP-Administratorberechtigungen auf Seite 79
Sie können die Administratoraufgaben nach Bedarf aufteilen. So könnten Sie beispielsweise
einen Richtlinienadministrator erstellen, der nicht für die Überprüfung von Ereignissen
zuständig ist.
•
Anwendungsbeispiel: Einschränkung der Anzeige im DLP-Vorfalls-Manager anhand von
Berechtigungen zur Unkenntlichmachung auf Seite 80
McAfee DLP Endpoint bietet eine Funktion zur Unkenntlichmachung von Daten, damit
vertrauliche Daten geschützt und die in einigen Märkten geltenden entsprechenden
gesetzlichen Vorgaben erfüllt werden können.
Anwendungsbeispiel: DLP-Administratorberechtigungen
Sie können die Administratoraufgaben nach Bedarf aufteilen. So könnten Sie beispielsweise einen
Richtlinienadministrator erstellen, der nicht für die Überprüfung von Ereignissen zuständig ist.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Berechtigungssätze aus.
2
Klicken Sie auf Neu, um einen Berechtigungssatz zu erstellen.
a
Geben Sie einen Namen für den Berechtigungssatz ein, und wählen Sie Benutzer aus.
Um eine Richtlinie bearbeiten zu können, muss der Benutzer entweder der Richtlinienbesitzer
oder ein Mitglied des Berechtigungssatzes der globalen Administratoren sein.
b
3
Klicken Sie auf Speichern.
Wählen Sie im Berechtigungssatz Data Loss Prevention die Option Richtlinienkatalog aus.
DLP-Richtlinien-Manager, Klassifizierungen und Definitionen werden automatisch ausgewählt.
4
Vergewissern Sie sich in jedem der drei Submodule, dass der Benutzer über vollständige
Berechtigungen und Vollzugriff verfolgt.
Vollständige Berechtigungen sind die Standardeinstellung.
Der Administrator kann nun Richtlinien, Regeln, Klassifizierungen und Definitionen erstellen und
ändern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
79
4
Konfigurieren von Systemkomponenten
Steuern von Zuweisungen mit Benutzern und Berechtigungssätzen
Anwendungsbeispiel: Einschränkung der Anzeige im DLP-Vorfalls-Manager
anhand von Berechtigungen zur Unkenntlichmachung
McAfee DLP Endpoint bietet eine Funktion zur Unkenntlichmachung von Daten, damit vertrauliche
Daten geschützt und die in einigen Märkten geltenden entsprechenden gesetzlichen Vorgaben erfüllt
werden können.
Bei der Unkenntlichmachung von Daten werden im DLP-Vorfalls-Manager und in DLP-Vorgänge
bestimmte Felder mit vertraulichen Informationen verschlüsselt, sodass die nicht autorisierte Anzeige
unterbunden wird, und die Links zu den Nachweisdateien werden ausgeblendet.
Die Felder Computer-Name und Benutzername sind als privat vordefiniert.
Dieses Beispiel veranschaulicht, wie die Berechtigungen im DLP-Vorfalls-Manager für einen Prüfer der
unkenntlich gemachten Daten eingerichtet werden. Dies ist ein bestimmter Administrator, der zwar
keine Vorfälle anzeigen, jedoch verschlüsselte Felder sichtbar machen kann, wenn dies für einen
anderen Prüfer, der diesen Vorfall anzeigen muss, erforderlich ist.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Benutzerverwaltung | Berechtigungssätze aus.
2
Erstellen Sie für reguläre Prüfer und für den Prüfer der unkenntlich gemachten Daten
entsprechende Berechtigungssätze.
a
Klicken Sie auf Neu (oder auf Aktionen | Neu).
b
Geben Sie einen Namen für die Gruppe ein, beispielsweise DLPE-Vorfallprüfer oder Prüfer
für unkenntlich gemachte Daten.
Sie können verschiedenen Prüfergruppen unterschiedliche Vorfalltypen zuweisen. Die Gruppen
müssen erst unter Berechtigungssätze angelegt werden, bevor Sie ihnen Vorfälle zuweisen können.
c
Weisen Sie der Gruppe nun Benutzer zu, entweder aus den verfügbaren McAfee ePO-Benutzern
oder durch Zuordnen von Active Directory-Benutzern oder -Gruppen zum Berechtigungssatz.
Klicken Sie auf Speichern.
Die Gruppe wird im linken Fensterbereich in der Liste Berechtigungssätze angezeigt.
3
Wählen Sie einen Standardprüfer-Berechtigungssatz aus, und klicken Sie dann im Abschnitt Data
Loss Prevention auf Bearbeiten.
a
Wählen Sie im linken Fensterbereich Vorfallverwaltung aus.
b
Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann die den folgenden Berechtigungssätzen
zugewiesenen Vorfälle anzeigen aus, klicken Sie auf das Auswahlsymbol, und wählen Sie die
entsprechenden Berechtigungssätze aus.
c
Heben Sie im Abschnitt Unkenntlichmachung der Vorfalldaten die standardmäßige Auswahl von
Supervisor-Berechtigung auf, und wählen Sie die Option Vertrauliche Vorfalldaten verschleiern aus.
Bei Auswahl dieser Option werden vertrauliche Daten unkenntlich gemacht, andernfalls werden
alle Datenfelder als Klartext angezeigt.
80
d
Aktivieren bzw. deaktivieren Sie im Abschnitt Vorfall-Tasks die erforderlichen Tasks nach Bedarf.
e
Klicken Sie auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Steuern des Zugriffs auf die McAfee DLP Prevent-Funktionen
4
4
Wählen Sie den Berechtigungssatz für Prüfer von unkenntlich gemachten Daten aus, und klicken
Sie dann im Abschnitt Data Loss Prevention auf Bearbeiten.
a
Wählen Sie im linken Fensterbereich Vorfallverwaltung aus.
b
Wählen Sie im Abschnitt Vorfallprüfer die Option Benutzer kann alle Vorfälle anzeigen aus.
Für dieses Beispiel wird angenommen, dass ein einziger Prüfer für unkenntlich gemachte Daten
für alle Vorfälle zuständig ist. Sie können verschiedenen Sätzen von Vorfällen jedoch auch
unterschiedliche Prüfer für unkenntlich gemachte Daten zuweisen.
c
Wählen Sie im Abschnitt Unkenntlichmachung der Vorfalldaten sowohl die Option Supervisor-Berechtigung als
auch die Option Vertrauliche Vorfalldaten verschleiern aus.
d
Heben Sie im Abschnitt Vorfall-Tasks die Auswahl aller Tasks auf.
Normalerweise haben Prüfer für unkenntlich gemachte Daten keine anderen Prüfer-Tasks. Dies
ist jedoch nicht vorgeschrieben und kann in Ihrem Unternehmen anders gehandhabt werden.
e
Klicken Sie auf Speichern.
Steuern des Zugriffs auf die McAfee DLP Prevent-Funktionen
Anhand der in McAfee ePO verfügbaren Berechtigungssätze können Sie steuern, welche Rollen in Ihrem
Unternehmen auf die Richtlinien und Einstellungen für McAfee DLP Prevent und die
Appliance-Verwaltung zugreifen dürfen.
Verhindern der Anzeige von Appliances in der Systemstruktur
für Benutzer
Mithilfe der Option Keine Berechtigungen können Sie festlegen, dass Benutzer die Appliances in der
Systemstruktur nicht anzeigen und auch keine Richtlinien anzeigen oder bearbeiten können.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie im McAfee ePO-Menü im Abschnitt Benutzerverwaltung die Option Berechtigungssätze aus.
2
Wählen Sie den Berechtigungssatz aus, dessen Rollen Sie bearbeiten möchten.
3
Navigieren Sie zur Rolle DLP Prevent-Richtlinie, und klicken Sie auf Bearbeiten.
4
Wählen Sie Keine Berechtigungen aus, und klicken Sie auf Speichern.
Zulassen der Richtlinienbearbeitung durch Benutzer
Konfigurieren Sie die Rolle, um zuzulassen, dass Benutzer die Richtlinien- und Task-Einstellungen
anzeigen und ändern können.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
81
4
Konfigurieren von Systemkomponenten
Steuern des Zugriffs auf die McAfee DLP Prevent-Funktionen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie im McAfee ePO-Menü im Abschnitt Benutzerverwaltung die Option Berechtigungssätze aus.
2
Wählen Sie den Berechtigungssatz aus, dessen Rollen Sie bearbeiten möchten.
3
Navigieren Sie zur Rolle DLP Prevent-Richtlinie, und klicken Sie auf Bearbeiten.
4
Wählen Sie die Option Richtlinien- und Task-Einstellungen anzeigen und ändern aus, und klicken Sie auf
Speichern.
Steuern des Zugriffs auf die Funktionen der ApplianceVerwaltung
Für McAfee DLP Prevent können Sie zwei Rollen auf die Funktionen der Appliance-Verwaltung anwenden.
•
Allgemeine Richtlinie der Appliance-Verwaltung: Steuert die Berechtigungen zum Anzeigen
und Ändern der Richtlinie Allgemeine Appliance-Verwaltung im Richtlinienkatalog.
•
Appliance-Verwaltung: Steuert die Berechtigungen zum Anzeigen von Statistiken und Tasks der
Appliance-Verwaltung sowie die Berechtigungen zum Erstellen und Ausführen von Datenbank-Tasks.
Weitere Informationen zu den Berechtigungen für die Funktionen der Appliance-Verwaltung finden Sie in
den Themen der Hilfeerweiterung für die Appliance-Verwaltung.
Anzeigen der Appliance-Verwaltungsstatistik für Benutzer zulassen
Sie können in einem bestimmten Berechtigungssatz zulassen, dass Benutzer im Dashboard
Appliance-Verwaltung den Systemzustand und die Statistik anzeigen können.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO das Menü, und wählen Sie im Abschnitt Benutzerverwaltung die Option
Berechtigungssätze aus.
2
Wählen Sie den Berechtigungssatz für die Rollen aus, die Sie bearbeiten möchten.
3
Wählen Sie die Rolle Appliance-Verwaltung aus, und klicken Sie auf Bearbeiten.
4
Wählen Sie im Bereich Appliance-Zustand und -Statistik die Option Zustand und Statistik anzeigen aus, und
klicken Sie auf Speichern.
Verhindern der Anzeige der Einstellungen für die Allgemeine ApplianceVerwaltung für Benutzer
Über die Einstellungen der Richtlinie Allgemeine Appliance-Verwaltung können die Benutzer das Datum und
die Uhrzeit der Appliance festlegen, DNS-Server und statische Routen hinzufügen, die
Remote-Anmeldung über SSH zulassen und einen oder mehrere Server für die Remote-Protokollierung
hinzufügen.
82
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
4
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO das Menü, und wählen Sie Berechtigungssätze aus.
2
Wählen Sie den Berechtigungssatz für die Rollen aus, die Sie bearbeiten möchten.
3
Klicken Sie neben Allgemeine Richtlinie der Appliance-Verwaltung auf Bearbeiten.
4
Wählen Sie Keine Berechtigungen aus, und klicken Sie auf Speichern.
Arbeiten mit McAfee DLP Prevent-Richtlinien
Auf die Richtlinieneinstellungen können Sie über den Richtlinienkatalog zugreifen:
DLP Prevent-Server
•
In der Kategorie E-Mail-Einstellungen konfigurieren Sie Einstellungen für Smart-Hosts, zulässige Hosts
und TLS (Transport Layer Security).
•
In der Kategorie Allgemein geben Sie die Zeitlimit-Einstellungen für Verbindungen an und schützen
die Appliance vor Denial-of-Service-Angriffen.
•
In der Kategorie Benutzer und Gruppen wählen Sie einen LDAP-Server aus, von dem
Benutzerinformationen abgerufen werden, und richten McAfee Logon Collector ein.
Data Loss Prevention
Bearbeiten Sie die Einstellungen für den Nachweiskopierdienst in der Richtlinienkategorie McAfee Data Loss
Prevention-Serverkonfiguration, um mit McAfee DLP Prevent zu arbeiten.
Die folgenden Optionen im Abschnitt Nachweiskopierdienst der Richtlinienkategorie Server-Konfiguration gelten
nicht für McAfee DLP Prevent.
•
Freier Festplattenspeicherplatz muss größer sein als (MB):
•
Max. Bandbreite bei Nachweisübertragung (KB/s)
Allgemeine Appliance-Verwaltung
Bearbeiten Sie die Kategorie Allgemein, um folgende Vorgänge auszuführen:
•
Geben Sie DNS-Einstellungen an.
•
Bearbeiten Sie Datum und Uhrzeit für die Appliance.
•
Fügen Sie Einstellungen für statische Routen hinzu.
•
Konfigurieren Sie Server für die Remote-Protokollierung.
•
Aktivieren Sie SNMP-Warnungen und -Überwachung.
Weitere Informationen zu den Richtlinieneinstellungen unter Allgemeine Appliance finden Sie in den
Themen der Hilfeerweiterung für die Appliance-Verwaltung.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
83
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
Festlegen der Einstellungen für das Verbindungszeitlimit
Sie können die Dauer (in Sekunden) ändern, für die McAfee DLP Prevent versucht, eine Verbindung
mit einem MTA herzustellen.
Standardmäßig versucht McAfee DLP Prevent zwanzig Sekunden lang, eine Verbindung herzustellen.
Wenn innerhalb dieser Zeit keine Verbindung hergestellt werden kann, liegt entweder ein Problem mit
dem Netzwerk oder dem MTA vor, das untersucht werden sollte.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie Allgemein aus, und öffnen Sie
dann die Richtlinie, die Sie bearbeiten möchten.
3
Geben Sie unter Weiterleitungsverbindung die Anzahl der Sekunden ein, die McAfee DLP Prevent zum
Herstellen einer Verbindung mit einem MTA zur Verfügung stehen.
4
Klicken Sie auf Speichern.
Angeben der maximalen Verschachtelungsebene archivierter
Anhänge
Um die Appliance vor Denial-of-Service-Angriffen zu schützen, legen Sie die maximale
Verschachtelungsebene archivierter Anhänge fest, die McAfee DLP Prevent innerhalb des Zeitlimits zu
analysieren versucht.
Ein verschachtelter Anhang ist beispielsweise eine in einer ZIP-Datei befindliche weitere ZIP-Datei.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie Allgemein aus, und öffnen Sie
dann die Richtlinie, die Sie bearbeiten möchten.
3
Legen Sie unter Maximale Verschachtelungstiefe die höchstzulässige Ebene verschachtelter Archivanhänge
fest.
4
Klicken Sie auf Speichern.
Hinzufügen zusätzlicher MTAs, die E-Mails zustellen können
McAfee DLP Prevent stellt E-Mail-Nachrichten über den konfigurierten Smart-Host zu. Zusätzlich zum
Smart-Host können Sie weitere MTAs hinzufügen, an die McAfee DLP Prevent E-Mail-Nachrichten
zustellen kann.
Bevor Sie beginnen
Stellen Sie sicher, dass Sie über die IP-Adressen oder Host-Namen der Smart-Hosts
verfügen.
McAfee DLP Prevent kann E-Mail-Nachrichten von mehreren MTAs annehmen, leitet die überprüften
E-Mail-Nachrichten jedoch nur an einen der konfigurierten Smart-Hosts weiter.
84
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
4
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie E-Mail-Einstellungen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
3
Fügen Sie die Details der MTAs hinzu, die Sie verwenden möchten.
4
Klicken Sie auf Aktualisieren.
5
Klicken Sie auf Speichern.
Zustellen von E-Mails nach dem Round-Robin-Prinzip
Konfigurieren Sie McAfee DLP Prevent so, dass die Zustellung an mehrere E-Mail-Server erfolgt, indem
die E-Mail-Nachrichten zwischen diesen verteilt werden.
Bevor Sie beginnen
Stellen Sie sicher, dass Sie über die IP-Adressen oder Host-Namen der Smart-Hosts
verfügen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie E-Mail-Einstellungen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
3
Aktivieren Sie das Kontrollkästchen Round-Robin, und fügen Sie die Details der MTAs hinzu, die Sie
verwenden möchten.
4
Klicken Sie auf Aktualisieren.
5
Klicken Sie auf Speichern.
Einschränken von Verbindungen auf bestimmte Hosts oder
Netzwerke
Standardmäßig nimmt McAfee DLP Prevent Nachrichten von beliebigen Hosts an. Geben Sie die Hosts
an, die Nachrichten an McAfee DLP Prevent senden können, sodass nur legitime Quell-MTAs E-Mails
über die Appliance weiterleiten können.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie E-Mail-Einstellungen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
85
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
3
Wählen Sie Nur E-Mails von diesen Hosts akzeptieren aus.
4
Geben Sie die Details eines Hosts ein, von dem die McAfee DLP Prevent-Appliance Nachrichten
erhalten kann.
Geben Sie die Host-Informationen in Form von IP-Adresse und Subnetz, Domänennamen oder
eines Platzhalter-Domänennamens an.
5
Klicken Sie auf Aktualisieren, um die Details der Liste der zulässigen Hosts hinzuzufügen.
Sie können mithilfe von Subnetzen oder Platzhalterdomänen Relay-Host-Gruppen erstellen. Wenn
Sie mehrere Subnetze hinzufügen möchten, müssen Sie jeweils separate Einträge erstellen.
Aktivieren von TLS für ein- oder ausgehende Nachrichten
Sie können angeben, ob McAfee DLP Prevent TLS immer zum Schützen eingehender und ausgehender
Nachrichten oder nur dann verwendet, wenn es verfügbar ist (diese Einstellung wird als Opportunistisch
bezeichnet).
TLS funktioniert durch Übermitteln einer Reihe von Parametern (als Handshake bezeichnet) zu Beginn
einer Verbindung zwischen teilnehmenden Servern. Wenn diese Parameter definiert sind, entsteht eine
sichere Kommunikation zwischen den Servern, die nicht von Servern decodiert werden kann, die nicht
am Handshake teilnehmen.
Der Handshake-Prozess
•
Die Appliance fordert eine sichere Verbindung mit dem empfangenden E-Mail-Server an und bietet
diesem eine Liste von Verschlüsselungsverfahren an.
•
Der empfangende Server wählt die stärkste unterstützte Verschlüsselung aus der Liste aus und
übermittelt die Details an die Appliance.
•
Die Server stellen mithilfe der PKI (Public Key Infrastructure) durch den Austausch digitaler
Zertifikate Authentizität her.
•
Mit dem öffentlichen Schlüssel des Servers generiert die Appliance eine Zufallszahl als
Sitzungsschlüssel und sendet diesen an den empfangenden E-Mail-Server. Der empfangende Server
entschlüsselt den Schlüssel mithilfe des privaten Schlüssels.
•
Sowohl die Appliance als auch der empfangende E-Mail-Server richten mit dem verschlüsselten
Schlüssel die Kommunikation ein und schließen den Handshake-Prozess ab.
Sobald der Handshake abgeschlossen ist, werden die E-Mail-Nachrichten über die sichere Verbindung
übertragen. Die Verbindung bleibt sicher, bis sie geschlossen wird.
Wenn Sie für die ausgehende Kommunikation die Option Immer auswählen, der Smart-Host jedoch nicht
für die Verwendung von TLS konfiguriert ist, sendet McAfee DLP Prevent den Fehler 550 x.x.x.x:
Denied by policy. TLS conversation required (Durch Richtlinie verweigert. TLS-Konversation
erforderlich).
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie E-Mail-Einstellungen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
3
Wählen Sie unter TLS (Transport Layer Security) Immer, Nie oder Opportunistisch für eingehende
Kommunikation aus.
Opportunistisch ist die Standardeinstellung.
86
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
4
4
Wählen Sie Immer, Nie oder Opportunistisch für ausgehende Kommunikation aus.
Opportunistisch ist die Standardeinstellung.
5
Klicken Sie auf Speichern.
Verwenden von externen Authentifizierungs-Servern
McAfee DLP Prevent funktioniert mit registrierten LDAP-Servern und McAfee Logon Collector. Die
Anwendung erfasst Benutzerinformationen und Anmeldedaten, um Benutzer, die für Datenleckvorfälle
verantwortlich sind, anhand des Namens, der Gruppe, der Abteilung, der Stadt oder des Landes zu
identifizieren.
McAfee DLP Prevent kann Folgendes durchführen:
•
Informationen von Active Directory-Servern und OpenLDAP-Verzeichnis-Servern abrufen, die bei
McAfee ePO registriert sind.
•
Mit einem registrierten LDAP-Server über SSL kommunizieren.
•
E-Mail- und Web-Schutzregeln durchsetzen, die für bestimmte Benutzer und Gruppen gelten.
•
Eine Verbindung mit Ports des Globalen Katalogs anstelle von Standard-LDAP-Ports herstellen, um
Benutzer- und Gruppeninformationen bei Active Directory-Abfragen abzurufen.
•
Benutzerinformationen in Vorfälle einschließen, sodass Sie alle von einem Benutzer generierten
Vorfälle anzeigen können, unabhängig davon, welches McAfee DLP-Produkt sie erkannt hat.
McAfee Logon Collector erfasst Windows-Benutzeranmeldeereignisse und übermittelt die
Informationen an McAfee DLP Prevent. McAfee DLP Prevent kann eine IP-Adresse einem
Windows-Benutzernamen zuordnen, wenn keine anderen Authentifizierungsinformationen verfügbar
sind.
Was passiert, wenn der LDAP-Server nicht verfügbar ist?
McAfee DLP Prevent speichert die LDAP-Informationen im Cache. Der Cache wird alle 24 Stunden
aktualisiert, sodass eine vorübergehende Nichtverfügbarkeit des LDAP-Servers keine Auswirkungen
auf die Verfügbarkeit des McAfee DLP Prevent-Diensts hat. Wenn die Aktualisierung des Caches
fehlschlägt, verwendet McAfee DLP Prevent den vorherigen Cache. Wenn kein vorheriger Cache
verfügbar ist, werden die Informationen per LDAP-Suche abgerufen.
Wenn McAfee DLP Prevent LDAP-Gruppeninformationen zur Bewertung von Regeln für eine Anfrage
oder Nachricht benötigt und LDAP nicht konfiguriert oder der Server nicht verfügbar ist:
•
Für SMTP-Datenverkehr: Ein temporärer Fehler-Code (451) wird zurückgegeben, sodass die
Nachricht auf dem sendenden Server in die Warteschlange verschoben wird, wo ein erneuter
Sendeversuch stattfindet.
•
Für ICAP-Datenverkehr: Ein ICAP-Status 500-Code wird zurückgegeben, der angibt, dass auf dem
Server ein Fehler aufgetreten ist und die Anfrage daher nicht analysiert werden konnte. Sie können
das Web-Gateway für Fail-Open oder Fail-Closed konfigurieren, wenn es einen Fehler vom McAfee
DLP Prevent-Server empfängt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
87
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
OpenLDAP- und Active Directory-Server
•
OpenLDAP und Active Directory erstellen unterschiedliche Benutzerschemas. Active Directory bietet
einen eingeschränkten Parametersatz, OpenLDAP kann jedoch angepasst werden.
•
OpenLDAP- und Active Directory-Server identifizieren Benutzer auf unterschiedliche Art und Weise.
Active Directory verwendet sAMAccountName, und OpenLDAP verwendet UID. LDAP-Abfragen für
sAMAccountName werden auf OpenLDAP-Systemen mithilfe der Eigenschaft UID bearbeitet.
•
OpenLDAP- und Active Directory-Server verwenden auch unterschiedliche Benutzerattribute zur
Identifizierung der Benutzerklassen. Anstelle der Objektklasse "Benutzer" verwendet OpenLDAP
inetOrgPerson, für das weder Länder- noch memberOf-Attribute unterstützt werden.
Zusätzliche Web-Schutz-Authentifizierung
Bei der Anwendung von Web-Schutzregeln ruft McAfee DLP Prevent Benutzerinformationen aus der
folgenden Quelle ab:
•
Über das Web-Gateway gesendeter X-Authenticated-User-Header von ICAP-Anfragen.
•
McAfee Logon Collector
Wenn im X-Authenticated-User-Header von ICAP-Anfragen ein Benutzername angegeben ist, wird
dieser vorrangig vor den Daten aus McAfee Logon Collector verwendet.
Bewährte Methode: Die Verwendung des X-Authenticated-User-Headers wird als
Authentifizierungsmethode empfohlen, weil dies angibt, dass der Endbenutzer durch das Web-Gateway
positiv authentifiziert wurde. Für die Einrichtung dieser Methode müssen Sie einige zusätzliche
Konfigurationen am Web-Gateway vornehmen. Weitere Informationen hierzu finden Sie in der
Produktdokumentation für Ihr Web-Gateway.
Wenn der X-Authenticated-User-Header nicht verfügbar ist, können Sie als zusätzliche
Authentifizierung McAfee Logon Collector konfigurieren. McAfee Logon Collector ist ein weiteres
McAfee-Produkt zur Überwachung von Windows-Anmeldeereignissen und zur Zuordnung von
IP-Adressen zu Sicherheits-IDs (SIDs). Für die Verwendung von McAfee Logon Collector muss
mindestens ein LDAP-Server konfiguriert sein: An diesen sendet McAfee DLP Prevent eine Abfrage zur
Umwandlung einer SID in einen Benutzernamen.
Bei der Anwendung von Web-Schutzregeln wertet McAfee DLP Prevent die in den
Benutzerinformationen enthaltenen Gruppeninformationen aus. Der
X-Authenticated-Groups-Header-Wert aus dem Web-Gateway wird ignoriert.
Zum Abrufen von Benutzer- oder Gruppeninformationen bei der Anwendung von Web-Schutzregeln
muss mindestens ein LDAP-Server konfiguriert sein. McAfee DLP Prevent sendet Abfragen an die
LDAP-Server, um die erforderlichen Attribute abzurufen. Für McAfee Logon Collector verwendet McAfee
DLP Prevent beispielsweise den LDAP-Server, um die SID in einen Benutzer-DN umzuwandeln.
Unterstützte Authentifizierungsschemas
McAfee DLP Prevent unterstützt die NTLM- und LDAP-Authentifizierungsschemas zur Verarbeitung des
X-Authenticated-User-Headers aus dem Web-Gateway.
Bei NTLM erwartet McAfee DLP Prevent, dass der X-Authenticated-User-Header im Format NTLM://
<NetBIOS-Name/sAMAccountName> für Active Directory vorliegt.
NTLM mit OpenLDAP wird nicht unterstützt.
88
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
Bei LDAP erwartet McAfee DLP Prevent, dass der X-Authenticated-User-Header im Format LDAP://
<LDAP-Server-Name/Eindeutiger Name> für Active Directory und OpenLDAP vorliegt.
Mithilfe des LDAP-Attributs "distinguishedName" ruft McAfee DLP Prevent die Benutzerdetails für die
Web-Schutzregeln ab. Vergewissern Sie sich, dass Ihr LDAP-Server dieses Attribut besitzt, damit das
LDAP-Authentifizierungsschema ordnungsgemäß funktioniert.
Anwendungsbeispiel
Sie möchten eine Web-Schutzregel konfigurieren, die das Hochladen von PCI-Daten für alle Benutzer
einer Abteilung außer einem blockiert.
1
Registrieren Sie einen Active Directory-Server bei McAfee ePO, der das Benutzerkonto des
betreffenden Mitarbeiters enthält.
2
Richten Sie McAfee Logon Collector ein.
3
Erstellen Sie eine Web-Schutzregel, die nach Web-Anfragen von Benutzern in der Gruppe
GRUPPENAME sucht, die mit einer Klassifizierung übereinstimmen.
4
Erstellen Sie eine Ausnahme für den Benutzer BENUTZERNAME.
5
Legen Sie als Reaktion Blockieren fest.
6
Überwachen Sie im DLP-Vorfallsmanager alle von diesem Benutzer gesendeten Vorfälle, die den
Komponentennamen enthalten.
Abrufen von Informationen von registrierten LDAP-Servern
McAfee DLP Prevent kann Benutzer- und Gruppeninformationen von LDAP-Servern abrufen, die bei
McAfee ePO registriert sind. Wählen Sie die registrierten LDAP-Server aus, von denen die McAfee DLP
Prevent-Appliances Informationen abrufen sollen.
Bevor Sie beginnen
Sie haben die LDAP-Server bei McAfee ePO registriert.
Informationen zur Registrierung von LDAP-Servern bei McAfee ePO finden Sie im
Produkthandbuch für McAfee ePolicy Orchestrator.
Benutzer- und Gruppendetails werden beim Auswerten der Absenderinformationen in einer E-Mail-Schutzregel
verwendet. McAfee DLP Prevent kann Folgendes durchführen:
•
Eine Verbindung mit OpenLDAP- und Active Directory-Servern herstellen.
•
Mit einem registrierten LDAP-Server über SSL kommunizieren.
•
Eine Verbindung mit Ports des Globalen Katalogs anstelle von Standard-LDAP-Ports herstellen, um
Benutzer- und Gruppeninformationen bei Active Directory-Abfragen abzurufen.
Wenn Sie Active Directory zur Verwendung von Ports des Globalen Katalogs konfiguriert haben, muss
mindestens eines dieser Attribute von Domänen in der Gesamtstruktur in den Server des Globalen
Katalogs repliziert werden:
•
proxyAddresses
•
mail
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
89
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
Wenn McAfee DLP Prevent die NTLM-Authentifizierung für den ICAP-Datenverkehr verwenden muss,
müssen die folgenden LDAP-Attribute ebenfalls repliziert werden:
•
configurationNamingContext
•
netbiosname
•
msDS-PrincipalName
Wenn die beiden folgenden Bedingungen erfüllt sind, werden Nachrichten vorübergehend mit dem
Statuscode 451 abgelehnt:
•
McAfee DLP Prevent verwendet Regeln, die angeben, dass der Absender Mitglied einer
bestimmten LDAP-Benutzergruppe ist.
•
McAfee DLP Prevent ist nicht für den Empfang von Informationen vom LDAP-Server
konfiguriert, der die angegebene Benutzergruppe enthält.
Wenn die Synchronisierung mit dem LDAP-Server oder einer LDAP-Abfrage fehlschlägt,
werden Ereignisse an das Protokoll Client-Ereignisse gesendet.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie Benutzer und Gruppen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
3
Wählen Sie unter LDAP-Server die gewünschten LDAP-Server aus.
4
Klicken Sie auf Speichern.
Hinzufügen eines Logon Collector-Servers und -Zertifikats zu McAfee DLP
Prevent
Fügen Sie McAfee DLP Prevent ein McAfee Logon Collector-Zertifikat hinzu, und fügen Sie McAfee
Logon Collector ein McAfee Data Loss Prevention Prevent-Zertifikat hinzu.
Bevor Sie beginnen
Es muss mindestens ein McAfee Logon Collector-Server konfiguriert sein.
Weitere Informationen hierzu finden Sie im Administratorhandbuch für McAfee Logon
Collector.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
90
1
Rufen Sie https://<APPLIANCE>:10443/certificates auf, und wählen Sie dann [Hostname.domain.crt]
aus, um das Appliance-Zertifikat von McAfee DLP Prevent herunterzuladen.
2
Wählen Sie in McAfee Logon Collector Menu | Trusted CAs | New Authority | Choose File (Menü |
Vertrauenswürdige Zertifizierungsstellen | Neue Zertifizierungsstelle | Datei auswählen) aus,
wählen Sie das heruntergeladene Zertifikat aus, und klicken Sie auf Save (Speichern).
3
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
4
Wählen Sie das DLP Prevent-Server-Produkt und anschließend die Kategorie Benutzer und Gruppen aus, und
öffnen Sie dann die Richtlinie, die Sie bearbeiten möchten.
5
Fügen Sie in McAfee Logon Collector die Angaben zum McAfee DLP Prevent-Server hinzu.
6
a
Wählen Sie im Abschnitt McAfee Logon Collector die Option Benutzer identifizieren, die Web-Anfragen stellen
aus.
b
Klicken Sie auf +, um das Dialogfeld Hinzufügen zu öffnen.
c
Geben Sie die IPv4-Adresse oder den Host-Namen eines McAfee Logon Collector-Servers ein,
mit dem eine Verbindung hergestellt werden soll.
d
Bearbeiten Sie ggf. den McAfee Logon Collector-Port.
Rufen Sie den Zertifikattext von McAfee Logon Collector ab.
a
Wählen Sie in McAfee Logon Collector die Option Menu | Server Settings (Menü |
Server-Einstellungen) aus.
b
Klicken Sie auf Identity Replication Certificate (Identitätsreplikationszertifikat).
c
Wählen Sie im Feld Base 64 den Zertifikattext aus, und kopieren Sie ihn in die Zwischenablage
oder in eine Datei.
7
Wechseln Sie zurück zum Dialogfeld Add (Hinzufügen), und wählen Sie entweder Import from file (Aus
Datei importieren) oder Paste from clipboard (Aus Zwischenablage einfügen) aus, um den Zertifikattext
hinzuzufügen.
8
Klicken Sie auf OK, um die McAfee Logon Collector-Authentifizierung abzuschließen.
[Optional] Fügen Sie weitere McAfee Logon Collector-Server hinzu.
Der McAfee Logon Collector-Server wird der Liste der Server hinzugefügt.
Die Richtlinie Allgemeine Appliance-Verwaltung
Die Richtlinienkategorie Allgemeine Appliance-Verwaltung wird als Teil der Appliance-Verwaltungserweiterung
installiert. Sie wendet allgemeine Einstellungen auf neue oder neu aufgesetzte Appliances an.
•
Informationen zu Datum und Zeit sowie zur Zeitzone
•
Liste der DNS-Server
•
Statische Routing-Informationen
•
Einstellungen für die Remote-Anmeldung über SSH (Secure Shell)
•
Einstellungen für die Remote-Protokollierung
•
SNMP-Warnungen und Überwachung
Informationen zu diesen Optionen finden Sie in der Hilfe zur Appliance-Verwaltung.
Bearbeiten der Email Gateway-Richtlinie für die
Zusammenarbeit mit McAfee DLP Prevent
Wenn E-Mails von der Email Gateway-Appliance zur Analyse an McAfee DLP Prevent umgeleitet und bei
ggf. auftretenden Datenleckvorfällen entsprechende Aktionen durchgeführt werden sollen, müssen Sie
die Konfigurationsrichtlinie für Email Gateway bearbeiten.
Wenn Sie in McAfee DLP Prevent konfigurieren möchten, dass E-Mail-Nachrichten zur Verarbeitung
zurück an das E-Mail-Gateway gesendet werden, müssen Sie die Richtlinie für die E-Mail-Einstellungen
bearbeiten.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
91
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
Anwendungsbeispiel: Konfigurieren von Email Gateway für die
Verarbeitung von Analyseergebnissen
Sie können die bestehende E-Mail-Konfigurationsregel so konfigurieren, dass bei Vorfällen im
Zusammenhang mit potenziellen Datenlecks bestimmte Aktionen durchgeführt werden.
Bevor Sie beginnen
Voraussetzung ist eine eingerichtete und funktionierende Email Gateway-Appliance, die
durch McAfee ePO verwaltet wird.
Vorgehensweise
In diesem Beispiel wird davon ausgegangen, dass McAfee DLP Prevent einen potenziellen
Datenleckvorfall erkannt hat, der in einer von einer Email Gateway-Appliance aus gesendeten
E-Mail-Nachricht vorlag. Sie möchten nun verhindern, dass diese E-Mail das Unternehmen verlässt,
und außerdem den Absender über die ausgeführte Aktion informieren. Klicken Sie auf ? oder Hilfe, um
Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie aus der Liste Produkte den Eintrag McAfee Email Gateway und anschließend die betreffende
E-Mail-Konfigurationsregel aus.
3
Wählen Sie Richtlinie hinzufügen aus, und klicken Sie dann auf Regel hinzufügen.
a
Wählen Sie für Regeltyp die Option E-Mail-Header aus.
b
Wählen Sie unter Header-Name die Option X-RCIS-Action aus.
c
Wählen Sie im Feld Wert die Option ^BLOCK$ aus.
d
Klicken Sie auf OK und anschließend erneut auf OK.
4
Wählen Sie für Richtlinienoptionen die Option Richtlinienbasierte Aktion aus.
5
Wählen Sie nun Daten akzeptieren und anschließend verwerfen und dann Eine oder mehrere Benachrichtigungs-E-Mails
senden aus.
6
Klicken Sie auf Benachrichtigungs-E-Mail an Absender zustellen und abschließend auf OK.
7
Speichern Sie die Richtlinie.
Umleiten von E-Mails an McAfee DLP Prevent
Sie können E-Mails von Email Gateway zur Analyse an McAfee DLP Prevent umleiten.
Bevor Sie beginnen
Email Gateway-Appliances oder virtuelle Appliances können durch McAfee ePO verwaltet
werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
92
1
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
2
Wählen Sie in der Liste Produkte die Option McAfee Email Gateway und dann die
E-Mail-Konfigurationskategorie aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
3
4
Klicken Sie auf Richtlinie hinzufügen und dann auf Regel hinzufügen.
a
Wählen Sie für Regeltyp die Option E-Mail-Header aus.
b
Wählen Sie für Header-Name die Option X-MFE-Encrypt (X-MFE-Verschlüsselung) aus, und legen Sie
für Übereinstimmung die Option ist nicht vorhanden fest.
c
Klicken Sie auf OK und anschließend erneut auf OK.
4
Wählen Sie für Richtlinienoptionen die Option Richtlinienbasierte Aktion aus.
5
Wählen Sie Weiterleiten an ein alternatives Relay aus.
6
Wählen Sie das Relay für den McAfee DLP Prevent-Server aus, und klicken Sie auf OK.
Informationen über Relays finden Sie in der Online-Hilfe für McAfee ePO.
7
Speichern Sie die Richtlinie.
Integrieren von McAfee DLP Prevent in die Web-Umgebung
McAfee DLP Prevent arbeitet mit Ihrem Web-Proxy zusammen, um den Web-Datenverkehr zu
schützen.
McAfee DLP Prevent nutzt ICAP oder ICAPS (ICAP über TLS), um Web-Datenverkehr zu verarbeiten,
der die folgenden Ports verwendet:
•
ICAP – 1344
•
ICAPS – 11344
Führen Sie die folgenden allgemeinen Schritte aus, um Ihre Umgebung für den Web-Schutz zu
konfigurieren.
1
Konfigurieren Sie Endpunkt-Clients für das Senden von Web-Datenverkehr an den Web-Proxy.
2
Konfigurieren Sie den Web-Proxy für das Weiterleiten von HTTP-Datenverkehr an McAfee DLP
Prevent über ICAP.
3
Konfigurieren Sie eine Richtlinie in McAfee DLP Prevent, die festlegt, dass eine dem Inhalt des
Datenverkehrs entsprechende Aktion durchgeführt wird.
Beispiel: Konfigurieren Sie eine Regel, um Datenverkehr von bestimmten Benutzern, der
Kreditkartennummern enthält, zuzulassen oder zu blockieren.
Nachdem McAfee DLP Prevent den Datenverkehr analysiert hat, wird eine der folgenden Aktionen
durchgeführt:
•
Der Datenverkehr wird zugelassen, und der Web-Proxy wird informiert.
•
Der Datenverkehr wird abgelehnt, und dem Benutzer wird eine Blockierungsseite angezeigt.
Siehe auch
Schützen des Web-Datenverkehrs auf Seite 21
Anwendungsbeispiel: Senden von persönlichen Finanzdaten für eine bestimmte
Benutzergruppe zulassen auf Seite 179
Integration in Web Gateway
Konfigurieren Sie in Web Gateway, dass ICAP-Datenverkehr zur Analyse an McAfee DLP Prevent
weitergeleitet wird.
McAfee DLP Prevent gibt eine Antwort an Web Gateway zurück, mit der die Seite zugelassen oder
abgelehnt wird.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
93
4
Konfigurieren von Systemkomponenten
Arbeiten mit McAfee DLP Prevent-Richtlinien
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in Web Gateway Policy (Richtlinie) aus, und klicken Sie dann auf die Registerkarte
Settings (Einstellungen).
2
Führen Sie die folgenden Schritte zum Erstellen des ICAP REQMOD-Clients aus.
3
4
5
6
94
a
Klicken Sie mit der rechten Maustaste auf ICAP Client (ICAP-Client), und klicken Sie dann auf Add
(Hinzufügen).
b
Geben Sie einen Namen ein, z. B. ICAP-REQMOD-Client.
c
Wählen Sie im Bereich Settings for (Einstellungen für) ICAP Client (ICAP-Client) aus.
d
Klicken Sie im Bereich ICAP Service (ICAP-Dienst) auf Add (Hinzufügen).
e
Geben Sie einen Namen ein, und klicken Sie dann auf OK & Edit (OK und bearbeiten).
f
Klicken Sie auf das grüne Pluszeichen (Add ICAP Server (ICAP-Serverhinzufügen)), und geben Sie
dann die IP-Adresse und den Port der McAfee DLP Prevent-Appliance ein.
g
Klicken Sie drei Mal auf OK.
Fügen Sie den Regelsatz hinzu.
a
Klicken Sie auf die Registerkarte Rule Sets (Regelsätze).
b
Wählen Sie Add | Rule Set from Library (Hinzufügen | Regelsatz aus Bibliothek) aus.
c
Wählen Sie den Regelsatz ICAP Client (ICAP-Client) aus, und klicken Sie dann auf OK.
Bearbeiten Sie die REQMOD-Einstellungen.
a
Erweitern Sie auf der Registerkarte Rule Sets (Regelsätze) den Regelsatz ICAP Client (ICAP-Client),
und wählen Sie ReqMod aus.
b
Wählen Sie Call ReqMod Server aus, und klicken Sie dann auf Edit (Bearbeiten).
c
Wählen Sie den Schritt Rule Criteria (Regelkriterien) aus.
d
Wählen Sie If the following criteria is matched (Wenn folgende Kriterien erfüllt sind) aus.
e
Wählen Sie den Kriterieneintrag aus, und klicken Sie auf Edit (Bearbeiten).
f
Wählen Sie in der Dropdown-Liste Settings (Einstellungen) den zuvor erstellten
ICAP REQMOD-Client aus.
g
Klicken Sie auf OK und dann auf Finish (Fertig stellen).
Aktivieren Sie die Regel.
a
Wählen Sie auf der Registerkarte Rule Sets (Regelsätze) die Regel ICAP Client (ICAP-Client) aus.
b
Wählen Sie Enable (Aktivieren) aus.
Klicken Sie auf Save Changes (Änderungen speichern).
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
4
Konfigurieren von Systemkomponenten
Funktionen von McAfee ePO
Funktionen von McAfee ePO
McAfee DLP verwendet diese McAfee ePO-Funktionen.
Zum Zugriff auf die meisten Funktionen benötigen Sie entsprechende Berechtigungen.
McAfee ePO-Funktion
Hinzufügung
Aktionen
Aktionen, die Sie über die Systemstruktur ausführen oder zum Anpassen
automatischer Reaktionen verwenden können.
Client-Tasks
Client-Tasks, mit denen Sie Verwaltung und Wartung auf Client-Systemen
automatisieren können.
Dashboards
Dashboards und Monitore, mit denen Sie Aktivitäten in Ihrer Umgebung
verfolgen können.
Ereignisse und
Reaktionen
• Ereignisse, für die Sie automatische Reaktionen konfigurieren können.
Eigenschaften von
verwalteten Systemen
Eigenschaften, die Sie über die Systemstruktur prüfen oder zum Anpassen
von Abfragen verwenden können.
Berechtigungssätze
• Berechtigungssätze.
• Ereignisgruppen und -Ereignistypen, mit denen Sie automatische
Reaktionen anpassen können.
• Berechtigungskategorie Data Loss Prevention, in allen vorhandenen
Berechtigungssätzen verfügbar.
Richtlinien
Richtlinienkategorien DLP-Richtlinie, Windows-Client-Konfiguration und
Mac OS X-Client-Konfiguration für McAfee DLP Endpoint sowie
Server-Konfiguration für McAfee DLP Discover in der Produktgruppe Data
Loss Prevention 10.
Abfragen und Berichte
• Standardabfragen, mit denen Sie Berichte ausführen können.
• Benutzerdefinierte Eigenschaftsgruppen basierend auf verwalteten
Systemeigenschaften, die Sie zum Erstellen eigener Abfragen und
Berichte verwenden.
Server-Tasks
Diese Option wird für die Tasks für den DLP-Vorfallsmanager und die
DLP-Vorgänge verwendet.
Datenschutz
Diese Option wird für die Konfiguration, Verwaltung und Überwachung von
McAfee DLP verwendet.
Help Desk
Diese Option wird zum Generieren von Abfrage-/Antwortschlüsseln zur
Deinstallation geschützter Anwendungen, zum Entfernen von Dateien aus
der Quarantäne und zur vorübergehenden Umgehung von
Sicherheitsrichtlinien verwendet, wenn dies im Unternehmen erforderlich
ist.
Informationen zu diesen Funktionen finden Sie in der Dokumentation zu McAfee ePO.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
95
4
Konfigurieren von Systemkomponenten
Funktionen von McAfee ePO
96
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
®
McAfee Device Control schützt Unternehmen vor dem Risiko der nicht autorisierten Übertragung
vertraulicher Inhalte, das mit der Nutzung von Speichermedien einhergeht.
Device Control kann Geräte überwachen bzw. blockieren, die an vom Unternehmen verwaltete
Computer angeschlossen sind, sodass Sie deren Verwendung zur Verteilung vertraulicher
Informationen überwachen und steuern können. Steuerbare Geräte sind u. a. Smartphones,
Wechselspeichermedien, Bluetooth-Geräte, MP3-Player und Plug-and-Play-Geräte.
McAfee Device Control ist eine als separates Produkt vertriebene Komponente von McAfee DLP
Endpoint. Dieser Abschnitt bezieht sich zwar auf Device Control, alle Funktionen und Beschreibungen
gelten jedoch auch für McAfee DLP Endpoint. Die Implementierung der Device Control-Regeln ist für
Computer mit Microsoft Windows und OS X zwar ähnlich, jedoch nicht identisch. In der folgenden
Tabelle sind einige der vorhandenen Unterschiede aufgeführt.
Tabelle 5-1 Device Control-Fachbegriffe
Begriff
Gilt für
Betriebssysteme:
Definition
Geräteklasse
Windows
Eine Gruppe von Geräten, die ähnliche
Merkmale aufweisen und auf eine
ähnliche Art und Weise verwaltet werden
können. Geräteklassen können den
Status Verwaltet, Nicht verwaltet oder In
der Whitelist haben.
Gerätedefinition
Windows, OS X
Eine Liste von Geräteeigenschaften,
anhand der Geräte identifiziert oder in
Gruppen zusammengefasst werden
können.
Geräteeigenschaft
Windows, OS X
Eine Eigenschaft wie z. B. Bustyp,
Anbieter-ID oder Produkt-ID, die zum
Definieren eines Geräts verwendet
werden kann.
Geräteregel
Windows, OS X
Legt die Aktion fest, die durchgeführt
wird, wenn ein Benutzer versucht, ein
Gerät zu verwenden, das einer in der
Richtlinie enthaltenen Gerätedefinition
entspricht. Die Regel wird entweder auf
Gerätetreiberebene oder auf Ebene des
Dateisystems auf die Hardware
angewendet. Geräteregeln können auch
bestimmten Endbenutzern zugewiesen
werden.
Verwaltetes Gerät
Windows
Dieser Geräteklassenstatus bedeutet,
dass die Geräte dieser Klasse von Device
Control verwaltet werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
97
5
Schutz von Wechselspeichermedien
Schützen von Geräten
Tabelle 5-1 Device Control-Fachbegriffe (Fortsetzung)
Begriff
Gilt für
Betriebssysteme:
Definition
Regel für
Wechselspeichermedien
Windows, OS X
Wird zum Blockieren oder Überwachen
eines Geräts bzw. zum Setzen eines
Schreibschutzes verwendet.
Wechselspeicherschutzregel
Windows, OS X
Definiert die durchzuführende Aktion
beim Versuch eines Benutzers, als
vertraulich gekennzeichneten Inhalt auf
ein verwaltetes Gerät zu kopieren.
Nicht verwaltetes Gerät
Windows
Dieser Geräteklassenstatus bedeutet,
dass die Geräte dieser Klasse nicht von
Device Control verwaltet werden.
In der Whitelist enthaltenes
Gerät
Windows
Dieser Geräteklassenstatus bedeutet,
dass die Geräte dieser Klasse nicht von
Device Control verwaltet werden können,
da dies den verwalteten Computer, die
Systemqualität oder die Effizienz
beeinträchtigen könnte.
Inhalt
Schützen von Geräten
Verwalten von Geräten mit Geräteklassen
Definieren einer Geräteklasse
Strukturieren von Geräten mithilfe von Gerätedefinitionen
Geräteeigenschaften
Gerätesteuerungsregeln
Regeln für den Wechselspeicher-Dateizugriff
Schützen von Geräten
Mit USB-Laufwerken, kleinen externen Festplatten, Smartphones und anderen Wechseldatenträgern
können vertrauliche Daten aus dem Unternehmen entwendet werden.
USB-Laufwerke stellen eine einfache, preisgünstige und nahezu nicht nachverfolgbare Methode zum
Herunterladen großer Datenmengen dar. Sie werden daher bevorzugt für unerlaubte
Datenübertragungen verwendet. Die Device Control-Software überwacht und steuert USB-Laufwerke
und andere externe Geräte, z. B. Smartphones, Bluetooth-Geräte, Plug-and-Play-Geräte, Audio-Player
und externe Festplatten. Device Control kann auf den meisten Microsoft Windows- und
OS X-Betriebssystemen, auch auf Servern, ausgeführt werden. Ausführliche Informationen hierzu
finden Sie unter "Systemanforderungen" in diesem Handbuch.
Der McAfee Device Control-Schutz funktioniert auf drei Ebenen:
98
•
Geräteklassen: Gruppen von Geräten, die ähnliche Merkmale aufweisen und auf eine ähnliche Art
und Weise verwaltet werden können. Geräteklassen gelten nur für
Plug-and-Play-Gerätedefinitionen und -regeln und können nicht unter OS X-Betriebssystemen
angewendet werden.
•
Gerätedefinitionen: Identifizierung und Gruppierung von Geräten anhand ihrer gemeinsamen
Eigenschaften.
•
Geräteregeln: Steuerung des Geräteverhaltens.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Schutz von Wechselspeichermedien
Verwalten von Geräten mit Geräteklassen
5
Eine Geräteregel enthält eine Liste der Gerätedefinitionen, die in diese Regel einbezogen oder aus
dieser ausgeschlossen werden sollen, sowie die Aktionen, die ausgeführt werden sollen, wenn diese
Regel durch die Verwendung des Geräts ausgelöst wird. Darüber hinaus können Endbenutzer
angegeben werden, die in die Regel einbezogen bzw. aus dieser ausgeschlossen werden sollen. Sie
können bei Bedarf zudem eine Anwendungsdefinition enthalten, um die Regel entsprechend der Quelle
des vertraulichen Inhalts zu filtern.
Regeln für den Wechselspeicherschutz
Device Control enthält neben Geräteregeln auch einen Typ von Datenschutzregeln. Regeln für den
Wechselspeicherschutz enthalten mindestens eine Klassifizierung zur Definition der vertraulichen
Inhalte, die die Regel auslösen. Sie können zudem eine Anwendungsdefinition oder eine
Web-Browser-URL enthalten, und es können Endbenutzer ein- oder ausgeschlossen werden.
Web-Browser-URLs werden in McAfee DLP Endpoint for Mac nicht unterstützt.
Verwalten von Geräten mit Geräteklassen
Eine Geräteklasse ist eine Gruppe von Geräten, die ähnliche Merkmale aufweisen und auf eine
ähnliche Art und Weise verwaltet werden können.
In Geräteklassen werden die vom System verwendeten Geräte mit ihrem Namen und einer Kennung
angegeben. Jede Geräteklassendefinition enthält einen Namen und mindestens eine GUID (Globally
Unique Identifier, global eindeutige ID). Die Geräte Intel® PRO/1000 PL Network Connection und Dell
wireless 1490 Dual Band WLAN Mini-Card gehören beispielsweise zur Geräteklasse Netzwerkadapter.
Geräteklassen können für OS X-Geräte nicht verwendet werden.
Organisation der Geräteklassen
Der DLP-Richtlinien-Manager listet die vordefinierten (integrierten) Geräteklassen auf der
Registerkarte Definitionen unter Gerätesteuerung auf. Geräteklassen werden anhand ihres Status
kategorisiert:
•
Verwaltete Geräte sind bestimmte Plug-and-Play-Geräte oder Wechselspeichermedien, die von
McAfee DLP Endpoint verwaltet werden.
•
Nicht verwaltete Geräte werden in der Standardkonfiguration nicht von Device Control verwaltet.
•
In der Whitelist enthaltene Geräte sind Geräte, die nicht von Device Control gesteuert werden, wie
z. B. batteriebetriebene Geräte oder Prozessoren.
Zur Vermeidung potenzieller Fehlfunktionen des Systems oder Betriebssystems können die
Geräteklassen nicht bearbeitet werden. Sie können eine Klasse jedoch duplizieren und ändern, um der
Liste eine benutzerdefinierte Geräteklasse hinzuzufügen.
Bewährte Methode: Bevor Sie der Liste eine Geräteklasse hinzufügen, sollten Sie zunächst unbedingt
die Auswirkungen überprüfen. Nutzen Sie im Richtlinienkatalog die Registerkarte unter DLP-Richtlinie |
Geräteklassen | Einstellungen zum Erstellen von temporären Geräteklasseneinstellungen, die die
Einstellungen für Geräteklassenstatus und Filtertypen zeitweilig außer Kraft setzen.
Außerkraftsetzungen können zum Prüfen benutzerdefinierter Änderungen vor dem dauerhaften
Erstellen einer Klasse sowie zur Fehlerbehebung bei Problemen mit der Gerätesteuerung genutzt
werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
99
5
Schutz von Wechselspeichermedien
Definieren einer Geräteklasse
Device Control nutzt Gerätedefinitionen und Plug-and-Play-Gerätesteuerungsregeln zur Steuerung von
verwalteten Geräteklassen und bestimmten Geräten, die zu einer verwalteten Geräteklasse gehören.
Regeln für Wechselspeichermedien erfordern dagegen keine verwaltete Geräteklasse. Dies hängt mit
der unterschiedlichen Verwendung der Geräteklassen durch die beiden Arten von Geräteregeln
zusammen:
•
Plug-and-Play-Geräteregeln werden ausgelöst, wenn ein Hardware-Gerät an den Computer
angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse
verwaltet sein, damit das Gerät erkannt wird.
•
Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems
ausgelöst. Dabei ordnet der Device Control-Client den Laufwerksbuchstaben dem jeweiligen
Hardware-Gerät zu und überprüft die Geräteeigenschaften. Da sich die Reaktion auf einen
Dateisystemvorgang (die Bereitstellung des Dateisystems) bezieht, muss die Geräteklasse nicht
verwaltet sein.
Siehe auch
Erstellen einer Geräteklasse auf Seite 101
Definieren einer Geräteklasse
Falls noch keine passende Geräteklasse in der vordefinierten Liste vorhanden ist oder beim Installieren
der neuen Hardware nicht automatisch erstellt wird, können Sie in der McAfee DLP
Endpoint-Richtlinien-Manager-Konsole eine neue Geräteklasse erstellen.
Ermitteln einer GUID
Für Geräteklassendefinitionen sind ein Name und mindestens eine GUID (Globally Unique Identifier,
globale eindeutige ID) erforderlich.
Einige Hardware-Geräte installieren eine eigene neue Geräteklasse. Um das Verhalten von
Plug-and-Play-Hardware-Geräten zu kontrollieren, die ihre eigenen Geräteklassen definieren, müssen
Sie zunächst dem Status Verwaltet in der Liste Geräteklassen eine neue Geräteklasse hinzufügen.
Eine Geräteklasse wird durch zwei Eigenschaften definiert: den Namen und die GUID. Der Name des
neuen Geräts wird im Geräte-Manager angezeigt, die GUID jedoch nur in der Windows-Registrierung,
und es gibt keine Möglichkeit zum Abrufen dieser Information. Um das Abrufen der neuen
Gerätenamen und GUIDs zu vereinfachen, meldet der Device Control-Client das Ereignis Neue
Geräteklasse gefunden an die DLP-Ereignisverwaltung, wenn ein Hardware-Gerät, das nicht einer
erkannten Geräteklasse angehört, an den Host-Computer angeschlossen wird.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
100
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Ereignisverwaltung | Liste der Vorfälle aus.
2
Klicken Sie neben der Dropdown-Liste Filter auf Bearbeiten, um die Filterkriterien zu bearbeiten.
3
Wählen Sie in der Liste Verfügbare Eigenschaften (linker Bereich) Vorfalltyp aus.
4
In der Dropdown-Liste Vergleich muss der Wert Gleich ausgewählt sein.
5
Wählen Sie in der Dropdown-Liste Werte die Option Neue Geräteklasse gefunden aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Strukturieren von Geräten mithilfe von Gerätedefinitionen
6
Klicken Sie auf Filter aktualisieren.
In der Liste der Vorfälle werden die auf allen Endgerät-Computern gefundenen neuen Geräteklassen
angezeigt.
7
Doppelklicken Sie zur Anzeige des Namens und des GUID auf das Element, um die Vorfallsdetails
anzuzeigen.
Erstellen einer Geräteklasse
Wenn eine benötigte Geräteklasse sich nicht in der Liste der vordefinierten Geräteklassen befindet
bzw. beim Installieren neuer Hardware nicht automatisch erstellt wurde, können Sie eine neue
Geräteklasse erstellen.
Bevor Sie beginnen
Sie benötigen hierfür die Geräte-GUID.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Fensterbereich Gerätesteuerung | Geräteklasse aus.
3
Führen Sie eine der folgenden Aktionen aus:
•
Wählen Sie Aktionen | Neu aus.
•
Suchen Sie in der vordefinierten Liste der Geräteklassen eine ähnliche Geräteklasse, und klicken
Sie dann in der Spalte Aktionen auf Duplizieren. Klicken Sie für die duplizierte Geräteklasse auf
Bearbeiten.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
5
Überprüfen Sie den erforderlichen Status und Filtertyp.
6
Geben Sie die GUID ein, und klicken Sie auf Hinzufügen.
Die GUID muss das korrekte Format aufweisen. Bei einer fehlerhaften Eingabe werden Sie zur
Eingabe im korrekten Format aufgefordert.
7
Klicken Sie auf Speichern.
Siehe auch
Verwalten von Geräten mit Geräteklassen auf Seite 99
Strukturieren von Geräten mithilfe von Gerätedefinitionen auf Seite 101
Strukturieren von Geräten mithilfe von Gerätedefinitionen
Eine Gerätedefinition ist eine Liste von Geräteeigenschafte, wie z. B. Bustyp, Geräteklasse,
Anbieter-ID oder Produkt-ID.
Die Aufgabe von Gerätedefinitionen besteht darin, Geräte anhand gemeinsamer Geräteeigenschaften
zu erkennen und in Gruppen zusammenzufassen. Einige Geräteeigenschaften können auf alle
Gerätedefinitionen angewendet werden, andere sind ausschließlich für einen oder mehrere spezielle
Gerätetypen bestimmt.
Die folgenden Gerätedefinitionstypen sind verfügbar:
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
101
5
Schutz von Wechselspeichermedien
Strukturieren von Geräten mithilfe von Gerätedefinitionen
•
Festplattenlaufwerke sind mit dem Computer verbunden und werden vom Betriebssystem nicht als
Wechselspeicher gekennzeichnet. Device Control kann alle Festplattenlaufwerke bis auf das
Startlaufwerk steuern.
•
Plug-and-Play-Geräte werden ohne Konfiguration oder manuelle Installation von DLL-Dateien bzw.
Treibern an den verwalteten Computer angeschlossen. Bei den meisten Microsoft Windows-Geräten
handelt es sich um Plug-and-Play-Geräte. Auf Computern unter Apple OS X werden nur USB-Geräte
unterstützt.
•
Wechselspeichermedien sind externe Geräte mit einem Dateisystem, die auf dem verwalteten
Computer als Laufwerk angezeigt werden. Die Definitionen der Wechselspeichermedien
unterstützen entweder Microsoft Windows- oder Apple OS X-Betriebssysteme.
•
Plug-and-Play-Geräte in der Whitelist verursachen Konflikte bei der Geräteverwaltung und können
dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen. Sie werden nur auf
Microsoft Windows-Computern unterstützt.
Definitionen für Plug-and-Play-Geräte in der Whitelist werden in jeder
Plug-and-Play-Gerätesteuerungsregel automatisch der Liste der ausgeschlossenen Geräte
hinzugefügt. Diese Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete
Geräteklasse verwaltet wird.
Die Definitionen der Wechselspeichermedien sind flexibler und beinhalten zusätzliche Eigenschaften
bezüglich der Wechselspeichermedien.
Bewährte Methode: Verwenden Sie für Geräte wie USB-Massenspeichergeräte, die als beides
eingestuft werden können, Definitionen und Regeln für Wechselspeichermedien.
Siehe auch
Erstellen einer Geräteklasse auf Seite 101
Arbeiten mit Gerätedefinitionen
Mehrere Parameter werden Gerätedefinitionen entweder als logisches ODER (Standardeinstellung)
oder als logisches UND hinzugefügt. Mehrere Parametertypen werden immer als logisches UND
hinzugefügt.
Die folgende Parameterauswahl beispielsweise:
Erstellt diese Definition:
102
•
Bustyp ist eines von: Firewire (IEEE 1394) ODER USB,
•
UND Geräte-Klasse ist eines von: Speichergeräte ODER tragbare Windows-Geräte
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Strukturieren von Geräten mithilfe von Gerätedefinitionen
Erstellen einer Gerätedefinition
Gerätedefinitionen geben die Eigenschaften eines Geräts an, um die Regel auszulösen.
Bewährte Methode: Erstellen Sie für Geräte, die Konflikte bei der Geräteverwaltung verursachen und
dadurch einen Systemabsturz oder andere schwerwiegende Probleme auslösen können, Definitionen für
Plug-and-Play-Geräte in der Whitelist. Für diese Geräte werden auch bei Auslösung einer Regel keine
Aktionen ausgeführt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich die Option Gerätesteuerung | Gerätedefinitionen aus.
3
Wählen Sie Aktionen | Neu und dann den Typ der Definition aus.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
5
(Nur für Plug-and-Play-Geräte und Wechselspeichermedien) Wählen Sie die Option Bezieht sich auf für
Microsoft Windows- oder OS X-Geräte aus.
Daraufhin werden in der Liste Verfügbare Eigenschaften die Eigenschaften für das ausgewählte
Betriebssystem angezeigt.
6
Wählen Sie Eigenschaften für das Gerät aus.
Die jeweilige Liste der verfügbaren Eigenschaften hängt vom Typ des Geräts ab.
•
Klicken Sie zum Hinzufügen einer Eigenschaft auf >.
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/
Oder-Schaltfläche, um den Operator zu UND zu ändern.
•
7
Klicken Sie zum Entfernen einer Eigenschaft auf -.
Klicken Sie auf Speichern.
Erstellen einer Definition für Plug-and-Play-Geräte in der Whitelist
Plug-and-Play-Geräte in der Whitelist werden zur Handhabung von Geräten verwendet, die Konflikte
bei der Geräteverwaltung verursachen. Wenn diese Geräte nicht in die Whitelist aufgenommen
werden, können sie einen Systemabsturz oder andere schwerwiegende Probleme auslösen.
Plug-and-Play-Definitionen in der Whitelist werden in McAfee DLP Endpoint for Mac nicht unterstützt.
Plug-and-Play-Geräte in der Whitelist werden den Plug-and-Play-Geräteregeln auf der Registerkarte
Ausnahmen hinzugefügt. Diese Geräte werden in keinem Fall verwaltet, auch wenn die übergeordnete
Geräteklasse verwaltet wird.
Bewährte Methode: Nehmen Sie Geräte, die Konflikte bei der Geräteverwaltung verursachen, in die
Whitelist für Geräte auf, um Kompatibilitätsprobleme zu vermeiden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
103
5
Schutz von Wechselspeichermedien
Strukturieren von Geräten mithilfe von Gerätedefinitionen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu |
Plug-and-Play-Gerätedefinition in der Whitelist aus.
3
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
4
Wählen Sie Eigenschaften für das Gerät aus.
•
Klicken Sie zum Hinzufügen einer Eigenschaft auf >.
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/
Oder-Schaltfläche, um den Operator zu UND zu ändern.
•
5
Klicken Sie zum Entfernen einer Eigenschaft auf -.
Klicken Sie auf Speichern.
Erstellen einer Definition für ein Wechselspeichermedium
Ein Wechselspeichermedium ist ein externes Gerät mit einem Dateisystem, das auf dem verwalteten
Computer als Laufwerk angezeigt wird. Definitionen für Wechselspeichermedien sind flexibler als
Definitionen für Plug-and-Play-Geräte und umfassen zusätzliche Eigenschaften für Geräte.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich Gerätesteuerung | Gerätedefinitionen und anschließend Aktionen | Neu |
Wechselspeichermedium-Definition aus.
3
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
4
Wählen Sie die Option Gilt für für Microsoft Windows- oder OS X-Geräte aus.
Daraufhin werden in der Liste Verfügbare Eigenschaften die Eigenschaften für das ausgewählte
Betriebssystem angezeigt.
5
Wählen Sie Eigenschaften für das Gerät aus.
•
Klicken Sie zum Hinzufügen einer Eigenschaft auf >.
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
Werte werden standardmäßig als logisches ODER hinzugefügt. Klicken Sie auf die Und/
Oder-Schaltfläche, um den Operator zu UND zu ändern.
•
6
104
Klicken Sie zum Entfernen einer Eigenschaft auf -.
Klicken Sie auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Geräteeigenschaften
Erstellen einer Definition für ein Seriennummer-Benutzer-Paar
Sie können auf Paaren aus Geräte-Seriennummern und Benutzeridentitäten basierende Ausnahmen
für Plug-and-Play-Regeln und Regeln für Wechselspeichermedien erstellen. Die Verbindung des Geräts
mit dem angemeldeten Benutzer schafft höhere Sicherheit.
Bevor Sie beginnen
Rufen Sie die Seriennummern der Geräte ab, die Sie zur Definition hinzufügen möchten.
Definitionen für Seriennummer-Benutzer-Paare werden in McAfee DLP Endpoint for Mac nicht
unterstützt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Fensterbereich Gerätesteuerung | Seriennummer-Endbenutzer-Paar aus.
3
Wählen Sie Aktionen | Neu aus.
4
Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein.
5
Geben Sie in die Textfelder unten auf der Seite die erforderlichen Informationen ein, und klicken
Sie dann auf Hinzufügen. Wiederholen Sie diese Schritte zum Hinzufügen weiterer
Seriennummer-Endbenutzer-Paare nach Bedarf.
Lassen Sie beim Benutzertyp | Alle das Feld Endbenutzer unausgefüllt. Wenn Sie einen Benutzer
definieren, verwenden Sie hierbei das Format [email protected]äne.
6
Klicken Sie auf Speichern.
Siehe auch
Geräteeigenschaften auf Seite 105
Geräteeigenschaften
Die Geräteeigenschaften geben die Merkmale eines Geräts an, z. B. den Gerätenamen, den Bustyp
oder den Dateisystemtyp.
In der Tabelle werden Definitionen für Geräteeigenschaften aufgeführt, und es wird angegeben, welche
Definitionstypen die Eigenschaft verwenden und für welches Betriebssystem sie gültig sind.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
105
5
Schutz von Wechselspeichermedien
Geräteeigenschaften
Tabelle 5-2 Arten von Geräteeigenschaften
Name der Eigenschaft
Gerätedefinition Gilt für
Beschreibung
Betriebssysteme:
Bustyp
Alle
• Windows:
Bluetooth,
Firewire
(IEEE1394),
IDE/SATA, PCI,
PCMIA, SCSI,
USB
Hier wird der Geräte-Bustyp in der
verfügbaren Liste ausgewählt.
Für Plug-and-Play-Geräteregeln
unterstützt McAfee DLP Endpoint
for Mac nur den Bustyp USB.
• Mac OS X:
Firewire
(IEEE1394),
IDE/SATA, SD,
Thunderbolt,
USB
CD-/DVD-Laufwerke
Wechselspeicher
• Windows
• Mac OS X
Auswählen, um ein CD- oder
DVD-Laufwerk anzugeben.
Durch Endpoint Encryption
verschlüsselter Inhalt.
Wechselspeicher
Windows
Durch Endpoint Encryption geschützte
Geräte.
Geräteklasse
Plug-and-Play
Windows
Wählt die Geräte-Klasse aus der Liste
der verfügbaren verwalteten
Geräteklassen aus.
Gerätekompatible IDs
Alle
Windows
Eine Liste mit Beschreibungen
physischer Geräte. Besonders geeignet
für Gerätetypen, die nicht auf USB oder
PCI basieren und die leichter anhand
der PCI-Anbieter-/Geräte-ID bzw. der
USB-PID/VID identifiziert werden.
Geräteinstanz-ID (Microsoft
Windows XP)
Alle
Windows
Eine von Windows generierte
Zeichenfolge, die das Gerät im System
eindeutig identifiziert.
Geräteinstanzpfad (Windows Vista
und höhere Microsoft
Windows-Betriebssysteme,
einschließlich Server)
Anzeigename des Geräts
Beispiel:
USB
\VID_0930&PID_6533\5&26450FC&0&6.
Alle
• Windows
• Mac OS X
106
McAfee Data Loss Prevention 10.0.100
Der Name, der dem Hardware-Gerät
zugeordnet ist und die physische
Adresse angibt.
Produkthandbuch
5
Schutz von Wechselspeichermedien
Geräteeigenschaften
Tabelle 5-2 Arten von Geräteeigenschaften (Fortsetzung)
Name der Eigenschaft
Gerätedefinition Gilt für
Beschreibung
Betriebssysteme:
Dateisystemtyp
• Festplatte
• Windows: CDFS,
exFAT, FAT16,
• Wechselspeicher
FAT32, NTFS,
UDFS
• Mac OS X: CDFS,
exFAT, FAT16,
FAT32, HFS/HFS
+, NTFS, UDFS
Der Typ des Dateisystems.
• Wählen Sie für Festplatten ex-FAT,
FAT16, FAT32 oder NTFS aus.
• Bei Wechselspeichermedien steht
zudem noch CDFS oder UDFS zur
Auswahl.
Mac OS X
unterstützt FAT auf
allen Datenträgern
außer Bootdisks.
Mac OS X
unterstützt NTFS
als
schreibgeschützt.
Dateisystemzugriff
Wechselspeicher
• Windows
• Mac OS X
Dateisystem-Datenträgerbeschriftung • Festplatte
• Windows
• Wechselspeicher • Mac OS X
Datenträgerseriennummer des
Dateisystems
• Festplatte
PCI-Anbieter-ID/Geräte-ID
Alle
Zugriff auf das Dateisystem: Lesezugriff
oder Lese-/Schreibzugriff.
Eine benutzerdefinierte
Datenträgerbeschriftung, kann in
Windows Explorer angezeigt werden.
Eine Teilübereinstimmung ist zulässig.
Windows
Eine 32-Bit-Zahl, die beim Erstellen
eines Dateisystems auf dem Gerät
automatisch generiert wird. Sie kann
über den Befehlszeilenbefehl dir x:
angezeigt werden, wobei "x:" für den
Laufwerkbuchstaben steht.
Windows
Die PCI-Anbieter-ID und die Geräte-ID
sind im PCI-Gerät festgelegt. Diese
Parameter können aus der
Hardware-ID-Zeichenfolge physischer
Geräte abgerufen werden.
• Wechselspeicher
Beispiel:
PCI
\VEN_8086&DEV_2580&SUBSYS_00000000
&REV_04
TrueCrypt-Geräte
Wechselspeicher
Windows
Auswählen, um ein TrueCrypt-Gerät
anzugeben.
USB-Klassencode
Plug-and-Play
Windows
Gibt ein physisches USB-Gerät anhand
der allgemeinen Funktion an. Wählen
Sie den Klassencode in der verfügbaren
Liste aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
107
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
Tabelle 5-2 Arten von Geräteeigenschaften (Fortsetzung)
Name der Eigenschaft
Gerätedefinition Gilt für
Beschreibung
Betriebssysteme:
USB-Geräteseriennummer
• Plug-and-Play
• Windows
• Wechselspeicher • Mac OS X
Eine eindeutige alphanumerische
Zeichenfolge, die vom
USB-Gerätehersteller zugewiesen wurde
(meist für Wechselspeichermedien). Die
Seriennummer ist der letzte Teil der
Instanz-ID.
Beispiel:
USB
\VID_3538&PID_0042\00000000002CD8
Eine gültige Seriennummer muss aus
mindestens fünf alphanumerischen
Zeichen bestehen und darf keine
kaufmännischen Und-Zeichen (&)
enthalten. Wenn der letzte Teil der
Instanz-ID diese Anforderungen nicht
erfüllt, handelt es sich nicht um eine
Seriennummer.
USB-VID/PID
• Plug-and-Play
• Windows
• Wechselspeicher • Mac OS X
Die USB-Anbieter-ID und die Produkt-ID
sind im USB-Gerät festgelegt. Diese
Parameter können aus der
Hardware-ID-Zeichenfolge physischer
Geräte abgerufen werden.
Beispiel:
USB\Vid_3538&Pid_0042
Gerätesteuerungsregeln
Gerätesteuerungsegeln definieren die Aktion, die durchgeführt wird, wenn bestimmte Geräte
verwendet werden.
108
Gerätesteuerungsregel
Beschreibung
Unterstützt von
Regel für
Wechselspeichermedien
Wird zum Blockieren oder Überwachen von
Wechselspeichermedien bzw. zum Setzen
eines Schreibschutzes verwendet. Der
Benutzer kann über die durchgeführte
Aktion benachrichtigt werden.
McAfee DLP
Endpoint für
Windows, McAfee
DLP Endpoint for
Mac
Plug-and-Play-Geräteregel
Wird zum Blockieren oder Überwachen von
Plug-and-Play-Geräten verwendet. Der
Benutzer kann über die durchgeführte
Aktion benachrichtigt werden.
McAfee DLP
Endpoint für
Windows, McAfee
DLP Endpoint for
Mac (nur
USB-Geräte)
Regel zum
Wechselspeicher-Dateizugriff
Wird zum Blockieren der Ausführung von
ausführbaren Dateien auf Plug-In-Geräten
verwendet.
McAfee DLP
Endpoint for
Windows
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
Gerätesteuerungsregel
Beschreibung
Unterstützt von
Festplattenregel
Wird zum Blockieren oder Überwachen von McAfee DLP
Festplatten bzw. zum Setzen eines
Endpoint for
Schreibschutzes verwendet. Der Benutzer Windows
kann über die durchgeführte Aktion
benachrichtigt werden. Geräteregeln für
Festplatten schützen nicht die Start- oder
Systempartition.
Citrix XenApp-Geräteregel
Wird zum Blockieren von Citrix-Geräten
genutzt, die gemeinsam verwendeten
Desktop-Sitzungen zugeordnet sind.
TrueCrypt-Geräteregel
Wird zum Schützen von TrueCrypt-Geräten McAfee DLP
verwendet. Kann zum Blockieren,
Endpoint for
Überwachen oder Setzen eines
Windows
Schreibschutzes verwendet werden. Der
Benutzer kann über die durchgeführte
Aktion benachrichtigt werden.
McAfee DLP
Endpoint for
Windows
Erstellen einer Regel für Wechselspeichermedien
Wechselspeichermedien werden auf verwalteten Computern als Laufwerke angezeigt. Mithilfe von
Regeln für Wechselspeichermedien können Sie Wechselspeichermedien blockieren oder mit einem
Schreibschutz versehen. Diese Regeln werden sowohl von McAfee DLP Endpoint for Windows als auch
von McAfee DLP Endpoint for Mac unterstützt.
Da die beiden Arten von Geräteregeln Geräteklassen auf unterschiedliche Art und Weise verwenden,
benötigen Regeln für Wechselspeichermedien keine verwaltete Geräteklasse:
•
Plug-and-Play-Geräteregeln werden ausgelöst, wenn ein Hardware-Gerät an den Computer
angeschlossen wird. Da sich die Reaktion auf einen Gerätetreiber bezieht, muss die Geräteklasse
verwaltet sein, damit das Gerät erkannt wird.
•
Regeln für Wechselspeichermedien werden bei der Bereitstellung eines neuen Dateisystems
ausgelöst. Dabei ordnet die McAfee DLP Endpoint-Software dem Hardware-Gerät den
Laufwerksbuchstaben zu und überprüft die Eigenschaften des Geräts. Da sich die Reaktion auf
einen Dateisystemvorgang und nicht auf einen Gerätetreiber bezieht, muss die Geräteklasse nicht
verwaltet sein.
Geräteregeln enthalten den Parameter Erzwingen in, mit dem die Regel entweder nur unter Windows, nur
unter OS X oder unter beiden Betriebssystemen angewendet werden kann. Die in den Geräteregeln
verwendeten Gerätedefinitionen enthalten den Parameter Bezieht sich auf, der festlegt, ob die Regeln auf
Windows-Geräte oder Mac OS X-Geräte angewendet werden. Achten Sie beim Auswählen von
Gerätedefinitionen darauf, dass die in der Definition und der Regel genannten Betriebssysteme
übereinstimmen. Unter beiden Betriebssystemen ignorieren die McAfee DLP Endpoint-Clients alle
Eigenschaften, die sich nicht auf das jeweilige Betriebssystem beziehen. Sie können jedoch keine Regel
speichern, die beispielsweise nur unter Windows erzwungen wird, aber Mac OS X-Gerätedefinitionen
enthält.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
109
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
4
Wählen Sie Aktionen | Neue Regel | Regel für Wechselspeichermedien aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
Deaktivieren Sie das Kontrollkästchen McAfee DLP Endpoint for Windows bzw. McAfee DLP Endpoint for Mac OS X,
wenn die Regel nur für eines der beiden Betriebssysteme gilt.
8
Wählen Sie auf der Registerkarte Bedingung mindestens eine Wechselspeichermedium-Definition aus.
Optional: Weisen Sie der Regel Endbenutzergruppen und einen Prozessnamen zu.
9
(Optional) Wählen Sie auf der Registerkarte Ausnahmen eine Definition für Elemente in der Whitelist
aus, und füllen Sie die erforderlichen Felder aus.
Durch Hinzufügen von weiteren in der Whitelist enthaltenen Definitionen können Sie auch mehrere
Ausnahmen hinzufügen.
Die Optionen Ausgeschlossene Prozesse und Ausgeschlossene Seriennummer-Benutzer-Paare werden in McAfee
DLP Endpoint for Mac nicht unterstützt.
10 Wählen Sie auf der Registerkarte Reaktion eine Vorbeugende Aktion aus. Bei Bedarf können Sie eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
11 (Optional) Sie können eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb
des Unternehmensnetzwerks arbeitet.
12 Klicken Sie auf Speichern.
Siehe auch
Anwendungsbeispiel: Geräteregeln für den Wechselspeicher-Dateizugriff mit einem in der
Whitelist befindlichen Prozess auf Seite 174
Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein Wechselspeichermedium auf
Seite 175
Erstellen einer Plug-and-Play-Geräteregel
Mit Plug-and-Play-Geräteregeln können Plug-and-Play-Geräte blockiert oder überwacht werden. Diese
Regeln werden sowohl von McAfee DLP Endpoint for Windows als auch von McAfee DLP Endpoint for
Mac unterstützt. Auf Computern mit OS X werden nur USB-Geräte unterstützt.
Ein Plug-and-Play-Gerät kann ohne Konfiguration oder manuelle Installation von DLL-Dateien oder
Treibern an einen verwalteten Computer angeschlossen werden. Damit Hardware-Geräte mit Microsoft
Windows anhand von Plug-and-Play-Geräteregeln gesteuert werden können, muss der Status für die
Geräteklassen, die in den von der Regel verwendeten Gerätedefinitionen angegeben sind, auf
Verwaltet eingestellt werden.
Geräteregeln enthalten den Parameter Erzwingen in, mit dem die Regel entweder nur unter Windows, nur
unter OS X oder unter beiden Betriebssystemen angewendet werden kann. Die in den Geräteregeln
verwendeten Gerätedefinitionen enthalten den Parameter Bezieht sich auf, der festlegt, ob die Regeln auf
Windows-Geräte oder Mac OS X-Geräte angewendet werden. Achten Sie beim Auswählen von
Gerätedefinitionen darauf, dass die in der Definition und der Regel genannten Betriebssysteme
übereinstimmen. Unter beiden Betriebssystemen ignorieren die McAfee DLP Endpoint-Clients alle
Eigenschaften, die sich nicht auf das jeweilige Betriebssystem beziehen. Sie können jedoch keine Regel
speichern, die beispielsweise nur unter Windows erzwungen wird, aber Mac OS X-Gerätedefinitionen
enthält.
110
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Wenn Sie einen Regelsatz bearbeiten möchten, klicken Sie auf den Namen des entsprechenden
Regelsatzes. Klicken Sie auf die Registerkarte Gerätesteuerung.
4
Wählen Sie Aktionen | Neue Regel | Plug-and-Play-Geräteregel aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
Deaktivieren Sie das Kontrollkästchen McAfee DLP Endpoint for Windows bzw. McAfee DLP Endpoint for Mac OS X,
wenn die Regel nur für eines der beiden Betriebssysteme gilt.
8
Wählen Sie auf der Registerkarte Bedingung mindestens eine Plug-and-Play-Gerätedefinition aus.
9
(Optional) Weisen Sie der Regel Endbenutzergruppen zu.
10 (Optional) Wählen Sie auf der Registerkarte Ausnahmen eine Definition für Elemente in der Whitelist
aus, und füllen Sie die erforderlichen Felder aus.
Durch Hinzufügen von weiteren in der Whitelist enthaltenen Definitionen können Sie auch mehrere
Ausnahmen hinzufügen.
11 Wählen Sie auf der Registerkarte Reaktion eine vorbeugende Aktion aus. Bei Bedarf können Sie eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
12 Sie können bei Bedarf eine andere vorbeugende Aktion für den Fall auswählen, dass der
Endbenutzer außerhalb des Unternehmensnetzwerks arbeitet oder über ein VPN verbunden ist.
13 Klicken Sie auf Speichern.
Siehe auch
Anwendungsbeispiel: Blockieren und Aufladen eines iPhones mithilfe einer Plug-and-PlayGeräteregel auf Seite 176
Erstellen einer Geräteregel für Wechselspeicher-Dateizugriff
Mithilfe von Regeln für den Wechselspeicher-Dateizugriff können Sie die Ausführung ausführbarer
Dateien auf Plug-In-Geräten blockieren.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
111
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
4
Wählen Sie Aktionen | Neue Regel | Regel zum Wechselspeicher-Dateizugriff aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
Wählen Sie auf der Registerkarte Bedingung mindestens eine Wechselspeichermedium-Definition aus.
(Optional) Weisen Sie der Regel Endbenutzergruppen zu.
8
(Optional) Sie können die Standarddefinitionen für Tatsächlicher Dateityp bzw. Dateierweiterung
entsprechend Ihren Anforderungen ändern.
9
(Optional) Wählen Sie auf der Registerkarte Ausnahmen die Option Dateinamen in der Whitelist aus, und
füllen Sie die erforderlichen Felder aus.
Die Ausnahme Dateiname eignet sich für Anwendungen, die unbedingt ausgeführt werden müssen,
beispielsweise Verschlüsselungsanwendungen auf verschlüsselten Laufwerken.
10 Wählen Sie auf der Registerkarte Reaktion eine Vorbeugende Aktion aus. (Optional) Sie können eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
11 (Optional) Sie können eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb
des Unternehmensnetzwerks arbeitet.
12 Klicken Sie auf Speichern.
Siehe auch
Regeln für den Wechselspeicher-Dateizugriff auf Seite 114
Erstellen einer Festplatten-Geräteregel
Mit Festplatten-Geräteregeln steuern Sie Festplatten, die mit dem Computer verbunden und vom
Betriebssystem nicht als Wechselspeicher gekennzeichnet sind. Diese Regeln werden nur unter McAfee
DLP Endpoint for Windows unterstützt.
Festplattenregeln enthalten eine Laufwerkdefinition mit einer Aktion (blockieren oder mit
Schreibschutz versehen), einer Endbenutzerdefinition und ggf. einer Benutzerbenachrichtigung. Die
Boot- und die Systempartitionen werden durch diese Regeln nicht geschützt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
112
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
4
Wählen Sie Aktionen | Neue Regel | Festplattenregel aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
Wählen Sie auf der Registerkarte Bedingung mindestens eine Festplatten-Gerätedefinition aus.
(Optional) Weisen Sie der Regel Endbenutzergruppen zu.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Gerätesteuerungsregeln
8
(Optional) Wählen Sie auf der Registerkarte Ausnahmen eine Definition für Elemente in der Whitelist
aus, und füllen Sie die erforderlichen Felder aus.
Durch Hinzufügen von weiteren in der Whitelist enthaltenen Definitionen können Sie auch mehrere
Ausnahmen hinzufügen.
9
Wählen Sie auf der Registerkarte Reaktion eine Vorbeugende Aktion aus. Bei Bedarf können Sie eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
10 (Optional) Sie können eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb
des Unternehmensnetzwerks arbeitet.
11 Klicken Sie auf Speichern.
Erstellen einer Citrix-Geräteregel
Mithilfe von Citrix-Geräte-Regeln können Citrix-Geräte blockiert werden, die gemeinsam verwendeten
Desktop-Sitzungen zugeordnet sind.
Citrix XenApp-Geräteregeln werden nur auf Windows-Computern unterstützt. Die McAfee DLP
Endpoint-Software kann Citrix-Geräte blockieren, die freigegebenen Desktop-Sitzungen zugeordnet
sind. Dabei können Disketten-, Festplatten-, CD-, Wechselspeicher- und Netzwerklaufwerke sowie
Drucker und Zwischenablageumleitungen blockiert werden. Sie können die Regel bestimmten
Endbenutzern zuweisen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
4
Wählen Sie Aktionen | Neue Regel | Citrix XenApp-Geräteregel aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
Wählen Sie auf der Registerkarte Bedingung mindestens eine Ressource aus.
8
(Optional) Weisen Sie der Regel Endbenutzergruppen zu.
9
(Optional) Füllen Sie auf der Registerkarte Ausnahmen die erforderlichen Felder für Benutzer in der
Whitelist aus.
10 Klicken Sie auf Speichern.
Die ausgewählten Ressourcen werden blockiert.
Die einzige Vorbeugende Aktion für Citrix-Regeln ist Blockieren. Sie müssen die Aktion nicht im Bereich Reaktion
festlegen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
113
5
Schutz von Wechselspeichermedien
Regeln für den Wechselspeicher-Dateizugriff
Erstellen einer TrueCrypt-Geräteregel
Mithilfe von TrueCrypt-Geräteregeln können virtuelle TrueCrypt-Verschlüsselungsgeräte blockiert oder
überwacht bzw. mit einem Schreibschutz versehen werden. Diese Regeln werden nur unter McAfee
DLP Endpoint for Windows unterstützt.
TrueCrypt-Geräteregeln sind eine Untergruppe der Regeln für Wechselspeichermedien. Mit TrueCrypt
verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit
Wechselspeicherschutzregeln geschützt werden.
•
Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem
Schreibschutz versehen werden soll.
•
Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine
Schutzregel.
Die McAfee DLP Endpoint-Client-Software behandelt alle TrueCrypt-Bereitstellungen als Wechselspeicher,
auch wenn die TrueCrypt-Anwendung auf eine lokale Festplatte schreibt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Regelsätze aus.
2
Wählen Sie Aktionen | Neuer Regelsatz aus, oder bearbeiten Sie einen vorhandenen Regelsatz.
3
Klicken Sie auf den Namen des Regelsatzes, um den Regelsatz zur Bearbeitung zu öffnen. Klicken
Sie auf die Registerkarte Gerätesteuerung.
4
Wählen Sie Aktionen | Neue Regel | TrueCrypt-Geräteregel aus.
5
Geben Sie einen eindeutigen Regelnamen ein.
6
(Optional) Ändern Sie den Status, und wählen Sie einen Schweregrad aus.
7
(Optional) Weisen Sie der Regel auf der Registerkarte Bedingung Endbenutzergruppen zu.
8
(Optional) Füllen Sie auf der Registerkarte Ausnahmen die erforderlichen Felder für Benutzer in der
Whitelist aus.
9
Wählen Sie auf der Registerkarte Reaktion eine Vorbeugende Aktion aus. (Optional) Sie können eine
Benutzerbenachrichtigung hinzufügen und Vorfall melden auswählen.
Wenn Sie Vorfall melden nicht auswählen, wird der Vorfall nicht im DLP-Vorfalls-Manager protokolliert.
10 (Optional) Sie können eine andere Vorbeugende Aktion auswählen, wenn der Endbenutzer außerhalb
des Unternehmensnetzwerks arbeitet.
11 Klicken Sie auf Speichern.
Regeln für den Wechselspeicher-Dateizugriff
Mit Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von ausführbaren Dateien auf
Plug-In-Geräten blockiert. Diese Regeln werden nur auf Microsoft Windows-Computern unterstützt.
Mit Regeln für den Wechselspeicher-Dateizugriff wird die Ausführung von Anwendungen auf
Wechselspeichermedien blockiert. In der Regel können ein- und ausgeschlossene Geräte angegeben
werden. Da bei einigen ausführbaren Dateien, z. B. Verschlüsselungsanwendungen auf verschlüsselten
Geräten, die Ausführung gestattet werden muss, beinhaltet die Regel den Parameter Dateiname | ist
keines von, damit darin aufgeführte Dateien von der Blockierungsregel ausgenommen werden können.
114
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
5
Schutz von Wechselspeichermedien
Regeln für den Wechselspeicher-Dateizugriff
Dateizugriffsregeln nutzen für die Bestimmung der zu blockierenden Dateien den tatsächlichen
Dateityp und die tatsächliche Dateierweiterung. Der tatsächliche Dateityp identifiziert die Datei anhand
des intern registrierten Datentyps, der auch dann die korrekte Information liefert, wenn die
Erweiterung geändert wurde. Die Regel blockiert standardmäßig komprimierte Dateien (ZIP, GZ, JAR,
RAR und CAB) und ausführbare Dateien (BAT, BIN, CGI, COM, CMD, DLL, EXE, CLASS, SYS und MSI).
Sie können die Definitionen der Dateierweiterungen beliebig anpassen und weitere benötigte
Dateitypen hinzufügen.
Dateizugriffsregeln blockieren außerdem das Kopieren ausführbarer Dateien auf
Wechselspeichermedien, da der Dateifiltertreiber nicht unterscheiden kann, ob eine ausführbare Datei
geöffnet oder lediglich erstellt wird.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
115
5
Schutz von Wechselspeichermedien
Regeln für den Wechselspeicher-Dateizugriff
116
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Mithilfe von Klassifizierungen können vertrauliche Inhalte und Dateien erkannt und verfolgt werden.
Inhalt
Komponenten des Moduls Klassifizierung
Verwenden von Klassifizierungen
Klassifizierungsdefinitionen und -kriterien
Manuelle Klassifizierung
Registrierte Dokumente
Text in der Whitelist
Erstellen und Konfigurieren von Klassifizierungen
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint
Erstellen von Klassifizierungsdefinitionen
Anwendungsbeispiel: Einbinden des Titus-Clients bei der Nutzung von Drittanbieter-Tags
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien
Komponenten des Moduls Klassifizierung
McAfee DLP klassifiziert vertrauliche Inhalte mit zwei Mechanismen: Inhaltsklassifizierungen und
Inhalts-Fingerprinting; zudem sind zwei Modi verfügbar: automatische und manuelle Klassifizierung.
Automatische Klassifizierungen werden in McAfee DLP definiert und von McAfee ePO mittels der auf
Endpunkt-Computern bereitgestellten Richtlinien verteilt. Anschließend werden sie entsprechend den
ihnen zugrunde liegenden Kriterien auf Inhalte angewendet. Manuelle Klassifizierungen werden von
autorisierten Benutzern auf ihren Endpunkt-Computern auf Dateien und E-Mails angewendet. Das
Dialogfeld für die manuelle Klassifizierung wird nur in McAfee DLP Endpoint for Windows unterstützt.
Alle anderen McAfee DLP-Produkte können auf manuellen Klassifizierungen basierende
Datenschutzregeln zwar erzwingen, jedoch weder festlegen noch anzeigen.
Im Modul Klassifizierung in McAfee DLP werden Inhaltsklassifizierungs- und
Inhalts-Fingerprinting-Kriterien sowie die Definitionen gespeichert, mit denen sie konfiguriert werden.
In diesem Modul werden zudem Repositorys für registrierte Dokumente, die Benutzerautorisierung für
die manuelle Klassifizierung und in der Whitelist befindlicher Text eingerichtet.
Das Modul bietet folgende Funktionen:
•
Manuelle Klassifizierung: Konfiguriert die Endbenutzergruppen, die Inhalte manuell klassifizieren oder
mit Fingerabdruck versehen dürfen.
•
Definitionen: Definiert die Inhalte, Eigenschaften und Speicherorte von Dateien für die Klassifizierung
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
117
6
Klassifizieren vertraulicher Inhalte
Verwenden von Klassifizierungen
•
Klassifizierung: Erstellt Klassifizierungen und definiert Inhaltsklassifizierungs- sowie
Inhalts-Fingerprinting-Kriterien.
•
Dokumente registrieren: Lädt Dateien mit bekannten vertraulichen Inhalten hoch
•
Text in der Whitelist: Lädt Dateien mit Text zur Aufnahme in die Whitelist hoch
Die Optionen "Dokumente registrieren" und "Text in der Whitelist" werden nur von McAfee DLP Endpoint
for Windows unterstützt.
Verwenden von Klassifizierungen
Mithilfe von Klassifizierungen können vertrauliche Inhalte identifiziert und verfolgt werden, indem
Inhaltsfingerabdrücke oder Inhaltsklassifizierungen auf Dateien und Inhalte angewendet werden.
McAfee DLP erkennt und verfolgt vertrauliche Inhalte mithilfe von benutzerdefinierten
Klassifizierungen. Alle McAfee DLP-Produkte unterstützen Inhaltsklassifizierungen, d. h., sie können
diese anwenden, indem sie sie Datenschutz-, Gerätesteuerungs- oder Erkennungsregeln zuweisen.
Alle McAfee DLP-Produkte können Inhaltsfingerabdrücke erzwingen, jedoch kann nur McAfee DLP
Endpoint for Windows diese anwenden. Mit Inhaltsfingerabdrücken werden vertrauliche Informationen
mit einer Beschriftung versehen, die beim Inhalt verbleibt, auch wenn dieser in ein anderes Dokument
kopiert oder in einem anderen Format gespeichert wird.
Inhaltsklassifizierung
Inhaltsklassifizierungen umfassen Daten- und Dateibedingungen, die vertrauliche Inhalte definieren.
Bei der automatischen Klassifizierung werden die Klassifizierungskriterien immer dann mit den
Inhalten verglichen, wenn eine Datenschutzregel, Endgeräterkennungsregel oder McAfee DLP
Discover-Regel ausgelöst wird. Bei der manuellen Klassifizierung wird die entsprechende
Klassifizierung hingegen als physisches Tag in die Datei bzw. E-Mail eingebettet. Manuelle
Inhaltsklassifizierungen sind persistent und verbleiben auch dann in der Datei, wenn diese an einen
Speicherort kopiert, an eine E-Mail angehängt oder auf eine Website (wie z. B. SharePoint)
hochgeladen wird.
Automatisch Inhaltsklassifizierungen werden von allen McAfee DLP-Produkten unterstützt. Die auf
manuellen Klassifizierungen basierenden Datenschutzregeln werden zwar auf allen McAfee
DLP-Produkten erzwungen, jedoch verfügt ausschließlich McAfee DLP Endpoint for Windows über ein
Dialogfeld für manuelle Klassifizierungen, das Benutzern das Klassifizieren von Dateien ermöglicht.
Inhaltsklassifizierungskriterien bestimmen Muster für vertraulichen Text, Wörterbücher,
Schlüsselwörter oder Kombinationen aus diesen Elementen. Bei Kombinationen kann es sich einfach
um mehrere benannte Eigenschaften oder um Eigenschaften mit einer definierten Beziehung handeln,
die als Abstand bezeichnet wird. Sie können auch Dateibedingungen wie Dateityp,
Dokumenteigenschaften, Dateiverschlüsselung oder Position in der Datei (Kopfzeile/Textkörper/
Fußzeile) angeben.
Inhaltsfingerabdrücke
Inhaltsfingerabdruckkriterien werden entsprechend einer der folgenden Optionen auf Dateien oder
Inhalte angewendet:
118
•
Anwendungsbasiert: Die Anwendung, in der die Datei erstellt oder geändert wurde.
•
Speicherortbasiert: Die Definition der Netzwerkfreigabe oder des Wechselspeichermediums, auf
denen die Datei gespeichert ist.
•
Web-basiert: Die Web-Adressen, an denen die Dateien geöffnet oder heruntergeladen wurden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Verwenden von Klassifizierungen
Alle für Klassifizierungskriterien verfügbaren Daten- und Dateibedingungen sind auch für
Inhaltsfingerabdruckkriterien verfügbar, sodass in Fingerabdrücken die Funktionen beider
Kriterientypen kombiniert sein können.
Inhaltsfingerabdruck-Signaturen werden in den erweiterten Dateiattributen (EA), den alternativen
Datenströmen (ADS) oder in einem versteckten Ordner (ODB$) gespeichert. Sie können die
bevorzugte Technologie auf der Seite Inhaltsüberwachung der Windows-Client-Konfiguration auswählen.
Die Signaturen werden beim Speichern einer Datei auf diese angewendet. Dieser Mechanismus
funktioniert sowohl bei automatischen als auch bei manuellen Inhaltsfingerabdrücken auf die gleiche
Weise. Wenn ein Benutzer mit Fingerabdruck versehene Inhalte in eine andere Datei kopiert oder
verschiebt, werden die Fingerabdruckkriterien auf die betreffende Datei angewendet. Wenn die mit
Fingerabdruck versehenen Inhalte aus der Datei entfernt werden, werden auch die
Inhaltsfingerabdruck-Signaturen entfernt. Wenn die Datei auf ein System kopiert wird, das weder EA
noch ADS unterstützt (z. B. SharePoint), gehen die Fingerabdruckkriterien verloren.
McAfee DLP Endpoint wendet Inhaltsfingerabdruckkriterien auf Dateien an, nachdem eine Richtlinie
angewendet wurde, unabhängig davon, ob die Klassifizierung in einer Schutzregel verwendet wird.
Anwenden von Klassifizierungskriterien
McAfee DLP wendet Kriterien auf eine der folgenden Arten auf Dateien, E-Mails oder Web-Anfragen an:
•
McAfee DLP Prevent wendet Kriterien an, wenn eine E-Mail- oder Web-Anfrage mit einer
konfigurierten Klassifizierung übereinstimmt.
•
McAfee DLP Endpoint wendet Kriterien in folgenden Situationen an:
•
•
Die Datei entspricht einer konfigurierten Klassifizierung.
•
Die Datei bzw. vertraulicher Inhalt wird an einen anderen Speicherort kopiert oder verschoben.
•
Bei einem Erkennungs-Scans wird eine Übereinstimmung mit der Datei erkannt.
•
Eine E-Mail oder Web-Anfrage entspricht einer konfigurierten Klassifizierung.
Ein Benutzer mit entsprechender Berechtigung wendet manuell Kriterien auf eine Datei an.
Siehe auch
Erstellen von Klassifizierungskriterien auf Seite 134
Erstellen von Inhalts-Fingerprinting-Kriterien auf Seite 136
Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 137
Klassifizieren anhand des Dateiziels
Sie können Inhalte nicht nur anhand des ursprünglichen Speicherorts klassifizieren, sondern zudem
klassifizieren und steuern, wohin Inhalte gesendet werden. Im Rahmen der Prävention von Datenlecks
werden diese Daten als bewegte Daten bezeichnet.
Zu den Dateischutzregeln zur Steuerung des Sendungsziels gehören:
•
Regeln für den Cloud-Schutz
•
Regeln für den E-Mail-Schutz
•
Mobilgeräteschutzregeln
•
Regeln für den Schutz der Netzwerkkommunikation (ausgehend)
•
Regeln für den Druckerschutz
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
119
6
Klassifizieren vertraulicher Inhalte
Verwenden von Klassifizierungen
•
Regeln für den Wechselspeicherschutz
•
Web-Schutzregeln
Arbeiten mit E-Mails
McAfee DLP Endpoint schützt vertrauliche Daten im Header, Textteil und in den Anhängen von
versendeten E-Mails. Die E-Mail-Speichererkennung findet E-Mails mit vertraulichen Daten in OSToder PST-Dateien und kennzeichnet oder isoliert diese.
McAfee DLP Endpoint schützt vertrauliche Inhalte in E-Mails, indem den Inhalten
Inhaltsklassifizierungen hinzugefügt werden und das Senden von E-Mails mit vertraulichen Inhalten
verhindert wird. Die E-Mail-Schutzrichtlinie kann verschiedene Regeln für verschiedene Benutzer und
E-Mail-Ziele oder für durch Verschlüsselung oder Rechteverwaltung geschützte E-Mails enthalten.
Regeln können für McAfee DLP Endpoint for Windows und/oder für McAfee DLP Prevent aktiviert
werden. Durch Benutzer von McAfee DLP Endpoint for Windows hinzugefügte manuelle
Klassifizierungen werden von McAfee DLP Prevent unterstützt.
McAfee DLP Prevent for Mobile Email wendet Klassifizierungen an, um an Mobilgeräte gesendete
E-Mails zu analysieren. Regeln können Nachweise speichern und Vorfälle erstellen, die Fällen
zugewiesen werden können.
Siehe auch
Regeln für den E-Mail-Schutz auf Seite 153
Definieren von Netzwerkparametern
Netzwerkdefinitionen werden in Netzwerkschutzregeln als Filterkriterien verwendet.
•
Die Netzwerkadressen überwachen Netzwerkverbindungen zwischen einer externen Quelle und
einem verwalteten Computer. Die Definition kann eine einzelne Adresse, ein Adressbereich oder ein
Subnetz sein. Sie können definierte Netzwerkadressen in Regeln zum Schutz der
Netzwerkkommunikation einbeziehen oder aus diesen ausschließen.
•
Anhand der Netzwerk-Port-Definitionen in den Regeln zum Schutz der Netzwerkkommunikation
können Sie bestimmte Dienste gemäß der Definition ihrer Netzwerk-Ports ausschließen. Eine Liste
gängiger Dienste und der zugehörigen Ports ist vordefiniert. Sie können die Elemente in der Liste
bearbeiten oder eigene Definitionen erstellen.
•
Definitionen für Netzwerkfreigaben geben freigegebene Netzwerkordner in
Netzwerkfreigabe-Schutzregeln an. Sie können definierte Freigaben ein- oder ausschließen.
Arbeiten mit Druckern
Druckerschutzregeln werden für die Verwaltung von lokalen und Netzwerkdruckern eingesetzt und
blockieren oder überwachen das Drucken vertraulicher Dokumente.
Druckerschutzregeln in McAfee DLP Endpoint unterstützen den erweiterten Modus und V4-Drucker.
Definierte Drucker und Endbenutzer können in Regeln eingeschlossen bzw. aus Regeln ausgeschlossen
werden. Virtuelle Drucker und PDF-Drucker können in die Regel eingeschlossen werden.
Druckerschutzregeln können Anwendungsdefinitionen enthalten. Sie können Prozesse in der Whitelist
definieren, die von Druckerschutzregeln auf der Seite Druckschutz in der Windows-Client-Konfiguration
ausgenommen werden.
120
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Klassifizieren vertraulicher Inhalte
Verwenden von Klassifizierungen
6
Steuern der auf Websites hochgeladenen Daten
Web-Adressen werden in Web-Schutzregeln verwendet.
Mithilfe von Web-Adressdefinitionen können Sie gekennzeichnete Daten blockieren, damit sie nicht auf
angegebenen Web-Zielen (Websites oder bestimmten Seiten einer Website) oder auf nicht definierten
Websites veröffentlicht werden können. Meist werden bei den Web-Adressdefinitionen alle internen
Websites sowie die externen Websites definiert, auf denen gekennzeichnete Daten veröffentlicht
werden dürfen.
Klassifizieren anhand des Dateispeicherorts
Vertrauliche Inhalte können anhand des Speicherorts oder des Verwendungsorts (Dateierweiterung
oder Anwendung) definiert werden.
McAfee DLP Endpoint verwendet verschiedene Methoden zum Finden und Klassifizieren von
vertraulichen Inhalten. Der Begriff Ruhende Daten beschreibt Dateispeicherorte. Inhalte werden
anhand von Fragen wie "Wo befindet sich der Inhalt im Netzwerk?" oder "In welchem Ordner befindet
sich der Inhalt?" klassifiziert. Mit dem Begriff Verwendete Daten werden Inhalte nach Art und Ort ihrer
Verwendung definiert. Inhalte werden anhand von Fragen wie "Welche Anwendung hat die Inhalte
aufgerufen?" oder "Wie lautet die Dateierweiterung?" klassifiziert.
Die Erkennungsregeln von McAfee DLP Endpoint suchen nach ruhenden Daten. Sie können nach
Inhalten in Endpunkt-Computerdateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST)
suchen. Regeln können je nach den in der Regelklassifizierung angegebenen Eigenschaften,
Anwendungen oder Speicherorten die angegebenen Speicherorte durchsuchen und die gefundenen
Elemente verschlüsseln, isolieren oder Richtlinien für Rechteverwaltung anwenden. Die Dateien
können auch gekennzeichnet oder klassifiziert werden, um ihre Nutzung zu steuern.
Textextrahierung
Die Textextrahierung analysiert den Dateiinhalt, wenn Dateien geöffnet oder kopiert werden, und
vergleicht ihn mit Textmustern und Wörterbuchdefinitionen in den Klassifizierungsregeln. Bei einer
Übereinstimmung werden die Kriterien auf den Inhalt angewendet.
McAfee DLP unterstützt Akzentzeichen. Wenn eine Datei mit ASCII-Text verschiedene Akzentzeichen
wie etwa im Französischen oder Spanischen sowie einige reguläre lateinische Zeichen enthält, kann die
Textextrahierung den Zeichensatz unter Umständen nicht richtig identifizieren. Dieses Problem tritt in
allen Textextrahierungsprogrammen auf. Es gibt keine bekannte Methode oder Technik, um in
derartigen Fällen die ANSI-Codepage zu identifizieren. Wenn die Textextrahierung die Codepage nicht
identifizieren kann, werden Textmuster und Inhaltsfingerabdrucksignaturen nicht erkannt. Das
Dokument kann nicht ordnungsgemäß klassifiziert werden, und die vorgesehene Blockierungs- oder
Überwachungsaktion kann nicht ausgeführt werden. Zur Umgehung dieses Problems wird in McAfee
DLP eine alternative Codepage verwendet. Dies ist entweder die Standardsprache des jeweiligen
Computers oder eine andere, vom Administrator festgelegte Sprache.
Textextrahierung mit McAfee DLP Endpoint
Textextrahierung wird sowohl auf Microsoft Windows- als auch auf Apple OS X-Computern unterstützt.
Die Textextrahierung kann je nach Anzahl der Prozessorkerne mehrere Prozesse ausführen.
•
Bei Prozessoren mit einem Kern wird nur ein Prozess ausgeführt.
•
Prozessoren mit zwei Kernen können bis zu zwei Prozesse ausführen,
•
während Mehrkernprozessoren bis zu drei Prozesse gleichzeitig ausführen können.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
121
6
Klassifizieren vertraulicher Inhalte
Verwenden von Klassifizierungen
Wenn mehrere Benutzer angemeldet sind, verfügt jeder Benutzer über seine eigenen Prozesse. Die
Anzahl der Textextrahierungen hängt daher von der Anzahl der Kerne sowie von der Anzahl der
Benutzersitzungen ab. Die einzelnen Prozesse werden im Windows Task-Manager aufgeführt. Die
maximale Speichernutzung für die Textextrahierung kann konfiguriert werden. Der Standardwert
beträgt 75 MB.
Kategorisierung von Anwendungen in McAfee DLP Endpoint
Wenn Sie Klassifizierungen oder Regelsätze erstellen möchten, die Anwendungen nutzen, sollten Sie
sich darüber im Klaren sein, nach welchem Prinzip McAfee DLP Endpoint diese kategorisiert und wie
sich dies auf die Systemleistung auswirkt.
Diese Kategorisierung wird von McAfee DLP Endpoint for Mac nicht unterstützt.
McAfee DLP Endpoint teilt Anwendungen in vier Kategorien ein, die so genannten Strategien. Diese
bestimmen, wie die Software die verschiedenen Anwendungen behandelt. Sie können die Strategie
ändern, um ein ausgewogenes Verhältnis zwischen Sicherheit und effizientem Betrieb des Computers
zu erzielen.
Die Strategien in der Reihenfolge von höchster zu geringster Sicherheit sind:
•
Editor: Eine Anwendung, die den Dateiinhalt ändern kann. Dazu gehören die "klassischen"
Editoren wie Microsoft Word und Microsoft Excel sowie Browser, Grafik-Software,
Buchhaltungs-Software usw. Die meisten Anwendungen sind Editoren.
•
Explorer: Eine Anwendung, die Dateien ohne Veränderung kopiert oder verschiebt, z. B. Microsoft
Windows Explorer und bestimmte Shell-Anwendungen.
•
Vertrauenswürdig: Eine Anwendung, die für Scans unbeschränkten Zugriff auf Dateien benötigt.
Beispiele hierfür sind McAfee VirusScan Enterprise, Sicherungs-Software und
Desktop-Such-Software wie Google Desktop.
®
•
®
Archivierungsprogramm: Eine Anwendung, die Dateien erneut verarbeiten kann. Beispiele
hierfür sind Komprimierungs-Software wie WinZip und Verschlüsselungsanwendungen wie die
McAfee Endpoint Encryption-Software oder PGP.
Funktionsweise der DLP-Strategien
Sie können die Strategie ändern, um die Leistung zu optimieren. So ist beispielsweise die intensive
Überwachung einer Editor-Anwendung nicht mit dem Betrieb einer Desktop-Suchanwendung vereinbar,
die fortlaufend indiziert. Die Anwendung würde mit deutlichen Leistungseinbußen arbeiten, gleichzeitig
besteht jedoch nur ein geringes Risiko, dass durch eine solche Anwendung Daten kompromittiert
werden. Daher sollten Sie für solche Anwendungen die Strategie "Vertrauenswürdig" verwenden.
Auf der SeiteDLP-Richtlinie | Einstellungen | Anwendungsstrategie können Sie die Standardstrategie
außer Kraft setzen. Erstellen oder entfernen Sie Außerkraftsetzungen nach Bedarf, um den jeweiligen
Einfluss auf die Wirkungsweise der Richtlinie zu testen.
Sie können für eine Anwendung auch mehrere Vorlagen erstellen und dieser mehrere Strategien
zuweisen. Beim Anwenden der unterschiedlichen Vorlagen in verschiedenen Klassifizierungen und
Regeln erzielen Sie je nach Kontext unterschiedliche Ergebnisse. Beim Zuordnen solcher Vorlagen
innerhalb von Regelsätzen müssen Sie sorgfältig vorgehen, damit keine Konflikte verursacht werden.
Potenzielle Konflikte werden in McAfee DLP Endpoint gemäß der Hierarchie "Archivierungsprogramm >
Vertrauenswürdig > Explorer > Editor" gelöst. Editor hat also die niedrigste Rangstufe. Wenn eine
Anwendung in einer Vorlage als Editor, in einer anderen Vorlage desselben Regelsatzes jedoch als
etwas anderes eingestuft ist, behandelt McAfee DLP Endpoint die Anwendung nicht als Editor.
122
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Klassifizierungsdefinitionen und -kriterien
Klassifizierungsdefinitionen und -kriterien
Klassifizierungsdefinitionen und -kriterien enthalten eine oder mehrere Bedingungen, die den Inhalt
oder die Dateieigenschaften beschreiben.
Tabelle 6-1 Verfügbare Bedingungen
Eigenschaft
Bezieht sich Definition
auf:
Produkte
Erweitertes Muster
Definitionen,
Kriterien
Reguläre Ausdrücke oder Wortfolgen zum
Abgleich mit Daten, z. B. Datumsangaben
oder Kreditkartennummern.
Alle Produkte
Wörterbuch
Definitionen,
Kriterien
Zusammenstellungen zusammengehöriger
Stichwörter und Wortfolgen, wie z. B.
anstößige Wörter oder medizinische
Begriffe.
Stichwort
Kriterien
Ein Zeichenfolgenwert.
Inhaltsklassifizierungs- oder
Inhalts-Fingerprinting-Kriterien können
mehrere Stichwörter hinzugefügt werden.
Der standardmäßige boolesche
Vergleichsoperator ist ODER. Dieser kann
jedoch zu UND geändert werden.
Abstand
Kriterien
Definiert das Verhältnis zwischen zwei
Eigenschaften bezogen auf ihre jeweilige
Position.
Für beide Eigenschaften können erweiterte
Muster, Wörterbücher oder Stichwörter
verwendet werden.
Der Parameter Nähe ist als "weniger als
x Zeichen" definiert, wobei der
Standardwert 1 beträgt. Sie können auch
den Parameter Trefferzahl angeben, der
festlegt, wie viele Übereinstimmungen
mindestens zum Auslösen eines Treffers
erforderlich sind.
Dokumenteigenschaften Definitionen,
Kriterien
Hierzu zählen folgende Optionen:
• Beliebige
Eigenschaft
• Zuletzt
gespeichert
von
• Autor
• Name des
Vorgesetzten
• Kategorie
• Sicherheit
• Kommentare
• Betreff
• Unternehmen
• Vorlage
• Stichwörter
• Titel
Mit Beliebige Eigenschaft ist hier eine
benutzerdefinierte Eigenschaft gemeint.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
123
6
Klassifizieren vertraulicher Inhalte
Klassifizierungsdefinitionen und -kriterien
Tabelle 6-1 Verfügbare Bedingungen (Fortsetzung)
Eigenschaft
Bezieht sich Definition
auf:
Produkte
Dateiverschlüsselung
Kriterien
• McAfee DLP
Endpoint for
Windows (alle
Optionen)
Hierzu zählen folgende Optionen:
• Nicht verschlüsselt*
• Von McAfee verschlüsseltes
selbstextrahierendes Archiv
• McAfee Endpoint Encryption
• Microsoft Rights
Management-Verschlüsselung*
• Seclore Rights
Management-Verschlüsselung
• McAfee DLP
Discover und
McAfee DLP Prevent
(mit *
gekennzeichnete
Optionen)
• Nicht unterstützte
Verschlüsselungstypen oder
kennwortgeschützte Datei*
Dateierweiterung
Definitionen,
Kriterien
Gruppen unterstützter Dateitypen, z. B.
MP3 und PDF.
Alle Produkte
Dateiinformationen
Definitionen,
Kriterien
Hierzu zählen folgende Optionen:
• Alle Produkte
• Zugriff am
• Dateiname*
• Erstellt am
• Dateibesitzer
• Geändert am
• Dateigröße*
• McAfee DLP Prevent
(mit *
gekennzeichnete
Optionen)
• Dateierweiteru
ng*
Position in Datei
Kriterien
Der Abschnitt der Datei, in dem sich die
Daten befinden.
• Microsoft Word-Dokumente: Das
Klassifizierungsmodul kann Kopfzeile,
Textkörper und Fußzeile identifizieren.
• PowerPoint-Dokumente: WordArt wird
als Kopfzeile eingestuft, das restliche
Dokument gilt als Textkörper.
• Andere Dokumente: Kopfzeile und
Fußzeile sind keine gültigen
Klassifizierungskriterien. Wenn sie
ausgewählt sind, werden die gesuchten
Daten nicht erkannt, auch wenn sie im
Dokument vorhanden sind.
Drittanbieter-Tags
Kriterien
Werden zur Angabe von Titus-Feldnamen
und -Feldwerten verwendet.
• McAfee DLP
Endpoint for
Windows
• McAfee DLP Prevent
124
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Klassifizierungsdefinitionen und -kriterien
Tabelle 6-1 Verfügbare Bedingungen (Fortsetzung)
Eigenschaft
Bezieht sich Definition
auf:
Produkte
Tatsächlicher Dateityp
Definitionen,
Kriterien
Gruppen von Dateitypen.
Alle Produkte
Anwendungsvorlage
Definitionen
Die Anwendung oder ausführbare Datei,
die auf die Datei zugreift.
Endbenutzergruppe
Definitionen
Wird zum Definieren von Berechtigungen
für die manuelle Klassifizierung
verwendet.
Die vordefinierte Gruppe Microsoft Excel
umfasst beispielsweise u. a. Excel XLS-,
XLSX- und XML-Dateien sowie Lotus WK1und FM3-Dateien, CSV- und DIF-Dateien
und Apple iWork-Dateien.
Netzwerkfreigabe
Definitionen
Die Netzwerkfreigabe, auf der die Datei
gespeichert ist.
URL-Liste
Definitionen
Die URL, von der aus auf die Datei
zugegriffen wird.
• McAfee DLP
Endpoint for
Windows
• McAfee DLP
Endpoint for Mac
McAfee DLP Endpoint
for Windows
Siehe auch
Erstellen von Klassifizierungsdefinitionen auf Seite 139
Wörterbuchdefinitionen
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen
ist.
Inhaltsklassifizierungs- und Inhalts-Fingerprinting-Kriterien verwenden angegebene Wörterbücher zum
Klassifizieren von Dokumenten, wenn ein definierter Schwellenwert (Gesamtfaktor) überschritten wird,
d. h., wenn das Dokument mindestens eine bestimmte Anzahl von Wörtern aus dem Wörterbuch
enthält.
Wörterbucheinträge und Zeichenfolgen in einem Stichwort unterscheiden sich durch den jeweils
zugewiesenen Faktor.
•
Bei einer Klassifizierung anhand eines Stichworts wird ein Dokument bei Vorhandensein dieser
Wortfolge in jedem Fall gekennzeichnet.
•
Eine Klassifizierung anhand eines Wörterbucheintrags gibt Ihnen mehr Flexibilität, da Sie einen
Schwellenwert festlegen können, der die Klassifizierung relativiert.
Die zugewiesenen Faktoren können negativ oder positiv sein, sodass Sie nach Wörtern oder
Wortfolgen bei Vorhandensein anderer Wörter oder Begriffe suchen können.
In McAfee DLP sind bereits mehrere Wörterbücher integriert, die häufig verwendete Begriffe der Felder
Gesundheit, Banken- und Finanzwesen und anderer Branchen abdecken. Sie können auch eigene
Wörterbücher erstellen. Wörterbücher können manuell oder durch Kopieren und Einfügen aus anderen
Dokumenten erstellt und bearbeitet werden.
Beschränkungen
Beim Verwenden von Wörterbüchern gibt es einige Einschränkungen. Wörterbücher werden im
Unicode-Format (UTF-8) gespeichert und können daher in jeder Sprache geschrieben werden. Die
folgenden Beschreibungen beziehen sich auf Wörterbücher in englischer Sprache. Sie gelten
grundsätzlich auch für andere Sprachen, bei manchen Sprachen kann es jedoch zu
unvorhergesehenen Problemen kommen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
125
6
Klassifizieren vertraulicher Inhalte
Klassifizierungsdefinitionen und -kriterien
Der Wörterbuchabgleich weist die folgenden Merkmale auf:
•
Die Groß-/Kleinschreibung wird nur berücksichtigt, wenn Sie dies beim Erstellen des jeweiligen
Wörterbucheintrags festlegen. Bei integrierten Wörterbüchern, die vor Veröffentlichung dieser
Funktion erstellt wurden, wird die Groß-/Kleinschreibung nicht berücksichtigt.
•
Optional kann nach der Übereinstimmung von Teilzeichenfolgen oder ganzen Ausdrücken gesucht
werden.
•
Ausdrücke werden einschließlich der Leerzeichen abgeglichen.
Wenn der Abgleich von Teilzeichenfolgen ausgewählt ist, lassen Sie bei der Eingabe kurzer Wörter
Vorsicht walten, da möglicherweise False-Positives auftreten können. So würden beispielsweise bei
dem Wörterbucheintrag "alt" auch Wörter wie "alternativ" oder "Verwaltung" markiert werden.
Verwenden Sie zur Vermeidung solcher False-Positives die Option zur Übereinstimmung ganzer
Wortfolgen, oder verwenden Sie statistisch unwahrscheinliche Wortfolgen (Statistically Improbable
Phrases, SIPs), um bestmögliche Ergebnisse zu erzielen. Eine weitere Quelle für False-Positives sind
ähnliche Begriffe. Angenommen, in einer Liste von Krankheiten sind sowohl "Zöliakie" als auch
"Zöliakieerkrankung" als separate Einträge aufgeführt. Wenn der zweite Begriff in einem Dokument
enthalten und der Abgleich von Teilzeichenfolgen ausgewählt ist, werden zwei Treffer (einer für jeden
Eintrag) ausgegeben, wodurch der Gesamtfaktor verfälscht wird.
Siehe auch
Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 140
Definitionen für erweiterte Muster
In erweiterten Mustern werden reguläre Ausdrücke verwendet, die einen komplexen Musterabgleich
ermöglichen, um beispielsweise Sozialversicherungs- oder Kreditkartennummern zu erkennen. In
Definitionen wird die Google RE2-Syntax für reguläre Ausdrücke verwendet.
Definitionen erweiterter Muster enthalten, genau wie Wörterbuchdefinitionen, einen obligatorischen
Faktor. Sie können außerdem eine Bestätigung, d. h. einen Algorithmus zum Testen regulärer
Ausdrücke, enthalten. Durch eine geeignete Bestätigung kann die Anzahl von False-Positives
beträchtlich reduziert werden. Die Definition kann einen optionalen Abschnitt Ignorierte Ausdrücke
enthalten, mit dessen Hilfe die Anzahl von False-Positives weiter reduziert werden kann. Bei den
ignorierten Ausdrücken kann es sich um reguläre Ausdrücke oder um Stichwörter handeln. Sie können
mehrere Stichwörter importieren, um die Erstellung der Ausdrücke zu beschleunigen.
Erweiterte Muster weisen auf vertraulichen Text hin. Vertrauliche Textmuster sind in angezeigten
Nachweisen mit hervorgehobenen Übereinstimmungen unkenntlich gemacht.
Wenn sowohl ein übereinstimmendes als auch ein ignoriertes Muster angegeben ist, hat das ignorierte
Muster Vorrang. Auf diese Weise können Sie eine allgemeine Regel festlegen und Ausnahmen
hinzufügen, ohne die allgemeine Regel neu schreiben zu müssen.
Siehe auch
Erstellen eines erweiterten Musters auf Seite 141
126
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Klassifizierungsdefinitionen und -kriterien
Klassifizieren von Inhalten mit Dokumenteigenschaften oder
Dateiinformationen
Mit Definitionen für Dokumenteigenschaften werden Inhalte anhand von vordefinierten
Metadatenwerten klassifiziert, während mit Definitionen für Dateiinformationen Inhalte anhand der
Dateimetadaten klassifiziert werden.
Dokumenteigenschaften
Dokumenteigenschaften können aus beliebigen Microsoft Office-Dokumenten oder PDF-Dateien
abgerufen und in Klassifizierungsdefinitionen verwendet werden. Mit dem Vergleichsoperator Enthält ist
auch ein Teilabgleich möglich, bei dem die Daten nicht vollständig übereinstimmen müssen.
Es gibt drei Arten von Dokumenteigenschaften:
•
Vordefinierte Eigenschaften: Standardeigenschaften wie Autor oder Titel.
•
Benutzerdefinierte Eigenschaften: Benutzerdefinierte Eigenschaften, die den
Dokumentmetadaten hinzugefügt werden, sind bei einigen Anwendungen, etwa Microsoft Word,
zulässig. Eine benutzerdefinierte Eigenschaft kann auch auf eine Standard-Dokumenteigenschaft
verweisen, die nicht in der Liste der vordefinierten Eigenschaften enthalten ist. Das Duplizieren
einer in der Liste enthaltenen Eigenschaft ist hingegen nicht möglich.
•
Beliebige Eigenschaft: Ermöglicht die Definition einer Eigenschaft ausschließlich anhand des
Werts. Diese Funktion ist in Fällen hilfreich, in denen das Stichwort im falschen
Eigenschaftsparameter eingegeben wurde bzw. in denen der Eigenschaftsname unbekannt ist.
Wenn beispielsweise dem Parameter Beliebige Eigenschaft der Wert Geheim hinzugefügt wird, werden
alle Dokumente klassifiziert, bei denen mindestens eine Eigenschaft das Wort Geheim enthält.
Dateiinformationen
Dateiinformationsdefinitionen werden in Datenschutz- und Erkennungsregeln sowie in
Klassifizierungen zur Differenzierung verwendet. Zu den Dateiinformationen gehören beispielsweise
das Erstellungsdatum, das Änderungsdatum, der Dateibesitzer und die Dateigröße. Die
Datumseigenschaften verfügen sowohl über exakte (vor, nach, zwischen) als auch über relative (in
den letzten X Tagen, Wochen, Jahren) Datumsoptionen. Dateityp (nur Erweiterungen) ist eine vordefinierte,
erweiterbare Liste der Dateierweiterungen.
McAfee DLP Prevent kann die Dateibedingungen Zugriff am, Erstellt am, Geändert am und Dateibesitzer nicht
erkennen, da sie nicht in die Datei eingebettet sind. Aus diesem Grund gehen die Bedingungen verloren,
wenn die Datei an einen anderen Speicherort verschoben oder in die Cloud bzw. eine Website
hochgeladen wird:
Anwendungsvorlagen
Eine Anwendungsvorlage steuert bestimmte Anwendungen mithilfe von Eigenschaften wie Produktoder Anbietername, Name der ausführbaren Datei oder Fenstertitel.
Eine Anwendungsvorlage kann für eine einzelne Anwendung oder für eine Gruppe ähnlicher
Anwendungen definiert werden. Es gibt vordefinierte (integrierte) Vorlagen für gängige Anwendungen
wie Windows Explorer, Web-Browser, Verschlüsselungsanwendungen und E-Mail-Clients.
Die Anwendungsvorlagendefinition enthält ein Feld mit einem Kontrollkästchen für das Betriebssystem.
Die Funktion zum Analysieren von im Speicher abgebildeten Dateien ist eine reine Windows-Funktion
und wird bei Auswahl von OS X-Anwendungen automatisch deaktiviert.
Anwendungsvorlagen für Microsoft Windows können folgende Parameter verwenden:
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
127
6
Klassifizieren vertraulicher Inhalte
Manuelle Klassifizierung
•
Befehlszeile: Ermöglicht die Verwendung von Befehlszeilenargumenten (z. B. java-jar), mit
denen sich Anwendungen steuern lassen, für die dies bisher nicht möglich war.
•
Verzeichnis der ausführbaren Datei: Das Verzeichnis, in dem sich die ausführbare Datei
befindet. Mit diesem Parameter lassen sich beispielsweise U3-Anwendungen steuern.
•
Hash der ausführbaren Datei: Der Anzeigename der Anwendung, mit einem SHA2-Hash zur
Identifizierung.
•
Name der ausführbaren Datei: Dieser entspricht normalerweise dem Anzeigenamen (ohne den
SHA2-Hash), kann jedoch anders lauten, wenn die Datei umbenannt wurde.
•
Ursprünglicher Name der ausführbaren Datei: Identisch mit dem Namen der ausführbaren
Datei, sofern die Datei nicht umbenannt wurde.
•
Produktname: Der generische Name des Produkts, z. B. Microsoft Office 2012, sofern er in den
Eigenschaften der ausführbaren Datei angegeben ist.
•
Name des Anbieters: Der Name des Unternehmens, sofern er in den Eigenschaften der
ausführbaren Datei angegeben ist.
•
Fenstertitel: Ein dynamischer Wert, der zur Laufzeit, d. h. während der Ausführung, den Namen
der aktiven Datei enthält.
Mit Ausnahme des SHA2-Anwendungsnamens und des Verzeichnisses der ausführbaren Datei
akzeptieren alle Parameter die Übereinstimmung von untergeordneten Zeichenfolgen.
Anwendungsvorlagen für OS X können folgende Parameter verwenden:
•
Befehlszeile
•
Verzeichnis der ausführbaren Datei
•
Hash der ausführbaren Datei
•
Name der ausführbaren Datei
Manuelle Klassifizierung
Endbenutzer können Klassifizierungen oder Inhalts-Fingerprinting manuell auf Dateien anwenden oder
aus diesen entfernen.
Mit der manuellen Klassifizierungsfunktion werden Dateiklassifizierungen angewendet. Die
angewendeten Klassifizierungen müssen sich in diesem Fall nicht auf den Inhalt beziehen. Ein
Benutzer kann beispielsweise eine PCI-Klassifizierung auf jede beliebige Datei anwenden. Die Datei
muss keine Kreditkartennummern enthalten. Die manuelle Klassifizierung wird in die Datei
eingebettet. In Microsoft Office-Dateien wird die Klassifizierung als Dokumenteigenschaft gespeichert.
In anderen unterstützten Dateien wird sie als XMP-Eigenschaft gespeichert. In E-Mails wird sie als
Markup-Text hinzugefügt.
Bei der Einrichtung der manuellen Klassifizierung können Sie auch die manuelle Anwendung von
Inhaltsfingerabdrücken durch den Benutzer zulassen.
128
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Manuelle Klassifizierung
Die manuelle Klassifizierung funktioniert mit McAfee DLP Endpoint, McAfee DLP Prevent und McAfee
DLP Discover. Die manuelle Klassifizierung wird jeweils in folgendem Umfang unterstützt:
•
Endbenutzer von McAfee DLP Endpoint for Windows können Dateien manuell klassifizieren.
•
McAfee DLP Endpoint-Clients (auf Windows- und Mac-Endpunkten) und McAfee DLP Prevent können
manuell klassifizierte Dateien (beispielsweise in E-Mail-Anhängen) erkennen und die der jeweiligen
Klassifizierung entsprechenden Aktionen durchführen.
•
McAfee DLP Discover kann bei Klassifizierungs- und Behebungs-Scans manuelle Klassifizierungen
erkennen und während der Behebungs-Scans entsprechende Aktionen durchführen.
Endbenutzer sind standardmäßig nicht zum Anzeigen, Hinzufügen oder Entfernen von Klassifizierungen
berechtigt, festgelegten Benutzergruppen oder Allen können jedoch bestimmte Klassifizierungen
zugewiesen werden. Diese Benutzer können die Klassifizierungen dann während der Arbeit auf Dateien
anwenden. Die manuelle Klassifizierung bietet Ihnen zudem die Möglichkeit, die
Klassifizierungsrichtlinien Ihres Unternehmens auch dann umzusetzen, wenn vertrauliche oder
spezielle Informationen nicht automatisch vom System verarbeitet werden.
Beim Einrichten der Berechtigung zur manuellen Klassifizierung können Sie festlegen, ob das manuelle
Anwenden von Inhaltsklassifizierungen, Inhaltsfingerabdrücken oder beides zulässig sein soll.
Unterstützung für manuelle Klassifizierung
McAfee DLP bietet zwei Arten der Unterstützung für manuelle Klassifizierungen: eine für Microsoft
Office-Dateien und eine für alle unterstützten Dateitypen.
Microsoft Office-Anwendungen (Word, Excel und PowerPoint) sowie Microsoft Outlook werden auf der
Dateierstellungsebene unterstützt. Sie können Endbenutzern die Wahl lassen, ob sie Dateien durch
Klicken auf das Symbol für manuelle Klassifizierung klassifizieren möchten, oder Sie legen Optionen
zum Erzwingen der Klassifizierung von Dateien fest, indem Sie das Pop-Up zur manuellen
Klassifizierung aktivieren, das beim Speichern von Dateien und beim Senden von Outlook-E-Mails
angezeigt wird.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
129
6
Klassifizieren vertraulicher Inhalte
Manuelle Klassifizierung
Die manuelle Klassifizierung einer E-Mail bezieht sich nur auf einen konkreten Thread. Wenn die
gleiche E-Mail in zwei verschiedenen Threads versendet wird, muss sie entsprechend zweimal
klassifiziert werden. Bei E-Mails werden die Informationen im Header oder der Fußzeile (Festlegung
auf der Seite Allgemeine Einstellungen für die manuelle Klassifizierung) im Klartextformat hinzugefügt.
Alle unterstützten Dateitypen können in Windows Explorer über das Kontextmenü klassifiziert werden.
Siehe auch
Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 137
Eingebettete Eigenschaften
Eigenschaften, die bei der manuellen Klassifizierung eingebettet werden, ermöglichen
Drittanbieteranwendungen die Einbindung der von McAfee DLP gekennzeichneten Dokumente.
In der folgenden Tabelle werden die unterstützten Dateitypen und die jeweils angewendeten
Technologien aufgeführt.
Dokumenttyp
Tatsächlicher Dateityp
Methode
Microsoft Word
DOC, DOCX, DOCM, DOT, DOTX, DOTM
Dokumenteigenschaft
Microsoft PowerPoint
PPT, PPTX, PPS, PPSX, PPSM, PPTM, POT, POTM,
POTX
Microsoft Excel
XLS, XLSX, XLSM, XLSB, XLT, XLTX, XLTM
XPS-Dokument
XPS
Portable Document Format PDF
130
McAfee Data Loss Prevention 10.0.100
XMP-Eigenschaft
Produkthandbuch
Klassifizieren vertraulicher Inhalte
Manuelle Klassifizierung
Dokumenttyp
Tatsächlicher Dateityp
Audio- und Videoformate
AIF, AIFF, AVI, MOV, MP2, MP3, MP4, MPA, MPG,
MPEG, SWF, WAV, WMA, WMV
Grafik- und Bildformate
PNG, GIF, JPG, JPEG, TIF, TIFF, BMP, DNG, WMF,
PSD
6
Methode
In der folgenden Tabelle sind die internen Eigenschaften aufgeführt.
Klassifizierung
Name der Eigenschaft
Manuelle Dateiklassifizierung
DLPManualFileClassification
Dateiklassifizierung zuletzt geändert von
DLPManualFileClassificationLastModifiedBy
Datum der letzten Dateiklassifizierung
DLPManualFileClassificationLastModificationDate
Dateiklassifizierungsversion
DLPManualFileClassificationVersion
Automatische Klassifizierung bei
Endpunkterkennung
DLPAutomaticFileClassification
Version der automatischen Klassifizierung bei
Endpunkterkennung
DLPAutomaticFileClassificationVersion
Konfigurieren der manuellen Klassifizierung
Es gibt verschiedene Optionen für die manuelle Klassifizierung, mit denen die Funktionsweise und die
angezeigten Meldungen festgelegt werden.
Die manuelle Klassifizierung ermöglicht es Endbenutzern von McAfee DLP Endpoint for Windows,
Dateien über das Kontextmenü von Windows Explorer mit Klassifizierungen zu versehen. In Microsoft
Office-Anwendungen und in Outlook können manuelle Klassifizierungen beim Speichern von Dateien
und beim Senden von E-Mails angewendet werden. Alle McAfee DLP-Produkte können Regeln auf der
Grundlage von manuellen Klassifizierungen anwenden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf Manuelle Klassifizierung.
3
Wählen Sie in der Dropdown-Liste Ansicht die Option Allgemeine Einstellungen aus.
4
Aktivieren oder deaktivieren Sie Optionen, um die Einstellungen entsprechend den Anforderungen
Ihres Unternehmens zu optimieren.
5
(Optional) Wählen Sie zusätzliche Informationen aus, die der E-Mail hinzugefügt werden sollen.
Klicken Sie hierfür auf
, und wählen Sie dann eine Benachrichtigungsdefinition aus, bzw.
erstellen Sie eine neue Definition.
Bei Benachrichtigungen wird die Funktion Gebietsschemas für alle unterstützten Sprachen unterstützt.
Die Sprachunterstützung umfasst auch der E-Mail hinzugefügte Kommentare.
Siehe auch
Anpassen von Endbenutzernachrichten auf Seite 163
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
131
6
Klassifizieren vertraulicher Inhalte
Registrierte Dokumente
Registrierte Dokumente
Die Funktion für registrierte Dokumente ist eine Erweiterung des speicherortbezogenen
Inhalts-Fingerprintings. Sie gibt Administratoren eine weitere Möglichkeit, vertrauliche Informationen
zu definieren und sie vor nicht autorisierter Verbreitung zu schützen.
In McAfee DLP Discover und McAfee DLP Endpoint for Mac werden registrierte Dokumente nicht
unterstützt.
Registrierte Dokumente sind bereits als vertraulich vordefiniert, beispielsweise Tabellen mit
Umsatzprognosen für das kommende Quartal. Die McAfee DLP-Software kategorisiert die Inhalte
dieser Dateien und versieht sie mit einem Fingerabdruck. Die erstellten Signaturen sind
sprachunabhängig, der Vorgang funktioniert also für jede Sprache. Beim Erstellen eines Pakets werden
die Signaturen in die McAfee ePO-Datenbank geladen, um sie an alle Endpunkt-Workstations zu
verteilen. Der McAfee DLP Endpoint-Client auf den verwalteten Computern steuert die Verteilung von
Dokumenten mit registrierten Inhaltsfragmenten.
Zum Verwenden von registrierten Dokumenten laden Sie Dateien im Modul "Klassifizierung" auf der
Registerkarte Dokumente registrieren hoch und weisen sie dabei einer Klassifizierung zu. Nicht
zutreffende Klassifizierungen werden hierbei vom Endgerät-Client ignoriert. Beispielsweise werden
beim Analysieren von E-Mails auf vertrauliche Inhalte registrierte Dokumentpakete ignoriert, die
anhand von Dateieigenschaften klassifiziert wurden.
Es gibt zwei Anzeigeoptionen: Statistiken und Klassifizierungen. In der Statistikansicht werden im
linken Fensterbereich Gesamtwerte für die Anzahl der Dateien, Dateigröße, Anzahl der Signaturen
usw. und im rechten Fensterbereich Statistiken für die einzelnen Dateien angezeigt. Diese Daten
können Sie zum Entfernen weniger wichtiger Pakete nutzen, wenn das Signaturlimit fast erreicht ist.
In der Klassifizierungsansicht werden hochgeladene Dateien anhand der Klassifizierung angezeigt.
Oben rechts werden Informationen zur letzten Paketerstellung und Änderungen an der Dateiliste
aufgelistet.
Beim Erstellen eines Pakets verarbeitet die Software alle Dateien in der Liste und lädt die
Fingerabdrücke zur Verteilung in die McAfee ePO-Datenbank. Wenn Sie Dokumente hinzufügen oder
löschen, müssen Sie ein neues Paket erstellen. Die Software berechnet nicht, ob einige der Dateien
bereits mit einem Fingerabdruck versehen wurden. Sie verarbeitet immer die gesamte Liste.
Der Befehl Paket erstellen erfasst gleichzeitig die Liste der registrierten Dokumente und die Liste der
Dokumente in der Whitelist und erstellt ein Gesamtpaket. Die höchstzulässige Anzahl von Signaturen
pro Paket beträgt für registrierte Dokumente und Dokumente in der Whitelist jeweils 1 Million.
Siehe auch
Hochladen von registrierten Dokumenten auf Seite 134
Text in der Whitelist
In der Whitelist befindlicher Text wird bei der Verarbeitung von Dateiinhalten von McAfee DLP
ignoriert.
McAfee DLP Discover und McAfee DLP Endpoint for Mac unterstützen keinen in der Whitelist befindlichen
Text.
132
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Erstellen und Konfigurieren von Klassifizierungen
Sie können Dateien mit Text, der in die Whitelist aufgenommen werden soll, zu McAfee ePO
hochladen. In der Whitelist befindlicher Text bewirkt keine Klassifizierung von Inhalten, selbst wenn
Teile davon mit Inhaltsklassifizierungs- oder Inhalts-Fingerprinting-Kriterien übereinstimmen. Sie
sollten Text in Whitelists aufnehmen, der häufig in Dateien vorkommt, z. B. Textbausteine,
Haftungsausschlüsse und Informationen zum Urheberrecht.
•
Dateien mit Text, der in die Whitelist aufgenommen werden soll, müssen mindestens 400 Zeichen
enthalten.
•
Wenn eine Datei sowohl klassifizierte Daten als auch in der Whitelist befindliche Daten enthält, wird
sie vom System nicht ignoriert. Alle mit den Inhalten verbundenen relevanten
Inhaltsklassifizierungs- oder Inhalts-Fingerprinting-Kriterien bleiben aktiv.
Siehe auch
Hochladen von Dateien zur Aufnahme von Text in die Whitelist auf Seite 135
Erstellen und Konfigurieren von Klassifizierungen
Erstellen Sie Klassifizierungen und Kriterien, die in Regeln und Scans verwendet werden können.
Aufgaben
•
Erstellen einer Klassifizierung auf Seite 133
Für die Konfiguration von Datenschutz- und Erkennungsregeln werden
Klassifizierungsdefinitionen benötigt.
•
Erstellen von Klassifizierungskriterien auf Seite 134
Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten
und -eigenschaften basieren.
•
Hochladen von registrierten Dokumenten auf Seite 134
Wählen Sie Dokumente aus, die an die Endgerät-Computer verteilt werden sollen, und
klassifizieren Sie sie.
•
Hochladen von Dateien zur Aufnahme von Text in die Whitelist auf Seite 135
Sie können Dateien, die häufig verwendeten Text enthalten, zur Aufnahme in die Whitelist
hochladen.
Erstellen einer Klassifizierung
Für die Konfiguration von Datenschutz- und Erkennungsregeln werden Klassifizierungsdefinitionen
benötigt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf Neue Klassifizierung.
3
Geben Sie einen Namen und optional eine Beschreibung ein.
4
Klicken Sie auf OK.
5
Sie fügen Endbenutzergruppen der manuellen Klassifizierung bzw. registrierte Dokumente der
Klassifizierung hinzu, indem Sie für die entsprechende Komponente auf Bearbeiten klicken.
6
Fügen Sie mit dem Steuerelement Aktionen Inhaltsklassifizierungs- oder
Inhalts-Fingerprinting-Kriterien hinzu.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
133
6
Klassifizieren vertraulicher Inhalte
Erstellen und Konfigurieren von Klassifizierungen
Erstellen von Klassifizierungskriterien
Sie können auf Dateien Klassifizierungskriterien anwenden, die auf Dateiinhalten und -eigenschaften
basieren.
Kriterien zur Inhaltsklassifizierung werden aus Definitionen von Daten und Dateien erstellt. Wenn eine
benötigte Definition nicht vorhanden ist, können Sie diese beim Definieren der Kriterien erstellen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Wählen Sie die Klassifizierung, der die Kriterien hinzugefügt werden sollen, und dann Aktionen | New
Content Classification Criteria (Neue Inhaltsklassifizierungskriterien) aus.
3
Geben Sie den Namen ein.
4
Wählen Sie eine oder mehrere Eigenschaften aus, und konfigurieren Sie dann den Vergleich und die
Werte der Einträge.
5
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft
auszuwählen oder eine neue Eigenschaft zu erstellen.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
•
Klicken Sie zum Entfernen von Werten auf –.
Klicken Sie auf Speichern.
Siehe auch
Verwenden von Klassifizierungen auf Seite 118
Hochladen von registrierten Dokumenten
Wählen Sie Dokumente aus, die an die Endgerät-Computer verteilt werden sollen, und klassifizieren
Sie sie.
McAfee DLP Discover unterstützt registrierte Dokumente nicht.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf die Registerkarte Dokumente registrieren.
3
Klicken Sie auf Datei-Upload.
4
Navigieren Sie zur Datei, wählen Sie aus, ob eine Datei überschrieben werden soll, wenn bereits
eine gleichnamige Datei vorhanden ist, und wählen Sie eine Klassifizierung aus.
Mit Datei-Upload können Sie nur eine Datei verarbeiten. Wenn Sie mehrere Dokumente gleichzeitig
hochladen möchten, erstellen Sie eine ZIP-Datei.
5
Klicken Sie auf OK.
Die Datei wird dann hochgeladen und verarbeitet, und auf der Seite wird eine Statistik angezeigt.
134
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint
Klicken Sie nach Abschluss der Dateiliste auf Paket erstellen. Daraufhin wird ein Signaturpaket aller
registrierten Dokumente und aller Dokumente in der Whitelist in die McAfee ePO-Datenbank zur
Verteilung an die Endgerät-Computer geladen.
Sie können ein Paket mit gerade registrierten oder in die Whitelist aufgenommenen Dokumenten
erstellen, indem Sie eine Liste leer lassen. Wenn Dateien gelöscht werden, müssen Sie sie aus der Liste
entfernen und ein neues Paket erstellen, damit die Änderungen wirksam werden.
Siehe auch
Registrierte Dokumente auf Seite 132
Hochladen von Dateien zur Aufnahme von Text in die Whitelist
Sie können Dateien, die häufig verwendeten Text enthalten, zur Aufnahme in die Whitelist hochladen.
McAfee DLP Discover unterstützt keinen in der Whitelist befindlichen Text.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf die Registerkarte Text in der Whitelist.
3
Klicken Sie auf Datei-Upload.
4
Navigieren Sie zur Datei, und wählen Sie aus, ob eine ggf. bereits vorhandene gleichnamige Datei
überschrieben werden soll.
5
Klicken Sie auf OK.
Siehe auch
Text in der Whitelist auf Seite 132
Konfigurieren von Klassifizierungskomponenten für McAfee DLP
Endpoint
McAfee DLP Endpoint unterstützt die manuelle Klassifizierung und die Anwendung von
Inhalts-Fingerprinting-Kriterien.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
135
6
Klassifizieren vertraulicher Inhalte
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint
Aufgaben
•
Erstellen von Inhalts-Fingerprinting-Kriterien auf Seite 136
Fingerprinting-Kriterien können gemäß der Anwendung oder gemäß dem Dateispeicherort
auf Dateien angewendet werden.
•
Anwendungsbeispiel: Anwendungsbasiertes Fingerprinting auf Seite 137
Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich
klassifizieren.
•
Zuweisen von Berechtigungen für die manuelle Klassifizierung auf Seite 137
Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien
berechtigt sind.
•
Anwendungsbeispiel: Manuelle Klassifizierung auf Seite 138
Mitarbeitern, zu deren Aufgabenbereich das regelmäßige Erstellen von Dateien mit
vertraulichen Daten gehört, kann die Berechtigung zur manuellen Klassifizierung erteilt
werden. Sie können Dateien dann innerhalb des normalen Workflows während der
Erstellung klassifizieren.
Erstellen von Inhalts-Fingerprinting-Kriterien
Fingerprinting-Kriterien können gemäß der Anwendung oder gemäß dem Dateispeicherort auf Dateien
angewendet werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Wählen Sie die Klassifizierung aus, der die Kriterien hinzugefügt werden sollen.
3
Wählen SieAktionen | New Content Fingerprinting Criteria (Neue Inhalts-Fingerprinting-Kriterien) und dann
den Typ der Fingerprinting-Kriterien aus.
4
Geben Sie den Namen ein, und geben Sie dem Typ der Fingerprinting-Kriterien entsprechende
weitere Informationen an.
5
6
•
Anwendung: Klicken Sie auf ..., um eine oder mehrere Anwendungen auszuwählen.
•
Speicherort: Klicken Sie auf ..., um eine oder mehrere Netzwerkfreigaben auszuwählen. Geben Sie
bei Bedarf die Art des Wechselspeichermediums an.
•
Web-Anwendung: Klicken Sie auf ..., um eine oder mehrere URL-Listen auszuwählen.
(Optional) Wählen Sie eine oder mehrere Eigenschaften aus, und konfigurieren Sie die Vergleichsund Werteinträge.
•
Klicken Sie zum Entfernen einer Eigenschaft auf <.
•
Bei einigen Eigenschaften müssen Sie auf ... klicken, um eine vorhandene Eigenschaft
auszuwählen oder eine neue Eigenschaft zu erstellen.
•
Klicken Sie zum Hinzufügen weiterer Werte zu einer Eigenschaft auf +.
•
Klicken Sie zum Entfernen von Werten auf –.
Klicken Sie auf Speichern.
Siehe auch
Verwenden von Klassifizierungen auf Seite 118
136
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint
Anwendungsbeispiel: Anwendungsbasiertes Fingerprinting
Sie können Inhalte gemäß der Anwendung, mit der sie erstellt wurden, als vertraulich klassifizieren.
In einigen Fällen können Inhalte aufgrund der Anwendung, von der sie erstellt wurden, als vertraulich
klassifiziert werden. Ein Beispiel hierfür wären streng geheime militärische Landkarten. Hierbei handelt
es sich um JPEG-Dateien, die üblicherweise von einer speziellen GIS-Anwendung der
US-amerikanischen Luftwaffe erstellt werden. Wenn diese Anwendung in der Definition für die
Fingerprinting-Kriterien ausgewählt ist, werden alle von dieser Anwendung erstellten JPEG-Dateien als
vertraulich gekennzeichnet. Von anderen Anwendungen erstellte JPEG-Dateien werden nicht
gekennzeichnet.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Wählen Sie auf der Registerkarte Definitionen die Option Anwendungsvorlage und dann Aktionen | Neu aus.
3
Geben Sie einen Namen, z. B. GIS-Anwendung, und bei Bedarf eine Beschreibung ein. Definieren
Sie die GIS-Anwendung anhand von mindestens einer der Eigenschaften aus der Liste Verfügbare
Eigenschaften. Klicken Sie auf Speichern.
4
Klicken Sie auf der Registerkarte Klassifizierung auf Neue Klassifizierung, und geben Sie einen Namen
(z. B. GIS-Anwendung) sowie bei Bedarf eine Definition ein. Klicken Sie auf OK.
5
Wählen Sie Aktionen | New Content Fingerprinting Criteria (Neue Inhalts-Fingerprinting-Kriterien) | Anwendung aus.
Daraufhin öffnet sich die Seite für anwendungsbezogene Fingerprinting-Kriterien.
6
Geben Sie im Feld Name einen Namen für das Tag ein, z. B. GIS-Tag.
7
Wählen Sie im Feld Anwendungen die in Schritt 1 erstellte GIS-Anwendung aus.
8
Wählen Sie in der Liste Verfügbare Eigenschaften | Dateibedingungen die Option Tatsächlicher Dateityp aus.
Wählen Sie im Feld Wert die Option Graphic files [vordefiniert] aus.
Die vordefinierte Definition umfasst JPEG sowie weitere Grafikdateitypen. Wenn Sie eine
Anwendung und einen Dateityp auswählen, werden nur die von dieser Anwendung generierten
JPEG-Dateien in die Klassifizierung eingeschlossen.
9
Klicken Sie auf Speichern, und wählen Sie dann Aktionen | Klassifizierung speichern aus.
Die Klassifizierung kann nun in Schutzregeln verwendet werden.
Zuweisen von Berechtigungen für die manuelle Klassifizierung
Sie können Benutzer konfigurieren, die zur manuellen Klassifizierung von Dateien berechtigt sind.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf die Registerkarte Manuelle Klassifizierung.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
137
6
Klassifizieren vertraulicher Inhalte
Konfigurieren von Klassifizierungskomponenten für McAfee DLP Endpoint
3
Wählen Sie in der Dropdown-Liste Ansicht entweder die Option Nach Klassifizierungen gruppieren oder Nach
Endbenutzergruppen gruppieren aus.
Sie können Klassifizierungen zu Endbenutzergruppen oder Endbenutzergruppen zu
Klassifizierungen zuweisen, so wie es für Sie einfacher ist. Über die Liste Ansicht können Sie die
Anzeige steuern.
4
Bei Gruppierung nach Klassifizierungen:
a
Wählen Sie in der angezeigten Liste eine Klassifizierung aus.
b
Wählen Sie im Abschnitt Klassifizierungen den Klassifizierungstyp aus.
Wenn die Liste sehr lang ist, geben Sie im Textfeld Liste filtern eine Zeichenfolge ein, um die Liste
zu verkürzen.
5
c
Wählen Sie Aktionen | Endbenutzergruppen auswählen aus.
d
Wählen Sie im Fenster Aus vorhandenen Werten auswählen Benutzergruppen aus, oder klicken Sie auf
Neues Element, um eine neue Gruppe zu erstellen. Klicken Sie auf OK.
Bei Gruppierung nach Endbenutzergruppen:
a
Wählen Sie in der angezeigten Liste eine Benutzergruppe aus.
b
Wählen Sie Aktionen | Klassifizierungen auswählen aus.
c
Wählen Sie im Fenster Aus vorhandenen Werten auswählen Klassifizierungen aus. Klicken Sie auf OK.
Anwendungsbeispiel: Manuelle Klassifizierung
Mitarbeitern, zu deren Aufgabenbereich das regelmäßige Erstellen von Dateien mit vertraulichen Daten
gehört, kann die Berechtigung zur manuellen Klassifizierung erteilt werden. Sie können Dateien dann
innerhalb des normalen Workflows während der Erstellung klassifizieren.
Die manuelle Klassifizierung funktioniert mit McAfee DLP Endpoint und McAfee DLP Prevent.
Dieses Beispiel veranschaulicht die Abläufe bei einem Gesundheitsdienstleister, bei dem alle
Patientendatensätze gemäß den HIPAA-Regeln vertraulich behandelt werden müssen. Daher wird den
Mitarbeitern, die Patientendatensätze anlegen bzw. bearbeiten, die Berechtigung zur manuellen
Klassifizierung erteilt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
138
Erstellen Sie für Mitarbeiter, die Patientendatensätze anlegen bzw. bearbeiten, eine oder mehrere
Benutzergruppen.
a
Öffnen Sie in McAfee ePO das Modul Klassifizierung (Menü | Datenschutz | Klassifizierung).
b
Wählen Sie auf der Registerkarte Definitionen die Optionen Quelle/Ziel | Endbenutzergruppe aus.
c
Wählen Sie Aktionen | Neu aus, ersetzen Sie den Standardnamen durch eine aussagekräftige
Bezeichnung, wie. z. B. PHI-Benutzergruppe, und fügen Sie der Definition Benutzer oder
Gruppen hinzu.
d
Klicken Sie auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Klassifizieren vertraulicher Inhalte
Erstellen von Klassifizierungsdefinitionen
2
6
Erstellen Sie eine PHI-Klassifizierung (Protected Health Information, geschützte Gesundheitsdaten).
a
Wählen Sie im Modul Klassifizierung auf der Registerkarte Klassifizierung im linken Fensterbereich
[Sample] PHI [vordefiniert] und dann Aktionen | Klassifizierung duplizieren aus.
Nun wird eine Kopie der Beispielklassifizierung angezeigt, die bearbeitet werden kann.
b
Bearbeiten Sie die Felder Name, Beschreibung und Klassifizierungskriterien nach Bedarf.
c
Klicken Sie im Feld Manuelle Klassifizierung auf Bearbeiten.
d
Wählen Sie im Abschnitt Weitere Aktionen den Klassifizierungstyp aus.
In der Standardeinstellung ist nur die Option Manuelle Klassifizierung aktiviert.
e
Wählen Sie Aktionen | Endbenutzergruppen auswählen aus.
f
Wählen Sie im Fenster Aus vorhandenen Werten auswählen die in einem früheren Schritt angelegten
Gruppen aus, und klicken Sie dann auf OK.
g
Kehren Sie zur Registerkarte Klassifizierung zurück, und wählen Sie Aktionen | Klassifizierung speichern
aus.
Mitarbeiter, die Mitglieder der zugewiesenen Gruppen sind, können die Patientendatensätze jetzt beim
Anlegen klassifizieren. Klicken Sie hierfür mit der rechten Maustaste auf die Datei, wählen Sie
Datenschutz und die entsprechende Option aus.
Im Menü werden nur ausgewählte Optionen (Schritt 2.d) angezeigt.
Erstellen von Klassifizierungsdefinitionen
Sie können vordefinierte Klassifizierungsdefinitionen verwenden oder neue Definitionen erstellen.
Vordefinierte Definitionen können weder geändert noch gelöscht werden.
Aufgaben
•
Erstellen einer allgemeinen Klassifizierungsdefinition auf Seite 139
Sie können Definitionen für die Verwendung in Klassifizierungen und Regeln erstellen und
konfigurieren.
•
Erstellen oder Importieren einer Wörterbuchdefinition auf Seite 140
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor
zugewiesen ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden.
•
Erstellen eines erweiterten Musters auf Seite 141
Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes
Muster kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken
und False-Positive-Definitionen bestehen.
•
Erstellen einer URL-Listendefinition auf Seite 142
Mithilfe von URL-Listendefinitionen können Sie Web-Schutzregeln definieren. Sie werden
den Regeln als Bedingungen vom Typ Web-Adresse (URL) hinzugefügt.
Siehe auch
Klassifizierungsdefinitionen und -kriterien auf Seite 123
Erstellen einer allgemeinen Klassifizierungsdefinition
Sie können Definitionen für die Verwendung in Klassifizierungen und Regeln erstellen und
konfigurieren.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
139
6
Klassifizieren vertraulicher Inhalte
Erstellen von Klassifizierungsdefinitionen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Wählen Sie den zu konfigurierenden Definitionstyp und dann Aktionen | Neu aus.
3
Geben Sie einen Namen ein, und konfigurieren Sie die Optionen und Eigenschaften für die
Definition.
Die verfügbaren Optionen und Eigenschaften hängen vom jeweiligen Definitionstyp ab.
4
Klicken Sie auf Speichern.
Erstellen oder Importieren einer Wörterbuchdefinition
Ein Wörterbuch ist eine Liste von Stichwörtern oder Wortfolgen, denen jeweils ein Faktor zugewiesen
ist. Mithilfe von Faktoren können Regeldefinitionen präziser abgestuft werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie im linken Fensterbereich Wörterbuch aus.
4
Wählen Sie Aktionen | Neu aus.
5
Geben Sie einen Namen und optional eine Beschreibung ein.
6
Fügen Sie dem Wörterbuch nun Einträge hinzu.
So importieren Sie Einträge:
a
Klicken Sie auf Einträge importieren.
b
Geben Sie nun Wörter oder Wortfolgen ein, oder kopieren Sie diese aus einem anderen
Dokument, und fügen Sie sie ein.
Das Textfenster ist auf 20.000 Zeilen und 50 Zeichen pro Zeile beschränkt.
c
Klicken Sie auf OK.
Allen Einträgen wird der Standardfaktor 1 zugeordnet.
d
Sie können diesen Faktor ändern, indem Sie für den jeweiligen Eintrag auf Bearbeiten klicken.
e
Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus.
Beginnen mit und Enden mit ermöglichen den Abgleich von Teilzeichenfolgen.
140
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Erstellen von Klassifizierungsdefinitionen
So erstellen Sie Einträge manuell:
7
a
Geben Sie die Wortfolge und den Faktor ein.
b
Wählen Sie nach Bedarf die Spalten Beginnen mit, Enden mit bzw. Groß-/Kleinschreibung beachten aus.
c
Klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.
Erstellen eines erweiterten Musters
Erweiterte Muster werden zum Definieren von Klassifizierungen verwendet. Ein erweitertes Muster
kann aus einem einzelnen Ausdruck oder aus einer Kombination von Ausdrücken und
False-Positive-Definitionen bestehen.
Erweiterte Muster werden mithilfe von regulären Ausdrücken definiert. Eine ausführliche Erläuterung
von regulären Ausdrücken würde in diesem Dokument zu weit führen. Es gibt zahlreiche Tutorials zu
diesem Thema im Internet, in denen Sie sich ausführlich informieren können.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Wählen Sie die Registerkarte Definitionen und dann im linken Bereich die Option Erweitertes Muster aus.
Die verfügbaren Muster werden auf der rechten Seite angezeigt.
Wenn nur die benutzerdefinierten erweiterten Muster angezeigt werden sollen, deaktivieren Sie das
Kontrollkästchen Integrierte Elemente einschließen. Benutzerdefinierte Muster sind die einzigen Muster, die
bearbeitet werden können.
3
Wählen Sie Aktionen | Neu aus.
Daraufhin öffnet sich die Definitionsseite für das neue erweiterte Muster.
4
Geben Sie einen Namen und optional eine Beschreibung ein.
5
Gehen Sie unter Übereinstimmende Ausdrücke wie folgt vor:
a
Geben Sie einen Ausdruck in das Textfeld ein. Fügen Sie bei Bedarf eine Beschreibung hinzu.
b
Wählen Sie in der Dropdown-Liste eine Bestätigung aus.
McAfee empfiehlt, nach Möglichkeit einen Validierungsalgorithmus zu verwenden, um die Anzahl
von False-Positives gering zu halten. Dies ist jedoch nicht obligatorisch. Wenn Sie keinen
Validierungsalgorithmus angeben möchten oder dies für den Ausdruck nicht sinnvoll ist, wählen
Sie Keine Überprüfung aus.
c
Geben Sie im Feld Faktor eine Zahl ein.
Diese Zahl gibt die Gewichtung des Ausdrucks für den Abgleich mit dem Schwellenwert an.
Dieses Feld ist ein Pflichtfeld.
d
Klicken Sie auf Hinzufügen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
141
6
Klassifizieren vertraulicher Inhalte
Anwendungsbeispiel: Einbinden des Titus-Clients bei der Nutzung von Drittanbieter-Tags
6
Gehen Sie unter Ignorierte Ausdrücke wie folgt vor:
a
Geben Sie einen Ausdruck in das Textfeld ein.
Wenn Sie Textmuster in einem separaten Dokument gespeichert haben, können Sie sie mit
Einträge importieren in die Definition kopieren.
7
b
Wählen Sie im Feld Typ in der Dropdown-Liste den Wert Regulärer Ausdruck aus, wenn die
Zeichenfolge ein regulärer Ausdruck ist, oder Stichwort, wenn es sich um Text handelt.
c
Klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.
Erstellen einer URL-Listendefinition
Mithilfe von URL-Listendefinitionen können Sie Web-Schutzregeln definieren. Sie werden den Regeln
als Bedingungen vom Typ Web-Adresse (URL) hinzugefügt.
Vorgehensweise
Führen Sie für jede erforderliche URL die Schritte 1–4 durch. Klicken Sie auf ? oder Hilfe, um Details zu
Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich "URL-Liste" und dann Aktionen | Neu aus.
3
Geben Sie einen eindeutigen Namen und optional eine Definition ein.
4
Führen Sie eine der folgenden Aktionen aus:
•
Geben Sie in den Textfeldern Protokoll, Host, Port und Pfad die entsprechenden Informationen ein,
und klicken Sie dann auf Hinzufügen.
•
Fügen Sie im Textfeld URL einfügen eine URL ein, und klicken Sie auf Analysieren und dann auf
Hinzufügen.
Die URL-Felder werden von der Software ausgefüllt.
5
Nachdem der Definition alle erforderlichen URLs hinzugefügt wurden, klicken Sie auf Speichern.
Anwendungsbeispiel: Einbinden des Titus-Clients bei der
Nutzung von Drittanbieter-Tags
Inhaltsklassifizierungs- oder Inhalts-Fingerprinting-Kriterien können mehrere Paare aus Tag-Name und
Tag-Wert enthalten.
Bevor Sie beginnen
1
Öffnen Sie im Richtlinienkatalog die aktuelle Windows-Client-Konfiguration. Wählen Sie
Einstellungen | Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins |
Integration von Drittanbieter-Add-Ins aktivieren ausgewählt ist.
2
Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für
Outlook in der Dropdown-Liste Name des Anbieters die Option Titus aus.
Diese Einstellungen betreffen nur die Verwendung von Drittanbieter-Tags mit E-Mails. Sie
können Drittanbieter-Tags mit Dateien verwenden, ohne die
Client-Konfigurationseinstellungen zu ändern.
142
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
6
Klassifizieren vertraulicher Inhalte
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien
McAfee DLP Endpoint ruft die Drittanbieter-API zur Erkennung gekennzeichneter Dateien und zur
Ermittlung der Tags auf. Klassifizierungen, die Drittanbieter-Tags enthalten, können auf alle Schutzund Erkennungsregeln angewendet werden, die Dateien überprüfen.
Zur Implementierung dieser Funktion muss das Drittanbieter-SDK auf den Endpunkt-Computern
installiert sein.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
2
Klicken Sie auf Neue Klassifizierung.
3
Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein.
4
Klicken Sie auf Aktionen, und wählen Sie dann entweder New Content Classification Criteria (Neue
Inhaltsklassifizierungskriterien) oder New Content Fingerprinting Criteria (Neue
Inhalts-Fingerprinting-Kriterien) aus.
5
Wählen Sie die Eigenschaft Drittanbieter-Tags aus.
6
Geben Sie den Namen des Titus-Felds und einen Wert ein. Wählen Sie die Wertdefinition in der
Dropdown-Liste aus.
Die eingegebene Wertzeichenfolge kann wie folgt definiert werden:
•
entspricht einem von
•
entspricht allen folgenden
•
enthält eines von
•
enthält alle folgenden
7
(Optional) Klicken Sie auf +, und fügen Sie ein weiteres Name/Wert-Paar hinzu.
8
Klicken Sie auf Speichern.
Anwendungsbeispiel: Integrieren von Boldon James Email
Classifier in Klassifizierungskriterien
Sie können Klassifizierungskriterien für die Integration von Boldon James Email Classifier erstellen.
Boldon James Email Classifier ist eine E-Mail-Lösung, die E-Mails klassifiziert und ihnen Beschriftungen
zuweist. Die McAfee DLP Endpoint-Software kann in Email Classifier integriert werden und E-Mails
anhand der zugewiesenen Klassifizierungen blockieren. Sie können beim Einrichten der Email
Classifier-Software die Zeichenfolge auswählen, die Email Classifier an McAfee DLP Endpoint sendet.
Verwenden Sie diese Zeichenfolge zum Definieren der Klassifizierungskriterien.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
143
6
Klassifizieren vertraulicher Inhalte
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
2
Richten Sie die Boldon James-Kompatibilität in McAfee DLP Endpoint ein:
a
Öffnen Sie mithilfe der Boldon James Classifier Administration-Konsole Classifier Application Settings |
Outlook Settings (Einstellungen der Klassifizierungsanwendung | Outlook-Einstellungen). Setzen Sie
McAfee Host DLP scan (McAfee-Host-DLP-Scan) auf 'Enabled' (Aktiviert), und legen Sie für McAfee Host
DLP marking (McAfee-Host-DLP-Markierung) ein Markierungsformat fest, das den
Klassifizierungswert sowie statischen Text enthält, der für die DLP-Markierung eindeutig ist. Es
wird eine auf diesem Markierungsformat basierende Zeichenfolge an McAfee DLP Endpoint
übergeben, die die Klassifizierungskriterien enthält.
b
Öffnen Sie im Richtlinienkatalog die aktuelle Client-Konfiguration. Wählen Sie Einstellungen |
Betriebsmodus und Module aus. Vergewissern Sie sich, dass Outlook-Add-Ins | Integration von
Drittanbieter-Add-Ins aktivieren ausgewählt ist.
c
Wählen Sie in Einstellungen | E-Mail-Schutz im Abschnitt Integration von Drittanbieter-Add-Ins für
Outlook in der Dropdown-Liste Name des Anbieters die Option Boldon James aus.
Erstellen Sie eine Boldon James-Klassifizierung.
Führen Sie für jede benötigte Klassifizierung die folgenden Schritte durch:
a
Wählen Sie in McAfee ePO Menü | Datenschutz | Klassifizierung aus.
b
Klicken Sie auf die Registerkarte Klassifizierung und dann auf Neue Klassifizierung.
c
Geben Sie einen eindeutigen Namen und bei Bedarf eine Beschreibung ein.
d
Klicken Sie auf Aktionen | New Content Classification Criteria (Neue Inhaltsklassifizierungskriterien).
e
Wählen Sie die Eigenschaft Stichwort aus. Geben Sie im Feld Wert die Zeichenfolge ein, die auf
dem bei der Classifier Administration-Einrichtung ausgewählten Markierungsformat basiert und an
McAfee DLP Endpoint gesendet werden soll.
Die [Boldon James-Klassifizierung] ist die Zeichenfolge, die Sie beim Einrichten von Email
Classifier zum Senden an McAfee DLP Endpoint ausgewählt haben.
3
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Regelsatz aus.
4
Führen Sie auf der Registerkarte Regelsätze eine der folgenden Aktionen durch.
5
•
Wählen Sie Aktionen | Neuer Regelsatz aus.
•
Wählen Sie einen bestehenden Regelsatz aus.
Wählen Sie Aktionen | Neue Regel | E-Mail-Schutz aus.
Daraufhin wird ein Definitionsformular für den E-Mail-Schutz angezeigt.
6
144
Geben Sie einen eindeutigen Regelnamen ein.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Klassifizieren vertraulicher Inhalte
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien
7
6
Wählen Sie auf der Registerkarte Bedingung in der Dropdown-Liste Textteil und dann die
entsprechende Klassifizierung für Boldon James aus. Wählen Sie die gewünschten Optionen für
Endbenutzer, E-Mail-Umschlag und Empfänger aus.
Der McAfee DLP Endpoint-Client behandelt die Boldon James-Klassifizierung als Bestandteil des
E-Mail-Textes. Wenn Sie die Definition so eingrenzen, dass nur der Textteil gescannt wird, arbeitet
die Regel effizienter.
8
Wählen Sie auf der Registerkarte Reaktion die entsprechenden Parameter Vorbeugende Aktion,
Benutzerbenachrichtigung, Vorfall melden und Schweregrad aus. Setzen Sie den Status auf Aktiviert, und klicken
Sie dann auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
145
6
Klassifizieren vertraulicher Inhalte
Anwendungsbeispiel: Integrieren von Boldon James Email Classifier in Klassifizierungskriterien
146
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
McAfee DLP schützt vertrauliche Inhalte mit einer Kombination aus McAfee DLP Endpoint-, McAfee DLP
Discover- und McAfee DLP Prevent-Richtlinien.
McAfee ePO stellt die McAfee DLP-Richtlinien für die Endpunkt-Computer, Erkennungs-Server und
McAfee DLP Prevent-Appliances bereit. Die McAfee DLP Endpoint-Client-Software, -Server-Software
oder -Appliance wendet die Richtlinien an, um die vertraulichen Inhalte zu schützen.
Inhalt
Regelsätze
Erstellen von Regeldefinitionen
Regeln
Datenschutzregeln
Gerätesteuerungsregeln
Erkennungsregeln
Whitelists
Anpassen von Endbenutzernachrichten
Für Regeltypen verfügbare Reaktionen
Erstellen und Konfigurieren von Regeln und Regelsätzen
Anwendungsbeispiele für Regeln
Regelsätze
Regelsätze definieren McAfee DLP-Richtlinien. Regelsätze können eine Kombination aus Datenschutz-,
Gerätesteuerungs- und Erkennungsregeln enthalten.
Auf der Seite Regelsätze wird eine Liste definierter Regelsätze mit dem jeweiligen Status angezeigt. Die
Anzeige enthält die Anzahl der für die einzelnen Regelsätze protokollierten Vorfälle, die Anzahl der
definierten Regeln sowie die Anzahl der aktivierten Regeln. Farbige Symbole geben die Typen der
aktivierten Regeln an. Die QuickInfo, die beim Halten des Mauszeigers über einem Symbol
eingeblendet wird, gibt den Typ der Regel sowie die Anzahl der aktivierten Regeln an.
Abbildung 7-1 Anzeige von Informationen als QuickInfo auf der Seite 'Regelsätze'
Im Regelsatz 1 sind elf Datenschutzregeln definiert, es sind jedoch nur drei der Regeln aktiviert. Das
blaue Symbol zeigt, welche Regeltypen definiert sind. Die QuickInfo gibt an, dass es sich bei zwei
dieser Regeln um Zwischenablageregeln handelt. Wenn Sie wissen möchten, welche Regeln zwar
definiert, aber deaktiviert sind, öffnen Sie die jeweilige Regel zum Bearbeiten.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
147
7
Schützen vertraulicher Inhalte
Erstellen von Regeldefinitionen
Siehe auch
Schützen von Dateien mithilfe von Erkennungsregeln auf Seite 185
Erstellen einer Regel auf Seite 168
Erstellen von Regeldefinitionen
Definitionen werden bei der Erstellung von Datenschutz-, Gerätesteuerungs- und Erkennungsregeln
verwendet.
Der DLP-Richtlinien-Manager enthält zahlreiche integrierte (vorgefertigte) Definitionen. Diese können direkt
verwendet oder dupliziert und nach Bedarf angepasst werden.
Aufgaben
•
Erstellen eines Netzwerk-Port-Bereichs auf Seite 148
Netzwerk-Port-Bereiche fungieren als Filterkriterien für Schutzregeln für die
Netzwerkkommunikation.
•
Erstellen eines neuen Netzwerkadressbereichs auf Seite 148
Netzwerkadressbereiche dienen als Filterkriterium für Schutzregeln für die
Netzwerkkommunikation.
•
Erstellen einer E-Mail-Adresslistendefinition auf Seite 149
E-Mail-Adresslistendefinitionen sind vordefinierte E-Mail-Domänen oder bestimmte
E-Mail-Adressen, auf die in E-Mail-Schutzregeln verwiesen werden kann.
•
Erstellen einer Netzwerkdrucker-Definition auf Seite 150
Mithilfe von Netzwerkdrucker-Definitionen können Sie differenzierte Druckerschutzregeln
erstellen. Definierte Drucker können in Regeln ein- oder ausgeschlossen werden.
Erstellen eines Netzwerk-Port-Bereichs
Netzwerk-Port-Bereiche fungieren als Filterkriterien für Schutzregeln für die Netzwerkkommunikation.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich die Option Netzwerk-Port aus, und klicken Sie anschließend auf Aktionen |
Neu.
Sie können auch die vordefinierten Definitionen bearbeiten.
3
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
4
Geben Sie die Port-Nummern (getrennt durch Kommas) und optional eine Beschreibung ein.
Klicken Sie auf Hinzufügen.
5
Klicken Sie nach dem Hinzufügen aller erforderlichen Ports auf Speichern.
Erstellen eines neuen Netzwerkadressbereichs
Netzwerkadressbereiche dienen als Filterkriterium für Schutzregeln für die Netzwerkkommunikation.
148
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Erstellen von Regeldefinitionen
Vorgehensweise
Führen Sie für jede erforderliche Definition die Schritte 1–4 durch: Klicken Sie auf ? oder Hilfe, um
Details zu Produktfunktionen und -nutzung sowie empfohlene Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich Netzwerkadresse (IP-Adresse) aus, und klicken Sie dann auf Aktionen | Neu.
3
Geben Sie einen eindeutigen Namen für die Definition und optional eine Beschreibung ein.
4
Geben Sie im Textfeld eine Adresse, einen Adressbereich oder ein Subnetz ein. Klicken Sie auf
Hinzufügen.
Daraufhin werden ordnungsgemäß formatierte Beispiele auf der Seite angezeigt.
Nur IPv4-Adressen werden unterstützt. Bei Eingabe einer IPv6-Adresse wird die Meldung
IP-Adresse ist ungültig angezeigt, ohne anzugeben, dass diese Adresse nicht unterstützt wird.
5
Klicken Sie nach Eingabe aller erforderlichen Definitionen auf Speichern.
Erstellen einer E-Mail-Adresslistendefinition
E-Mail-Adresslistendefinitionen sind vordefinierte E-Mail-Domänen oder bestimmte E-Mail-Adressen,
auf die in E-Mail-Schutzregeln verwiesen werden kann.
Für eine feinere Unterscheidung in den E-Mail-Schutzregeln können Sie bestimmte E-Mail-Adressen
ein- bzw. ausschließen. Achten Sie darauf, beide Definitionstypen zu erstellen.
Bewährte Methode: Fügen Sie für Kombinationen aus Operatoren, die Sie häufig verwenden, einer
E-Mail-Adresslistendefinition mehrere Einträge hinzu.
E-Mail-Wertedefinitionen unterstützen Platzhalter und können Bedingungen definieren. Ein Beispiel
einer mit einem Platzhalter definierten Bedingung ist *@intel.com. Die Kombination einer
Adresslistenbedingung mit einer Benutzergruppe in einer Regel ermöglicht eine genauere Einstellung.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich E-Mail-Adressliste und dann Aktionen | Neu aus.
3
Geben Sie einen Namen und optional eine Beschreibung ein.
4
Wählen Sie in der Dropdown-Liste einen Operator aus.
Operatoren, die anhand der Option E-Mail-Adresse definiert wurden, unterstützen Platzhalter im Feld
Wert.
In McAfee DLP Prevent erzwungene E-Mail-Schutzregeln gleichen den Operator Anzeigename nicht ab.
5
Geben Sie einen Wert ein, und klicken Sie auf Hinzufügen.
6
Klicken Sie nach dem Hinzufügen aller E-Mail-Adressen auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
149
7
Schützen vertraulicher Inhalte
Regeln
Erstellen einer Netzwerkdrucker-Definition
Mithilfe von Netzwerkdrucker-Definitionen können Sie differenzierte Druckerschutzregeln erstellen.
Definierte Drucker können in Regeln ein- oder ausgeschlossen werden.
Bevor Sie beginnen
Sie benötigen den UNC-Pfad des Druckers im Netzwerk.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager | Definitionen aus.
2
Wählen Sie im linken Bereich Netzwerkdrucker und anschließend Aktionen | Neu aus.
3
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
4
Geben Sie den UNC-Pfad ein.
Alle übrigen Felder sind optional.
5
Klicken Sie auf Speichern.
Regeln
Regeln definieren die durchzuführende Aktion beim Versuch eines Benutzers, vertrauliche Daten zu
übertragen bzw. zu senden.
Regelsätze können drei Typen von Regeln enthalten: Datenschutz-, Gerätesteuerungs- und
Erkennungsregeln. Eine Regel besteht aus drei Teilen: Bedingung, Ausnahmen und Reaktion. Jeder Teil
wird in der Regeldefinition auf einer eigenen Registerkarte definiert. Regeln können aktiviert oder
deaktiviert werden; zudem kann ihnen ein Schweregrad zugewiesen werden, der aus einer
Dropdown-Liste ausgewählt wird.
Bedingung
Die Bedingung definiert, welche Umstände die Regel auslösen. Bei Datenschutz- und
Erkennungsregeln enthält die Bedingung stets eine Klassifizierung. Außerdem kann sie weitere
Bedingungen einschließen. Eine Cloud-Schutzregel beispielsweise enthält Felder, mit denen zusätzlich
zur Klassifizierung auch der Endbenutzer und der Cloud-Dienst definiert werden. Für
Gerätesteuerungsregeln gibt die Bedingung immer den Endbenutzer an und kann noch weitere
Bedingungen enthalten, z. B. die Gerätedefinition. Gerätesteuerungsregeln enthalten keine
Klassifizierungen.
Ausnahmen
Ausnahmen definieren Parameter, die von der Regel ausgeschlossen sind. Mit einer Cloud-Schutzregel
können beispielsweise bestimmten Benutzern und Klassifizierungen das Hochladen von Daten in die
entsprechenden Cloud-Dienste gestattet werden, während die im Bedingungsabschnitt der Regel
festgelegten Benutzer und Klassifizierungen blockiert werden. Ausnahmen weisen eine gesonderte
Einstellung auf, mit der sie aktiviert und deaktiviert werden können; somit können Sie die Ausnahme
beim Testen von Regeln ein- und ausschalten. Das Erstellen einer Ausnahmedefinition ist optional.
Ausnahmedefinitionen für Datenschutz- und Erkennungsregeln ähneln Bedingungsdefinitionen. Die für
den Ausschluss verfügbaren Parameter sind eine Teilmenge der Parameter, die zum Definieren der
Bedingung verfügbar sind.
150
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Für Gerätesteuerungsregeln wird die Ausnahme definiert, indem in einer Whitelist enthaltene
Definitionen aus einer Liste ausgewählt werden. Die jeweils verfügbaren Definitionen in der Whitelist
hängen von der Art der Geräteregel ab.
Reaktion
Die Reaktion definiert die Vorgänge, die beim Auslösen der Regel durchgeführt werden. Die jeweils
verfügbaren Aktionen variieren je nach Typ der Regel; die Standardeinstellung für alle Regeln ist
jedoch Keine Aktion. Bei gleichzeitiger Auswahl mit der Option Vorfall melden können Sie die
Häufigkeit von Regelverletzungen überwachen. Dies erleichtert die Feineinstellung der Regel auf die
ideale Empfindlichkeit, sodass Datenlecks abgefangen werden, jedoch keine False-Positives auftreten.
Die Reaktion definiert zudem, ob die Regel außerhalb des Unternehmens und (bei einigen Regeln) ob
sie bei einer VPN-Verbindung mit dem Unternehmen angewendet wird.
Datenschutzregeln
Mithilfe von Datenschutzregeln können Benutzerinhalte und -aktivitäten überwacht und gesteuert
werden.
In Datenschutzregeln muss mindestens eine Klassifizierung angegeben sein. Mithilfe der
Klassifizierung wird der Inhalt als vertraulich oder nicht vertraulich eingestuft. Hierdurch wird
bestimmt, welche Aktionen mit diesem Inhalt durchgeführt werden dürfen. Andere in der Regel
vorhandene Definitionen funktionieren als Filter, anhand derer die zu überwachenden Dateien
bestimmt werden.
Die verschiedenen McAfee DLP-Anwendungen unterstützen Datenschutzregeln in unterschiedlichem
Umfang.
•
McAfee DLP Endpoint for Windows unterstützt sämtliche Datenschutzregeln.
•
McAfee DLP Endpoint for Mac unterstützt Anwendungsdateizugriff-, Netzwerkfreigabe- und
Wechselspeicherschutzregeln.
•
McAfee DLP Prevent unterstützt E-Mail- und Web-Schutzregeln.
Regeln für den Schutz des Zugriffs auf Anwendungsdateien
Schutzregeln für den Zugriff auf Anwendungsdateien überwachen Dateien auf Grundlage der
Anwendungen, von denen sie erstellt wurden. Sie werden sowohl unter Microsoft Windows- als auch
unter OS X-Computern unterstützt. In McAfee DLP Endpoint for Mac werden nur von OS X unterstützte
Anwendungen und Browser unterstützt.
Durch Auswählen einer Anwendungs- oder URL-Definition können Sie die Regel auf bestimmte
Anwendungen beschränken.
URL-Definitionen werden in McAfee DLP Endpoint for Mac nicht unterstützt.
®
Regeln für den Schutz des Zugriffs auf Anwendungsdateien kommunizieren in McAfee Data Exchange
Layer (DXL) mit McAfee Threat Intelligence Exchange (TIE). Sie können die Regel anhand der Daten
aus TIE entsprechend der TIE-Reputation definieren. Beim Auswählen einer Anwendung können Sie in
der Dropdown-Liste anstelle einer Anwendungs- oder Browser-URL auch eine TIE-Reputation
auswählen.
®
Wenn TIE-Reputationen in Regeln verwendet werden sollen, muss auf dem Endpunkt-Computer ein
DXL-Client installiert sein.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
151
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Sie können nicht unterstützte Chrome-Versionen auch blockieren. Auf diese Weise können Sie
potenzielle Lecks verhindern, die von Web-Schutzregeln verursacht werden, die Veröffentlichungen
von nicht unterstützten Chrome-Versionen nicht blockieren.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Kriterien für
Inhalts-Fingerprinting oder Inhaltsklassifizierung beschränken. Sie können die Regel auch auf lokale
Benutzer oder bestimmte Benutzergruppen beschränken.
Siehe auch
Anwendungsbeispiel: Brennen vertraulicher Informationen auf einen Datenträger verhindern
auf Seite 177
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Zwischenablage-Schutzregeln
Die Zwischenablage-Schutzregeln gelten für Inhalte, die mithilfe der Windows-Zwischenablage kopiert
werden. Diese Regeln werden nur unter McAfee DLP Endpoint for Windows unterstützt.
Mithilfe von Zwischenablage-Schutzregeln kann das Kopieren vertraulicher Inhalte zwischen
verschiedenen Anwendungen blockiert werden. Entweder kann eine Regel die jeweilige Anwendung,
aus der und in die kopiert wird, definieren, oder Sie erstellen eine allgemeine Regel, in der Sie eine
Anwendung entweder als Quell- oder als Zielanwendung angeben. Sie können auch unterstützte
Browser als Anwendungen angeben. Die Regel kann mithilfe einer Endbenutzerdefinition gefiltert
werden, wenn sie auf bestimmte Benutzer beschränkt sein soll. Wie bei anderen Datenschutzregeln
werden auch bei dieser Regel Ausnahmen auf der Registerkarte Ausnahmen definiert.
Das Kopieren von vertraulichen Inhalten zwischen Microsoft Office-Anwendungen wird standardmäßig
zugelassen. Wenn Sie Kopiervorgänge innerhalb von Microsoft Office blockieren möchten, müssen Sie
in der Windows-Client-Konfiguration die Microsoft Office-Zwischenablage deaktivieren.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Cloud-Schutzregeln
Mit Cloud-Schutzregeln werden Dateien verwaltet, die in Cloud-Anwendungen hochgeladen werden.
Diese Regeln werden nur unter McAfee DLP Endpoint for Windows unterstützt.
Cloud-Anwendungen werden immer häufiger zur Sicherung und Freigabe von Dateien eingesetzt. Bei
den meisten Cloud-Anwendungen wird ein spezieller Ordner auf dem Festplattenlaufwerk erstellt, der
mit dem Cloud-Server synchronisiert wird. McAfee DLP Endpoint fängt die Dateierstellung im
Cloud-Anwendungsordner ab, scannt die Dateien und wendet die relevanten Richtlinien an. Wenn die
Richtlinie die Synchronisierung der Datei mit dem Cloud-Anwendungsordner zulässt, wird die Datei bei
einer späteren Änderung erneut gescannt, und die Richtlinie wird erneut angewendet. Sollte die
geänderte Datei eine Richtlinie verletzen, kann sie nicht mit der Cloud synchronisiert werden.
Die Cloud-Schutzregel von McAfee DLP Endpoint unterstützt:
•
Box
•
OneDrive (Privatanwender)
•
Dropbox
•
OneDrive for Business (groove.exe)
•
Google Drive
•
Syncplicity
•
iCloud
Sie können die obersten Unterordner angeben, die in die Regel einbezogen oder davon ausgeschlossen
werden, um die Scans zu beschleunigen.
152
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Kriterien für
Inhalts-Fingerprinting oder Inhaltsklassifizierung beschränken. Sie können die Regel auch auf lokale
Benutzer oder bestimmte Benutzergruppen oder anhand des Namens des obersten Unterordners
beschränken.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Regeln für den E-Mail-Schutz
Mithilfe von E-Mail-Schutzregeln werden E-Mails, die an bestimmte Ziele oder Benutzer gesendet
werden, überwacht oder blockiert. Diese Regeln werden nur von McAfee DLP Endpoint for Windows
und McAfee DLP Prevent unterstützt.
Mit E-Mail-Schutzregeln können E-Mails anhand der folgenden Parameter blockiert werden:
•
Klassifizierungsdefinitionen beschränken die Regel auf bestimmte Inhalts-Fingerprinting- oder
Inhaltsklassifizierungskriterien. Sie können Klassifizierungen auf die gesamte E-Mail oder nur auf
den Betreff, den Textteil oder die Anhänge anwenden.
•
Definitionen für Absender beschränken die Regel auf bestimmte Benutzergruppen oder
E-Mail-Adresslisten. Informationen zu Benutzergruppen können von registrierten LDAP-Servern
abgerufen werden. Sie können die Regel auch auf lokale Benutzer oder Nicht-LDAP-Benutzer
beschränken.
•
Das Feld E-Mail-Umschlag kann angeben, dass die E-Mail durch RMS-Berechtigungen,
PGP-Verschlüsselung, eine digitale Signatur oder S/MIME-Verschlüsselung geschützt ist. Diese
Option wird üblicherweise zum Definieren von Ausnahmen verwendet.
•
Die Liste Empfänger enthält E-Mail-Adresslistendefinitionen. Im Operatorfeld der Definitionen können
Platzhalter verwendet werden.
Nicht analysierbare Nachrichten
Wenn es McAfee DLP Prevent nicht möglich ist, Text zum Auswerten aus einer Nachricht zu
analysieren, beispielsweise, weil die Nachricht bösartigen Code enthält, wird folgendermaßen
vorgegangen:
•
Die E-Mail wird abgelehnt und an den MTA zurückgesendet.
•
Der MTA versucht weiterhin, die Nachricht an McAfee DLP Prevent zuzustellen.
•
Wenn McAfee DLP Prevent erkennt, dass die Nachricht nicht analysiert werden kann, wird der
Nachricht der X-RCIS-Aktions-Header mit dem Wert SCANFAIL hinzugefügt.
•
McAfee DLP Prevent sendet nun die Nachricht mit dem geänderten X-RCIS-Aktions-Header an einen
der konfigurierten Smart-Hosts.
McAfee DLP Prevent nimmt an der Nachricht keine weiteren Veränderungen vor.
Wenn die Nachricht einen verschlüsselten, beschädigten oder kennwortgeschützten Anhang enthält,
wird zwar die Nachricht selbst auf potenzielle Datenlecks analysiert, der Anhang wird jedoch nicht
analysiert. In diesem Fall wird auch der Wert SCANFAIL nicht hinzugefügt, da der Nachrichteninhalt
nicht vollständig analysiert wurde.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
153
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Header-Verhalten für die McAfee DLP Prevent-X-RCIS-Aktion
Für McAfee DLP Prevent ist die einzige verfügbare Reaktion das Hinzufügen einer Header-X-RCIS-Aktion mit
einem der folgenden Werte zu einer Nachricht.
Tabelle 7-1 X-RCIS-Aktions-Header-Werte
Priorität Wert
Bedeutung
1
SCANFAIL Nachrichten, die nicht analysiert werden können. Der Header-Wert SCANFAIL
wird von der Appliance automatisch generiert und kann nicht als Aktion einer
Regel konfiguriert werden.
2
BLOCK
Die Nachricht sollte blockiert werden.
3
QUART
Die Nachricht sollte isoliert werden.
4
ENCRYPT
Die Nachricht sollte verschlüsselt werden.
5
BOUNCE
Es sollte eine Unzustellbarkeitsmitteilung (NDR) an den Absender gesendet
werden.
6
REDIR
Die Nachricht sollte umgeleitet werden.
7
NOTIFY
Die zuständigen Vorgesetzten sollten informiert werden.
8
ALLOW
Die Nachricht sollte durchgelassen werden. Allen Nachrichten, bei denen keine
Inhaltsübereinstimmungen gefunden werden, wird der Wert "Allow" (zulassen)
hinzugefügt.
Wenn keine Überwachung erfolgt, übermittelt McAfee DLP Prevent E-Mails immer an einen
konfigurierten Smart-Host. Der Smart-Host implementiert die Aktion, die im X-RCIS-Aktions-Header
angezeigt wird.
Wenn die Nachricht mehrere Regeln auslöst, wird der Wert für die höchste Priorität in den
X-RCIS-Aktions-Header eingefügt (hierbei steht 1 für die höchste Priorität). Wenn keine Regeln
ausgelöst werden, wird der Wert ALLOW (Zulassen) eingefügt.
Wenn eine Nachricht vorher von einer anderen Appliance analysiert und mit einem
X-RCIS-Aktions-Header versehen wurde, ersetzt McAfee DLP Prevent diesen durch einen eigenen
Header.
Mobil-E-Mail-Schutzregeln
Mobil-E-Mail-Schutzregeln erzwingen McAfee DLP-Richtlinien für E-Mails, die an Mobilgeräte gesendet
werden.
Regeln werden mit einer Klassifizierung (erforderlich), einem Benutzer und Mobilgerätedefinitionen
definiert. Für diese Regel kann nur die Option beliebiger Benutzer ausgewählt werden. Optional können Sie
ist ein beliebiges Mobilgerät (ALLE) auswählen oder eine Mobilgerätedefinition hinzufügen.
Mobil-E-Mail-Schutzregeln werden für McAfee DLP-Server für Mobilgeräte erzwungen, die im
Richtlinienkatalog als ActiveSync-Proxy konfiguriert sein müssen.
Siehe auch
Aktionen für Datenschutzregeln auf Seite 159
Konfigurieren von Server-Einstellungen auf Seite 67
154
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Regeln für den Schutz der Netzwerkkommunikation
Regeln für den Schutz der Netzwerkkommunikation überwachen bzw. blockieren eingehende oder
ausgehende Daten in Ihrem Netzwerk. Diese Regeln werden nur unter McAfee DLP Endpoint for
Windows unterstützt.
Regeln für den Schutz der Netzwerkkommunikation steuern den Netzwerkdatenverkehr auf der
Grundlage von angegebenen Netzwerkadressen (obligatorisch) und Ports (optional). Zudem kann
angegeben werden, ob sich eine Regel auf eingehende, ausgehende oder Verbindungen in beide
Richtungen beziehen soll. Sie können eine Netzwerkadressdefinition und eine Port-Definition
hinzufügen, die Definitionen können jedoch mehrere Adressen oder Ports enthalten.
Sie können die Regel mithilfe von Klassifizierungsdefinitionen auf bestimmte
Inhalts-Fingerprinting-Kriterien beschränken. Die Regel kann auch auf lokale Benutzer bzw. bestimmte
Benutzergruppen oder durch die Angabe der Anwendung, die die Verbindung herstellt, beschränkt
werden.
Regeln für den Schutz der Netzwerkkommunikation überprüfen keine Inhaltsklassifizierungskriterien.
Verwenden Sie daher bei der Definition von Klassifizierungen, die mit Regeln für den Schutz der
Netzwerkkommunikation verwendet werden sollen, Inhalts-Fingerprinting-Kriterien.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Regeln für den Netzwerkfreigabe-Schutz
Mit Regeln für den Netzwerkfreigabe-Schutz werden auf Netzwerkfreigaben gespeicherte vertrauliche
Inhalte gesteuert. Sie werden sowohl unter Microsoft Windows- als auch unter OS X-Computern
unterstützt.
Regeln für den Netzwerkfreigabe-Schutz können auf alle oder nur auf bestimmte Netzwerkfreigaben
angewendet werden. Eine Regel kann eine Freigabedefinition enthalten, wobei die Definition mehrere
Freigaben enthalten kann. Durch eine enthaltene Klassifizierung (obligatorisch) wird festgelegt, welche
vertraulichen Inhalte geschützt werden.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Kriterien für
Inhalts-Fingerprinting oder Inhaltsklassifizierung beschränken. Sie können die Regel auch auf lokale
Benutzer oder bestimmte Benutzergruppen beschränken; eine Beschränkung ist auch auf bestimmte
Netzwerkfreigaben oder die Anwendung möglich, von der die Datei kopiert wird.
Regeln für den Druckerschutz
Mit Regeln für den Druckerschutz werden an den Drucker gesendete Dateien überwacht oder blockiert.
Diese Regeln werden nur unter McAfee DLP Endpoint for Windows unterstützt.
Sie können die Regel mithilfe von Klassifizierungen einschränken. Sie können die Regel auch durch
Angabe bestimmter Benutzer, Drucker oder Anwendungen einschränken, von denen bzw. aus denen
die Datei gedruckt wird. In einer Druckerdefinition können lokale Drucker, Netzwerkdrucker, benannte
Netzwerkdrucker oder virtuelle Drucker angegeben werden.
Für virtuelle Drucker gab es in früheren Versionen eine eigene Regel, sie sind nun jedoch in der
allgemeinen Druckerregel enthalten.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
155
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Regeln für den Wechselspeicherschutz
Mit Wechselspeicherschutzregeln werden Daten, die auf Wechselspeichermedien geschrieben werden
sollen, überwacht und gegebenenfalls blockiert. Diese Regeln werden nur von McAfee DLP Endpoint for
Windows und McAfee DLP Endpoint for Mac unterstützt. McAfee DLP Endpoint for Mac unterstützt keine
CD- und DVD-Geräte.
Wechselspeicherschutzregeln können CD- und DVD-Geräte, Wechselspeichermedien oder beides
steuern. Sie können eine Regel in den Klassifizierungen (obligatorisch) anhand von Kriterien für
Inhalts-Fingerprinting oder Inhaltsklassifizierung einschränken. Sie können die Regel auch anhand von
bestimmten Benutzern, Anwendungen oder Web-URLs definieren.
Wechselspeicherschutzregeln für McAfee DLP Endpoint for Mac unterstützen nur die Steuerung von
Wechselspeichermedien. CD/DVD-Geräte werden nicht unterstützt.
Sie können die Regel mithilfe von Klassifizierungen einschränken. Außerdem können Sie die Regel
auch einschränken, indem Sie bestimmte Benutzer oder Anwendungen angeben, von denen bzw. aus
denen die Datei gedruckt wird.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Regeln für den Bildschirmaufnahmeschutz
Regeln für den Bildschirmaufnahmeschutz steuern die Handhabung der von einem Bildschirm
kopierten und eingefügten Daten. Diese Regeln werden nur unter McAfee DLP Endpoint for Windows
unterstützt.
Sie können die Regel mithilfe von Klassifizierungsdefinitionen auf bestimmte
Inhalts-Fingerprinting-Kriterien beschränken. Die Regel kann auch auf lokale Benutzer, bestimmte
Benutzergruppen oder durch Angabe der auf dem Bildschirm angezeigten Anwendungen beschränkt
werden.
Regeln für den Bildschirmaufnahmeschutz überprüfen keine Inhaltsklassifizierungskriterien. Verwenden
Sie daher beim Definieren von Klassifizierungen, die mit Regeln für den Bildschirmaufnahmeschutz
verwendet werden sollen, Inhalts-Fingerprinting-Kriterien.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
Web-Schutzregeln
Mit Web-Schutzregeln wird das Veröffentlichen von Daten auf Websites, beispielsweise auf
Web-E-Mail-Sites, überwacht oder blockiert. Diese Regeln werden nur von McAfee DLP Endpoint for
Windows und McAfee DLP Prevent unterstützt.
Sie definieren eine Web-Schutzregel, indem Sie der Regel Web-Adressen hinzufügen.
Mithilfe von Klassifizierungsdefinitionen können Sie die Regel auf bestimmte Inhalts-Fingerprintingoder Inhaltsklassifizierungskriterien beschränken. Sie können die Regel auch auf beliebige lokale
Benutzer, Nicht-LDAP-Benutzer oder bestimmte Benutzergruppen beschränken.
Siehe auch
Hinweise zur Client-Konfiguration im Zusammenhang mit Datenschutzregeln auf Seite 157
Aktionen für Datenschutzregeln auf Seite 159
156
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Hinweise zur Client-Konfiguration im Zusammenhang mit
Datenschutzregeln
Datenschutzregeln nutzen bestimmte Einstellungen der Client-Konfiguration.
Bewährte Methode: Zur Optimierung der Datenschutzregeln sollten Sie Client-Konfigurationen
erstellen, die auf die Anforderungen verschiedener Regelsätze abgestimmt sind.
In der folgenden Tabelle sind Datenschutzregeln sowie die jeweiligen Einstellungen in der
Client-Konfiguration aufgeführt, die sich auf diese Regeln auswirken. In der Regel können Sie die
Standardeinstellung übernehmen.
Tabelle 7-2 Datenschutzregeln und Client-Konfigurationseinstellungen
Datenschutzregel
Client-Konfigurationsseite und -einstellungen
Anwendungsdateizugriff-Schutz
Inhaltsüberwachung: Hier können Sie Prozesse in die Whitelist aufnehmen
oder in der Whitelist befindliche Prozesse bearbeiten.
Zwischenablageschutz
• Betriebsmodus und Module: Hier können Sie den Zwischenablagedienst
aktivieren.
• Zwischenablageschutz: Hier können Sie Prozesse in die Whitelist
aufnehmen oder in der Whitelist befindliche Prozesse bearbeiten.
Außerdem können Sie hier die Microsoft Office-Zwischenablage
aktivieren bzw. deaktivieren.
Standardmäßig ist die Microsoft Office-Zwischenablage aktiviert. Bei
aktivierter Zwischenablage können Sie Kopiervorgänge zwischen
unterschiedlichen Office-Anwendungen nicht verhindern.
Cloud-Schutz
Betriebsmodus und Module: Hier können Sie die Cloud-Schutz-Handler
auswählen.
E-Mail-Schutz
• Betriebsmodus und Module: Hier können Sie verfügbare E-Mail-Software
aktivieren (Lotus Notes, Microsoft Outlook). Für Microsoft Outlook
müssen Sie hierfür die erforderlichen Add-Ins auswählen.
Auf Systemen, auf denen sowohl Microsoft Exchange als auch Lotus
Notes verfügbar sind, funktionieren E-Mail-Regeln nur dann, wenn für
beide der Name des E-Mail-Ausgangs-Servers (SMTP) konfiguriert ist.
• E-Mail-Schutz: Hier können Sie Drittanbieter-Add-Ins für Microsoft
Outlook auswählen (Boldon James oder Titus). Konfigurieren Sie die
entsprechenden Optionen für Zeitlimit-Strategie, Caching, API und
Benutzerbenachrichtigungen.
Wenn das Drittanbieter-Add-In installiert und aktiviert ist, wechselt das
McAfee DLP Endpoint-Outlook-Add-In eigenständig in den
Umgehungsmodus. McAfee DLP Prevent arbeitet nicht mit Boldon James
zusammen.
Schutz der
Netzwerkkommunikation
• Unternehmenskonnektivität: Hier können Sie Server für das
Unternehmens-VPN hinzufügen und bearbeiten.
• Betriebsmodus und Module: Hier können Sie den Treiber für die
Netzwerkkommunikation aktivieren bzw. deaktivieren (standardmäßig
aktiviert).
Netzwerkfreigabe-Schutz
McAfee Data Loss Prevention 10.0.100
Keine Einstellungen vorhanden.
Produkthandbuch
157
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Tabelle 7-2 Datenschutzregeln und Client-Konfigurationseinstellungen (Fortsetzung)
Datenschutzregel
Client-Konfigurationsseite und -einstellungen
Druckerschutz
• Unternehmenskonnektivität: Hier können Sie Server für das
Unternehmens-VPN hinzufügen und bearbeiten.
• Betriebsmodus und Module: Hier können Sie Add-Ins für
Druckeranwendungen auswählen.
• Druckschutz: Hier können Sie Prozesse in die Whitelist aufnehmen oder
in der Whitelist befindliche Prozesse bearbeiten.
Mithilfe von Add-Ins für Druckeranwendungen kann die Druckerleistung
bei Verwendung bestimmter gängiger Anwendungen gesteigert werden.
Die Add-Ins werden nur installiert, wenn auf dem verwalteten Computer
eine Regel für den Druckerschutz aktiviert ist.
Wechselspeicherschutz
• Betriebsmodus und Module: Hier können Sie die erweiterten Optionen
aktivieren.
• Wechselspeicherschutz: Hier können Sie den Löschmodus einstellen. Im
normalen Modus wird die Datei gelöscht. Im aggressiven Modus wird
sie unwiderruflich vernichtet, sodass sie nicht wiederhergestellt werden
kann.
Bildschirmaufnahmeschutz
• Betriebsmodus und Module: Hier können Sie den Bildschirmaufnahmedienst
aktivieren. Dieser setzt sich aus den Komponenten
Anwendungs-Handler und Schlüssel-Handler für Bildschirmaufnahme
zusammen, die auch jeweils einzeln aktiviert werden können.
• Bildschirmaufnahmeschutz: Hier können Sie Anwendungen für
Bildschirmaufnahmen, die durch Regeln für den
Bildschirmaufnahmeschutz geschützt sind, hinzufügen, bearbeiten und
löschen.
Wenn Sie den Anwendungs-Handler oder den Bildschirmaufnahmedienst
deaktivieren, werden alle auf der Seite 'Bildschirmaufnahmeschutz'
aufgeführten Anwendungen deaktiviert.
Web-Schutz
• Betriebsmodus und Module: Hier können Sie unterstützte Browser für den
Web-Schutz aktivieren.
• Web-Schutz: Hier können Sie URLs in die Whitelist aufnehmen bzw. in
der Whitelist befindliche URLs bearbeiten, die Verarbeitung von
HTTP-GET-Anfragen aktivieren (standardmäßig deaktiviert, da sie die
Ressourcen stark belasten) und die Zeitlimit-Strategie für
Web-Veröffentlichungen festlegen.
Die Seite enthält außerdem eine Liste der unterstützten Versionen von
Google Chrome. Diese Liste ist aufgrund der häufigen
Chrome-Aktualisierungen erforderlich. Die Liste wird gefüllt, indem Sie
eine aktuelle Liste vom McAfee-Support herunterladen und die XML-Datei
dann anhand der Option Durchsuchen auswählen und installieren.
Details zu den erweiterten Optionen für Wechselspeicherschutz
In den folgenden Abschnitten werden die Optionen unter Windows-Client-Konfiguration | Betriebsmodus und
Module | Erweiterte Optionen für Wechselspeicherschutz erläutert.
TrueCrypt-Bereitstellungen lokaler Datenträger schützen
158
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Mit TrueCrypt verschlüsselte virtuelle Geräte können mit TrueCrypt-Geräteregeln oder mit
Wechselspeicher-Schutzregeln geschützt werden. TrueCrypt-Schutz wird von McAfee DLP Endpoint for
Mac nicht unterstützt.
•
Verwenden Sie eine Geräteregel, wenn ein TrueCrypt-Volume blockiert, überwacht oder mit einem
Schreibschutz versehen werden soll.
•
Wenn Sie jedoch inhaltsbezogenen Schutz für TrueCrypt-Volumes wünschen, verwenden Sie eine
Schutzregel.
Wenn mit Inhaltsfingerabdrücken versehene Inhalte auf TrueCrypt-Volumes kopiert werden, gehen die
Signaturen verloren, da diese Volumes keine erweiterten Dateiattribute unterstützen. Verwenden Sie in
der Klassifizierungsdefinition zur Inhaltserkennung Dokumenteigenschaften, Dateiverschlüsselung oder
Definitionen von Dateitypgruppen.
Handler für tragbare Geräte (MTP)
MTP (Media Transfer Protocol) wird für die Übertragung von Dateien und den zugehörigen Metadaten
von Computern auf Mobilgeräte, wie z. B. Smartphones, verwendet. Ein MTP-Gerät ist kein
herkömmlicher Wechseldatenträger, da das Gerät (und nicht der Computer, an den es angeschlossen
ist) das Dateisystem bereitstellt. Wenn der Client für MTP-Geräte konfiguriert ist, lässt die Regel für
Wechselspeicherschutz es zu, dass dieser Client MTP-Übertragungen abfängt und darauf
Sicherheitsrichtlinien anwendet. Zurzeit werden nur USB-Verbindungen unterstützt.
Der Handler kann mit allen von Windows Explorer vorgenommenen Dateiübertragungen arbeiten. Er
funktioniert jedoch nicht bei iOS-Geräten, da die Dateiübertragungen hier über iTunes erfolgen. Sie
können iOS-Geräte jedoch anhand einer Regel für Wechselspeichermedien mit einem Schreibschutz
versehen.
Erweiterter Dateikopierschutz
Der erweiterte Dateikopierschutz fängt Kopiervorgänge von Windows Explorer ab und ermöglicht es dem
McAfee DLP Endpoint-Client, die Datei an ihrem Quellort zu untersuchen, bevor sie auf den
Wechseldatenträger kopiert wird. Dieser Schutz ist standardmäßig aktiviert und sollte ausschließlich
zur Fehlerbehebung deaktiviert werden.
Es gibt jedoch auch Fälle, in denen der erweiterte Kopierschutz keine Anwendung findet. Wenn
beispielsweise eine Datei von einer Anwendung geöffnet und mittels Speichern unter auf ein
Wechselspeichermedium gespeichert wird, greift hier der normale Kopierschutz. Die Datei wird erst auf
das Gerät kopiert und anschließend untersucht. Wenn hierbei vertrauliche Inhalte identifiziert werden,
wird die Datei sofort gelöscht.
Aktionen für Datenschutzregeln
Die von einer Datenschutzregel ausgeführte Aktion wird auf der Registerkarte Reaktion eingegeben.
Standardmäßig ist für alle Datenschutzregeln die Einstellung Keine Aktion festgelegt. Bei gleichzeitiger
Auswahl mit der Option Vorfall melden wird eine Überwachungsaktion erstellt, mit der Sie Regeln vor der
Anwendung als Blockierungsregeln überprüfen und optimieren können. Neben der Berichterstellung
bieten die meisten Regeln auch die Möglichkeit, die Originaldatei, die die Regel ausgelöst hat, als
Nachweis zu speichern. Die Nachweisspeicherung ist bei der Meldung eines Vorfalls optional.
Bewährte Methode: Legen Sie in DLP-Einstellungen als Standardeinstellung für alle Regeln fest, dass
Vorfälle gemeldet werden. Dadurch werden versehentliche Fehler verhindert, falls die Eingabe einer
Reaktion versäumt wurde. Sie können die Standardeinstellung bei Bedarf ändern.
Mit der Option für die Benutzerbenachrichtigung wird auf dem Endpunkt-Computer die
Benutzerbenachrichtigung per Pop-Up aktiviert. Wählen Sie zum Aktivieren der Option eine Definition
für eine Benutzerbenachrichtigung aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
159
7
Schützen vertraulicher Inhalte
Datenschutzregeln
Sie können festlegen, dass andere Aktionen angewendet werden, wenn der Computer nicht mit dem
Unternehmensnetzwerk verbunden ist. Für einige Regeln können auch unterschiedliche Aktionen für
den Fall eingestellt werden, dass die Verbindung mit dem Unternehmensnetzwerk über ein VPN
erfolgt.
In der Tabelle sind die jenseits von Keine Aktion, Vorfall melden, Benutzerbenachrichtigung und Ursprüngliche Datei
als Nachweis speichern verfügbaren Aktionen aufgeführt.
Tabelle 7-3 Für Datenschutzregeln verfügbare Aktionen
Datenschutzregel
Reaktionen
Zusätzliche Informationen
Anwendungsdateizugriff-Schutz
Blockieren
Wenn Sie das Klassifizierungsfeld auf ist
beliebig (ALLE) einstellen, ist die Aktion
"Blockieren" nicht zulässig. Bei dem
Versuch, die Regel mit diesen
Bedingungen zu speichern, wird eine
Fehlermeldung ausgegeben.
Zwischenablageschutz
Blockieren
Cloud-Schutz
• Blockieren
• Begründung anfordern
• Richtlinie für
Rechteverwaltung
anwenden
Verschlüsselung wird in Box, Dropbox,
Google Drive und OneDrive für
Privatanwender unterstützt. Wenn Sie
versuchen, verschlüsselte Dateien in
andere Cloud-Anwendungen hochzuladen,
kann die Datei nicht gespeichert werden.
• Verschlüsseln
E-Mail-Schutz
McAfee DLP
Endpoint-Aktionen:
• Blockieren
• Begründung anfordern
Es werden unterschiedliche McAfee DLP
Endpoint-Aktionen für den Fall
unterstützt, dass der Computer nicht mit
dem Unternehmensnetzwerk verbunden
ist.
Für McAfee DLP Prevent ist
nur die Aktion
"Header-X-RCIS-Aktion
hinzufügen" verfügbar.
Mobilgeräteschutz
Keine Aktion
Zurzeit wird nur die Überwachung
unterstützt (Vorfall melden und Ursprüngliche
Datei als Nachweis speichern).
Schutz der
Netzwerkkommunikation
Blockieren
Die Nachweisspeicherung ist nicht als
Option verfügbar.
Unterstützt andere Aktionen, wenn der
Computer über ein VPN mit dem
Unternehmensnetzwerk verbunden ist.
Netzwerkfreigabe-Schutz
• Begründung anfordern
• Verschlüsseln
Als Verschlüsselungsoptionen sind
McAfee File and Removable Media
Protection (FRP) und die
Verschlüsselungs-Software StormShield
Data Security verfügbar.
®
Die Aktion "Verschlüsseln" wird von
McAfee DLP Endpoint for Mac nicht
unterstützt.
Druckerschutz
• Blockieren
• Begründung anfordern
160
McAfee Data Loss Prevention 10.0.100
Unterstützt andere Aktionen, wenn der
Computer über ein VPN mit dem
Unternehmensnetzwerk verbunden ist.
Produkthandbuch
7
Schützen vertraulicher Inhalte
Gerätesteuerungsregeln
Tabelle 7-3 Für Datenschutzregeln verfügbare Aktionen (Fortsetzung)
Datenschutzregel
Reaktionen
Zusätzliche Informationen
Wechselspeicherschutz
• Blockieren
Die Aktion "Verschlüsseln" wird von
McAfee DLP Endpoint for Mac nicht
unterstützt.
• Begründung anfordern
• Verschlüsseln
Bildschirmaufnahmeschutz
Blockieren
Web-Schutz
McAfee DLP
Endpoint-Reaktionen:
Die Aktion "Begründung anfordern" ist in
McAfee DLP Prevent nicht verfügbar.
• Blockieren
• Begründung anfordern
Gerätesteuerungsregeln
Gerätesteuerungsegeln definieren die Aktion, die durchgeführt wird, wenn bestimmte Geräte
verwendet werden.
Gerätesteuerungsregeln können an vom Unternehmen verwaltete Computer angeschlossene Geräte
überwachen oder blockieren. McAfee DLP Endpoint für Windows unterstützt folgende Regeltypen:
•
Citrix XenApp-Geräteregel
•
Regel für Wechselspeichermedien
•
Festplattenregel
•
Geräteregel für Wechselspeicher-Dateizugriff
•
Plug-and-Play-Geräteregel
•
TrueCrypt-Geräteregel
McAfee DLP Endpoint for Mac unterstützt die folgenden Arten von Regeln:
•
Plug-and-Play-Geräteregel (nur USB-Geräte)
•
Geräteregel für Wechselspeicher-Dateizugriff
Detaillierte Beschreibungen der Gerätesteuerungsregeln können Sie dem Abschnitt Schutz von
Wechselspeichermedien entnehmen.
Siehe auch
Schützen von Geräten auf Seite 98
Erkennungsregeln
McAfee DLP Endpoint und McAfee DLP Discover verwenden Erkennungsregeln für das Scannen von
Dateien und Repositorys.
Tabelle 7-4
Beschreibungen der Datenvektoren
Produkt
Erkennungsregel
McAfee DLP Endpoint
Lokale E-Mail (OST, PST)
Lokales Dateisystem
McAfee DLP Discover
McAfee Data Loss Prevention 10.0.100
Box-Schutz
Produkthandbuch
161
7
Schützen vertraulicher Inhalte
Whitelists
Tabelle 7-4
Beschreibungen der Datenvektoren (Fortsetzung)
Produkt
Erkennungsregel
Datei-Server-Schutz (CIFS)
SharePoint-Schutz
Whitelists
In der Whitelist werden Elemente erfasst, die vom System ignoriert werden sollen.
Sie können Inhalte, Geräte, Prozesse und Benutzergruppen in die Whitelist aufnehmen.
Whitelists in Datenschutzregeln
In der Whitelist befindliche Prozesse für Zwischenablage- und Druckerschutzregeln können Sie im
Richtlinienkatalog der Windows-Client-Konfiguration auf den jeweiligen Seiten angeben. In der Whitelist
befindliche URLs können Sie auf der Seite Web-Schutz angeben. Da diese Whitelists auf dem Client
angewendet werden, funktionieren sie für sämtliche Zwischenablage-, Drucker- und
Web-Schutzregeln. Inhalte, die von Prozessen in der Whitelist erzeugt werden, werden von
Zwischenablage- und Druckerschutzregeln ignoriert. Web-Schutzregeln werden für URLs in der
Whitelist nicht erzwungen.
In der Whitelist befindliche Prozesse für die Textextrahierung können Sie auf der Seite Inhaltsüberwachung
angeben. Je nach Definition werden von der angegebenen Anwendung geöffnete Dateien oder
Inhalts-Fingerprinting von der Textextrahierung nicht analysiert, bzw. es werden keine dynamischen
Fingerabdrücke für den Web-Upload erstellt. In der Definition können bestimmte Ordner und
Erweiterungen angegeben werden, wodurch eine differenziertere Steuerung der Elemente möglich ist,
die in die Whitelist aufgenommen werden. Wenn kein Ordner angegeben ist, wird der Prozess nicht
von den Anwendungsdateizugriff-Regeln überwacht.
Whitelists in Geräteregeln
Sie können in der Whitelist befindliche Plug-and-Play-Definitionen in den Gerätedefinitionen im
DLP-Richtlinien-Manager erstellen.
Die Geräteverwaltung ist für einige Plug-and-Play-Geräte nicht optimal geeignet. Der Versuch, diese
Geräte zu verwalten, kann einen Systemabsturz oder andere schwerwiegende Probleme auslösen.
Plug-and-Play-Geräte in der Whitelist werden bei Anwendung einer Richtlinie automatisch
ausgeschlossen.
Plug-and-Play-Definitionen in der Whitelist können auf OS X-Betriebssystemen nicht angewendet
werden.
Die Registerkarte Ausnahmen in den Gerätesteuerungsregeln wird durch Whitelists definiert, die für die
enthaltende Regel spezifisch sind. Durch die Whitelists werden die angegebenen Definitionen von der
Regel ausgeschlossen.
162
•
Ausgeschlossene Benutzer: Wird in allen Geräteregeln verwendet.
•
Ausgeschlossene Gerätedefinitionen: Wird in allen Geräteregeln verwendet, mit Ausnahme von Citrix und
TrueCrypt.
•
Ausgeschlossene Prozesse: Wird in Plug-and-Play- und Wechselspeichermedien-Regeln verwendet.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anpassen von Endbenutzernachrichten
•
Ausgeschlossene Seriennummer-Benutzer-Paare: Wird in Plug-and-Play- und Wechselspeichermedien-Regeln
verwendet.
•
Ausgeschlossene Dateinamen: Wird in Regeln für den Wechselspeicher-Dateizugriff für den Ausschluss
von Dateien wie Antiviren-Anwendungen verwendet.
Anpassen von Endbenutzernachrichten
Für die Kommunikation mit Endbenutzern werden in McAfee DLP Endpoint zwei Arten von Nachrichten
verwendet: Benachrichtigungen und Benutzerbegründungsnachrichten. McAfee DLP Prevent sendet
eine Benachrichtigung an den Benutzer, die dem Benutzer mitteilt, dass eine Web-Anfrage blockiert
wurde.
In Benachrichtigungs- und Begründungsdefinitionen können Gebietsschemas (Sprachen) angegeben und
Platzhalter hinzugefügt werden, die später durch tatsächliche Werte ersetzt werden. Beim Definieren
von Gebietsschemas werden die Nachrichten und Optionsschaltflächen (für unternehmensbezogene
Begründungen) in der Standardsprache des Endpunkt-Computers angezeigt. Die folgenden
Gebietsschemas werden unterstützt:
•
Englisch (USA)
•
Japanisch
•
Englisch (Großbritannien)
•
Koreanisch
•
Französisch
•
Russisch
•
Deutsch
•
Chinesisch (vereinfacht)
•
Spanisch
•
Chinesisch (traditionell)
Das standardmäßige Gebietsschema ist "Englisch (USA)", in der Definition kann jedoch ein beliebiges
anderes unterstütztes Gebietsschema festgelegt werden. Wenn keines der definierten Gebietsschemas
als Standardsprache des Endpunkt-Computers verfügbar ist, wird das standardmäßige Gebietsschema
verwendet. McAfee DLP Prevent versucht, die bevorzugte Sprache des Benutzers im Anfrage-Header
zu erkennen.
McAfee DLP Prevent unterstützt die Gebietsschemas Koreanisch, Russisch und Chinesisch (vereinfacht)
nicht vollständig.
Benutzerbenachrichtigung
Die Benutzerbenachrichtigungen in McAfee DLP Endpoint sind Pop-Up-Nachrichten, die Benutzer auf
eine Richtlinienverletzung hinweisen.
Wenn mehrere Ereignisse durch eine Regel ausgelöst werden, meldet die Pop-Up-Nachricht In Ihrer
DLP-Konsole sind neue DLP-Ereignisse vorhanden, anstatt mehrere Nachrichten anzuzeigen.
Wenn McAfee DLP Prevent eine Web-Anfrage blockiert, wird eine Benachrichtigung in Form eines
HTML-Dokuments an den Benutzer gesendet, welches im Browser des Benutzers angezeigt wird. Der
konfigurierbare Benachrichtigungstext kann eingebettete HTML-Tags, wie z. B. <p>, <ul> oder <li>,
enthalten. Zu den angezeigten Warnungen gehört auch Zugriff verweigert.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
163
7
Schützen vertraulicher Inhalte
Für Regeltypen verfügbare Reaktionen
Unternehmensbezogene Begründung
Eine unternehmensbezogene Begründung ist eine Form der Richtlinienumgehung. Wenn Begründung
anfordern als Aktion in einer Regel angegeben ist, kann der Benutzer eine Begründung eingeben und
fortfahren, ohne blockiert zu werden.
In McAfee DLP Prevent sind keine unternehmensbezogenen Begründungsnachrichten verfügbar.
Platzhalter
Platzhalter ermöglichen die Eingabe variabler Texte in Nachrichten, die sich nach dem jeweiligen
Auslöser der Endbenutzernachricht richten. Folgende Platzhalter stehen zur Auswahl:
•
%c für eine Klassifizierung
•
%r für einen Regelsatznamen
•
%v für Vektor (z. B. E-Mail-Schutz, Web-Schutz, DLP Prevent)
•
%a für Aktion (z. B. Blockieren)
•
%s für den Kontextwert (z. B. Dateiname, Gerätename, E-Mail-Betreff, URI)
In McAfee DLP Prevent wird der Inhalt des Tokens %s aus der ersten Zeile der HTTP-Anfrage
übernommen. Je nach Konfiguration des Web-Proxy-Servers sind das Schema und der Host
möglicherweise nicht enthalten.
Siehe auch
Erstellen einer Begründungsdefinition auf Seite 171
Erstellen einer Benachrichtigungsdefinition auf Seite 173
Für Regeltypen verfügbare Reaktionen
Die für eine Regel verfügbaren Reaktionen hängen vom jeweiligen Regeltyp ab.
•
Datenschutzregeln sind für McAfee DLP Endpoint verfügbar. Einige Datenschutzregeln sind für
McAfee DLP Prevent verfügbar.
•
Gerätesteuerungsregeln sind für McAfee DLP Endpoint und Device Control verfügbar.
•
Einige Erkennungsregeln sind für McAfee DLP Endpoint verfügbar, andere für McAfee DLP Discover.
Tabelle 7-5 Regelreaktionen
Reaktion
Gilt für Regeln:
Ergebnis
Keine Aktion
Alle
Die Aktion wird zugelassen.
Header-X-RCIS-Aktion
hinzufügen
E-Mail-Schutz (nur McAfee
DLP Prevent)
Hiermit wird dem X-RCIS-Aktions-Header ein
Aktionswert hinzugefügt.
Richtlinie für Rechteverwaltung
anwende n
• Datenschutz
Eine Richtlinie für Rechteverwaltung wird auf die
Datei angewendet.
• Netzwerkerkennung
Dies wird von McAfee
DLP Endpoint for Mac
nicht unterstützt.
Blockieren
• Datenschutz
Die Aktion wird blockiert.
• Gerätesteuerung
164
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Für Regeltypen verfügbare Reaktionen
Tabelle 7-5 Regelreaktionen (Fortsetzung)
Reaktion
Gilt für Regeln:
Ergebnis
Datei klassifizieren
Endgeräterkennung
Automatische Klassifizierungen werden
angewendet, und die Klassifizierungs-Tag-ID wird
in das Dateiformat eingebettet.
Kopieren
Netzwerkerkennung
Die Datei wird an den angegebenen
UNC-Speicherort kopiert.
Inhaltsfingerabdruck erstellen
Endgeräterkennung
Das Inhalts-Fingerprinting wird auf die Datei
angewendet.
Verschlüsseln
• Datenschutz
Die Datei wird verschlüsselt. Als
Verschlüsselungsoptionen sind FRP bzw. die
Verschlüsselungs-Software StormShield Data
Security verfügbar.
• Endgeräterkennung
Dies wird von McAfee
DLP Endpoint for Mac
nicht unterstützt.
Anonyme Freigabe in
obligatorische Anmeldung
ändern
Netzwerkerkennung –
Box-Schutz
Hebt die anonyme Freigabe für die Datei auf.
Verschieben
Netzwerkerkennung
Die Datei wird an den angegebenen
UNC-Speicherort verschoben. Dabei kann bei
Bedarf eine Platzhalterdatei erstellt werden, mit
der der Benutzer darüber benachrichtigt wird,
dass die Datei verschoben wurde. Die
Platzhalterdatei wird angegeben, indem eine
Definition für Benutzerbenachrichtigungen
ausgewählt wird.
Isolieren
Endgeräterkennung
Die Datei wird isoliert.
Schreibschutz
Gerätesteuerung
Es wird Schreibschutz erzwungen.
Vorfall melden
Alle
Hiermit wird im DLP-Vorfalls-Manager ein Vorfall
aufgrund der Verletzung generiert.
Begründung anfordern
Datenschutz
Auf dem Endbenutzer-Computer wird ein Pop-Up
angezeigt. Der Benutzer wählt eine Begründung
(mit optionaler Benutzereingabe) oder eine
optionale Aktion aus.
Datei in DLP Endpoint-Konsole
anzeigen
Endgeräterkennung
In der Endpoint-Konsole werden der Dateiname und
der Pfad angezeigt. Dateiname ist ein Link, über den
die Datei geöffnet werden kann, sofern sie nicht
isoliert wurde. Anhand von Pfad wird der Ordner
geöffnet, in dem sich die Datei befindet.
Ursprüngliche E-Mail als
Nachweis speichern
• Datenschutz
Die ursprüngliche Nachricht wird auf der
Nachweisfreigabe gespeichert. Gilt nur für
E-Mail-Schutzregeln von McAfee DLP Endpoint
und McAfee DLP Prevent.
McAfee Data Loss Prevention 10.0.100
Dies wird von McAfee
DLP Endpoint for Mac
nicht unterstützt.
Produkthandbuch
165
7
Schützen vertraulicher Inhalte
Für Regeltypen verfügbare Reaktionen
Tabelle 7-5 Regelreaktionen (Fortsetzung)
Reaktion
Gilt für Regeln:
Ergebnis
Ursprüngliche Datei als
Nachweis speichern
• Datenschutz
Hiermit wird die Datei für die Anzeige im
Vorfallsmanager gespeichert.
• Endgeräterkennung
Dabei müssen ein Nachweisordner angegeben
und der Nachweiskopierdienst aktiviert sein.
• Netzwerkerkennung
Benutzerbenachrichtigung
Hiermit wird eine Meldung an den
Endpunkt-Computer gesendet, die den Benutzer
auf die Richtlinienverletzung hinweist.
• Datenschutz
• Gerätesteuerung
• Endgeräterkennung
Wenn Benutzerbenachrichtigung ausgewählt ist
und mehrere Ereignisse ausgelöst werden,
wird in einem Pop-Up-Fenster anstelle
mehrerer Meldungen Folgendes angezeigt: In
der DLP-Konsole sind neue Ereignisse
vorhanden.
Reconfigure action rules for web content (Aktionsregeln für Web-Inhalte neu konfigurieren)
Sie müssen McAfee DLP Prevent-Aktionsregeln für die Verwendung auf Proxy-Servern neu
konfigurieren.
Proxy-Server können Web-Inhalte nur ZULASSEN oder BLOCKIEREN.
Tabelle 7-6 Reaktionen für McAfee DLP Endpoint-Datenschutzregeln
Regeln
Reaktionen
Keine Richtlinie Blockieren Verschlüsseln Vorfall Begründung Ursprüngliche
Aktion
für
melden anfordern
Datei (E-Mail)
Rechtever
als Nachweis
waltung
speichern
anwenden
Anwendungsdateizugriff -Schutz
X
X
X
X
Zwischenablageschutz
X
X
X
X
Cloud-Schutz
X
E-Mail-Schutz (nur McAfee DLP
Endpoint for Windows)
X
X
X
X
X
X
X
Mobilgeräteschutz
X
X
X
Schutz der
Netzwerkkommunikation
X
X
X
Netzwerkfreigabe-Schutz
X
X
X
Druckerschutz
X
X
Wechselspeicherschutz
X
X
Bildschirmaufnahmeschutz
X
X
X
Web-Schutz
X
X
X
166
X
McAfee Data Loss Prevention 10.0.100
X
X
X
X
X
X
X
X
X
X
X
Produkthandbuch
X
Schützen vertraulicher Inhalte
Für Regeltypen verfügbare Reaktionen
7
Tabelle 7-7 Reaktionen für Gerätesteuerungsregeln
Reaktionen
Regeln
Keine Aktion
Blockieren
Citrix XenApp-Gerät
Schreibschutz
X
Festplatte
X
X
Plug-and-Play-Gerät
X
X
Wechselspeichermedium
X
X
Wechselspeicher-Dateizugriff
X
X
TrueCrypt-Gerät
X
X
X
X
X
Tabelle 7-8 Reaktionen für Erkennungsregeln in McAfee DLP Endpoint
Reaktionen
Regeln
Richtlinie für
Keine
Inhaltsfingerabdruck Datei
Verschlüsseln Rechteverwaltung Isolieren
Aktion
erstellen
klassifiz
anwenden
Endgerät -Dateisystem
X
X
X
Endgerät -E-Mail -Speicherschutz X
X
X
X
X
X
Tabelle 7-9 Reaktionen für Erkennungsregeln in McAfee DLP Discover
Reaktionen
Keine
Aktion
Richtlinie für
Kopieren Verschieben Rechteverwaltung
anwenden
Anonyme
Freigabe in
obligatorische
Anmeldung
ändern
X
X
X
X
X
Datei-Server-Schutz X
(CIFS)
X
X
X
SharePoint-Schutz
X
X
X
Regeln
Box-Schutz
X
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
167
7
Schützen vertraulicher Inhalte
Erstellen und Konfigurieren von Regeln und Regelsätzen
Erstellen und Konfigurieren von Regeln und Regelsätzen
Sie können Regeln für Ihre McAfee DLP Endpoint-, Device Control-, McAfee DLP Discover-, McAfee DLP
Prevent- und McAfee DLP Prevent for Mobile Email-Richtlinien erstellen und konfigurieren.
Aufgaben
•
Erstellen eines Regelsatzes auf Seite 168
In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans
kombiniert.
•
Erstellen einer Regel auf Seite 168
Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab.
•
Zuweisen von Regelsätzen zu Richtlinien auf Seite 169
Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze
zunächst Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO
angewendet werden.
•
Aktivieren, Deaktivieren oder Löschen von Regeln auf Seite 170
Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern.
•
Sichern und Wiederherstellen einer Richtlinie auf Seite 170
Sie können eine Richtlinie, einschließlich Regeln und Klassifizierungen, von einem McAfee
ePO-Server sichern und auf einem anderen McAfee ePO-Server wiederherstellen.
•
Konfigurieren von Spalten für Regeln oder Regelsätze auf Seite 171
Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen
sowie neue Spalten hinzufügen.
•
Erstellen einer Begründungsdefinition auf Seite 171
In McAfee DLP Endpoint können Sie mit Definitionen von unternehmensbezogenen
Begründungen Parameter für die vorbeugende Aktion "Begründung" in Regeln definieren.
•
Erstellen einer Benachrichtigungsdefinition auf Seite 173
In McAfee DLP Endpoint werden Benachrichtigungsdefinitionen in Pop-Ups oder in der
Endbenutzerkonsole angezeigt, wenn Aktionen eines Benutzers eine Richtlinie verletzen.
Erstellen eines Regelsatzes
In Regelsätzen sind mehrere Regeln für Geräteschutz, Datenschutz und Erkennungs-Scans kombiniert.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Wählen Sie Aktionen | Neuer Regelsatz aus.
4
Geben Sie den Namen und ggf. eine Anmerkung dazu ein, und klicken Sie dann auf OK.
Erstellen einer Regel
Die Erstellung von Regeln läuft für alle Regeltypen ähnlich ab.
168
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Erstellen und Konfigurieren von Regeln und Regelsätzen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Klicken Sie auf den Namen eines Regelsatzes, und wählen Sie ggf. die entsprechende Registerkarte
für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel aus.
4
Wählen Sie Aktionen | Neue Regel und dann den Regeltyp aus.
5
Geben Sie auf der Registerkarte Bedingung die Informationen ein.
6
•
Bei einigen Bedingungen, wie z. B. Klassifizierungen oder Gerätedefinitionen, können Sie auf ...
klicken, um ein vorhandenes Element auszuwählen oder ein neues Element zu erstellen.
•
Klicken Sie zum Hinzufügen von weiteren Kriterien auf +.
•
Klicken Sie zum Entfernen eines Kriteriums auf –.
(Optional) Klicken Sie auf die Registerkarte Ausnahme, um der Regel Ausnahmen hinzuzufügen.
a
Wählen Sie Aktionen | Regelausnahme hinzufügen aus.
Bei Geräteregeln wird die Schaltfläche Aktionen nicht angezeigt. Wählen Sie zum Hinzufügen von
Ausnahmen zu Geräteregeln einen Eintrag aus der angezeigten Liste aus.
b
7
Füllen Sie die erforderlichen Felder aus.
Konfigurieren Sie auf der Registerkarte Reaktion die Optionen Aktion, Benutzerbenachrichtigung und Vorfall
melden.
Regeln können über verschiedene Aktionen verfügen, je nachdem, ob der Endpunkt-Computer mit
dem Unternehmensnetzwerk verbunden ist oder nicht. Manche Regeln können auch über eine
weitere Aktion für den Fall verfügen, dass die Verbindung mit dem Unternehmensnetzwerk über ein
VPN erfolgt.
8
Klicken Sie auf Speichern, um die Regel zu übernehmen, oder auf Abbrechen, um alle Änderungen zu
verwerfen.
Siehe auch
Regelsätze auf Seite 147
Zuweisen von Regelsätzen zu Richtlinien
Vor der Zuweisung von Regelsätzen zu Endgerät-Computern werden die Regelsätze zunächst
Richtlinien zugewiesen, die wiederum auf die Datenbank von McAfee ePO angewendet werden.
Bevor Sie beginnen
Erstellen Sie auf der Seite DLP-Richtlinien-Manager | Regelsätze mindestens einen Regelsatz, und
fügen Sie diesem die erforderlichen Regeln hinzu.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
169
7
Schützen vertraulicher Inhalte
Erstellen und Konfigurieren von Regeln und Regelsätzen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Führen Sie auf der Seite DLP-Richtlinien-Manager | Richtlinienzuweisung eine der folgenden Aktionen aus:
•
Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus. Wählen Sie im Zuweisungsfenster einen
Regelsatz aus der Dropdown-Liste aus, und wählen Sie dann die Richtlinien aus, denen der
Regelsatz zugewiesen werden soll. Klicken Sie anschließend auf OK.
•
Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus. Wählen Sie im Zuweisungsfenster eine
Richtlinie aus der Dropdown-Liste aus, und wählen Sie dann die Regelsätze aus, die dieser
Richtlinie zugewiesen werden sollen. Klicken Sie anschließend auf OK.
Wenn Sie die Auswahl eines zuvor ausgewählten Regelsatzes oder einer zuvor ausgewählten
Richtlinie aufheben, wird der Regelsatz aus der Richtlinie gelöscht.
2
Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie im Zuweisungsfenster die
Richtlinien aus, die auf die McAfee ePO-Datenbank angewendet werden sollen. Klicken Sie auf OK.
Im Auswahlfenster werden nur Richtlinien angezeigt, die noch nicht auf die Datenbank angewendet
wurden. Wenn Sie eine Regelsatzzuweisung oder eine Regel in einem zugewiesenen Regelsatz
ändern, wird die Richtlinie angezeigt, und es wird anstelle der vorherigen Richtlinie die bearbeitete
Richtlinie angewendet.
Aktivieren, Deaktivieren oder Löschen von Regeln
Sie können den Status mehrerer Regeln gleichzeitig löschen oder ändern.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Klicken Sie auf den Namen eines Regelsatzes, und klicken Sie dann ggf. auf die entsprechende
Registerkarte für die Datenschutz-, Gerätesteuerungs- oder Erkennungsregel.
4
Wählen Sie mindestens eine Regel aus.
5
Aktualisieren oder löschen Sie die ausgewählten Regeln.
•
Wählen Sie zum Aktivieren der Regeln Aktionen | Status ändern | Aktivieren aus.
•
Wählen Sie zum Deaktivieren der Regeln Aktionen | Status ändern | Deaktivieren aus.
•
Zum Löschen der Regeln wählen Sie Aktionen | Schutzregel löschen aus.
Sichern und Wiederherstellen einer Richtlinie
Sie können eine Richtlinie, einschließlich Regeln und Klassifizierungen, von einem McAfee ePO-Server
sichern und auf einem anderen McAfee ePO-Server wiederherstellen.
Beachten Sie beim Wiederherstellen aus einer Datei die folgenden Punkte:
170
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Erstellen und Konfigurieren von Regeln und Regelsätzen
•
Achten Sie vor der Wiederherstellung der Datei darauf, dass ein Lizenzschlüssel hinzugefügt wurde.
Wenn Sie die Datei ohne Lizenz wiederherstellen, werden alle Regeln deaktiviert, und Sie müssen
Regeln vor der Anwendung der Richtlinie aktivieren.
•
Für McAfee DLP Discover müssen Sie Erkennungs-Server neu zu Scans zuweisen, bevor die
Richtlinie angewendet wird.
Vorgehensweise
1
Wählen Sie in McAfee ePO die Option Datenschutz | DLP-Einstellungen | Sichern und wiederherstellen aus.
2
Klicken Sie auf In Datei sichern, und speichern Sie die Datei auf einem USB-Laufwerk oder in einem
freigegebenen Ordner.
3
Wählen Sie auf einem anderen McAfee ePO-Server die Option Datenschutz | DLP-Einstellungen | Sichern
und wiederherstellen aus.
4
Klicken Sie auf Aus Datei wiederherstellen, und wählen Sie die zuvor gespeicherte Datei aus.
Konfigurieren von Spalten für Regeln oder Regelsätze
Sie können die für Regeln oder Regelsätze angezeigten Spalten verschieben und entfernen sowie neue
Spalten hinzufügen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Rufen Sie die Seite Spalten zum Anzeigen auswählen auf.
4
5
•
Regelsätze: Wählen Sie Aktionen | Spalten auswählen aus.
•
Regeln: Wählen Sie zunächst einen Regelsatz und dann Aktionen | Spalten auswählen aus.
Ändern Sie die Spalten.
•
Klicken Sie im Bereich Verfügbare Spalten auf die gewünschten Einträge, um diese Spalten
hinzuzufügen.
•
Klicken Sie im Bereich Ausgewählte Spalten auf die Pfeile oder auf x, um Spalten zu verschieben
bzw. zu löschen.
•
Klicken Sie auf Standardwerte verwenden, um die Standardkonfiguration der Spalten
wiederherzustellen.
Klicken Sie auf Speichern.
Erstellen einer Begründungsdefinition
In McAfee DLP Endpoint können Sie mit Definitionen von unternehmensbezogenen Begründungen
Parameter für die vorbeugende Aktion "Begründung" in Regeln definieren.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
171
7
Schützen vertraulicher Inhalte
Erstellen und Konfigurieren von Regeln und Regelsätzen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung | Begründung aus.
3
Wählen Sie Aktionen | Neu aus.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
5
Für das Erstellen von Begründungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für
Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein
Gebietsschema aus der Dropdown-Liste aus.
Die ausgewählten Gebietsschemas werden der Liste hinzugefügt.
6
Führen Sie für jedes Gebietsschema Folgendes durch:
a
Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus. Geben Sie in den
Textfeldern Text ein, und aktivieren Sie die entsprechenden Kontrollkästchen.
Bei Auswahl von Übereinstimmende Zeichenfolgen anzeigen wird im Pop-Up ein Link angezeigt, über den
der Inhalt mit hervorgehobenen Übereinstimmungen aufgerufen werden kann. Bei Auswahl von
Weitere Informationen wird ein Link zu einem Dokument oder einer Intranet-Seite mit weiteren
Informationen angezeigt.
Bei Eingabe einer Definition für Gebietsschemas sind keine Kontrollkästchen und Aktionen
verfügbar. Sie können nur Schaltflächenbeschriftungen, die Übersicht und den Titel eingeben. Im
Abschnitt Begründungsoptionen können Sie über die Funktion Bearbeiten in der Spalte Aktionen die
Standarddefinitionen durch die Gebietsschemaversion ersetzen.
b
Geben Sie die Begründung – Übersicht und optional einen Dialogfeldtitel ein.
Die Übersicht gibt allgemeine Anweisungen für den Benutzer an, z. B.: Für diese Aktion ist eine
unternehmensbezogene Begründung erforderlich. Der Text darf bis zu 500 Zeichen enthalten.
c
Geben Sie den Text für die Schaltflächenbeschriftungen ein, und wählen Sie die
Schaltflächenaktionen aus. Aktivieren Sie das Kontrollkästchen Schaltfläche ausblenden, um eine
Definition mit zwei Schaltflächen zu erstellen.
Die Schaltflächenaktionen müssen den vorbeugenden Aktionen für den Regeltyp entsprechen,
der die Definition verwendet. Beispiel: Für Netzwerkfreigabe-Schutzregeln sind nur die
vorbeugenden Aktionen Keine Aktion, Verschlüsseln und Begründung anfordern verfügbar. Wenn Sie für
eine Schaltflächenaktion Blockieren auswählen und dann versuchen, die Definition in einer
Definition für Netzwerkfreigabe-Schutzregeln zu verwenden, wird eine Fehlermeldung angezeigt.
d
Geben Sie im Textfeld Text ein, und klicken Sie auf Hinzufügen, um das Element der Liste der
Begründungsoptionen hinzuzufügen. Aktivieren Sie das Kontrollkästchen Begründungsoptionen anzeigen,
wenn die Liste für Endbenutzer verfügbar sein soll.
Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus
welchem Grund das Pop-Up ausgelöst wurde.
7
Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern.
Siehe auch
Anpassen von Endbenutzernachrichten auf Seite 163
172
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Erstellen einer Benachrichtigungsdefinition
In McAfee DLP Endpoint werden Benachrichtigungsdefinitionen in Pop-Ups oder in der
Endbenutzerkonsole angezeigt, wenn Aktionen eines Benutzers eine Richtlinie verletzen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Definitionen, und wählen Sie dann Benachrichtigung |
Benutzerbenachrichtigung aus.
3
Wählen Sie Aktionen | Neu aus.
4
Geben Sie einen eindeutigen Namen und optional eine Beschreibung ein.
5
Für das Erstellen von Benachrichtigungsdefinitionen in mehreren Sprachen wählen Sie Aktionen für
Gebietsschemas | Neues Gebietsschema aus. Wählen Sie für jedes erforderliche Gebietsschema jeweils ein
Gebietsschema aus der Dropdown-Liste aus.
Die ausgewählten Gebietsschemas werden der Liste hinzugefügt.
6
Führen Sie für jedes Gebietsschema Folgendes durch:
a
Wählen Sie im linken Fensterbereich das zu bearbeitende Gebietsschema aus.
Sie können ein beliebiges Gebietsschema als Standard festlegen, indem Sie das entsprechende
Kontrollkästchen Standard-Gebietsschema aktivieren.
b
Geben Sie Text in das Textfeld ein.
Mithilfe von Platzhaltern können Sie den Text anpassen, um beispielsweise anzugeben, aus
welchem Grund das Pop-Up ausgelöst wurde.
c
(Optional) Aktivieren Sie das Kontrollkästchen Link zu weiteren Informationen anzeigen, und geben Sie
eine URL ein, um ausführlichere Informationen bereitzustellen.
Diese Option ist nur im Standard-Gebietsschema verfügbar.
7
Wenn alle Gebietsschemas vollständig sind, klicken Sie auf Speichern.
Siehe auch
Anpassen von Endbenutzernachrichten auf Seite 163
Anwendungsbeispiele für Regeln
In den folgenden Anwendungsbeispielen wird die Verwendung von Geräte- und Datenschutzregeln
erläutert.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
173
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Aufgaben
•
Anwendungsbeispiel: Geräteregeln für den Wechselspeicher-Dateizugriff mit einem in der
Whitelist befindlichen Prozess auf Seite 174
Sie können Dateinamen in die Whitelist aufnehmen und als Ausnahme für eine
Wechselspeicher-Blockierungsregel definieren.
•
Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein Wechselspeichermedium auf
Seite 175
Im Gegensatz zu Plug-and-Play-Geräteregeln haben Schutzregeln für
Wechselspeichermedien eine Schreibschutzoption.
•
Anwendungsbeispiel: Blockieren und Aufladen eines iPhones mithilfe einer Plug-and-PlayGeräteregel auf Seite 176
Sie können festlegen, dass für Apple iPhones während der Aufladung am Computer die
Nutzung als Speichergerät blockiert wird.
•
Anwendungsbeispiel: Brennen vertraulicher Informationen auf einen Datenträger
verhindern auf Seite 177
Mit Regeln für den Schutz des Zugriffs auf Anwendungsdateien können CD- und
DVD-Brenner so blockiert werden, dass keine vertraulichen Informationen kopiert werden
können.
•
Anwendungsbeispiel: Ausgehende Nachrichten mit vertraulichen Inhalten blockieren, es sei
denn, sie werden an eine bestimmte Domäne gesendet auf Seite 178
Ausgehende Nachrichten werden blockiert, wenn sie das Wort Vertraulich enthalten, es sei
denn, der Empfänger ist von der Regel ausgenommen.
•
Anwendungsbeispiel: Senden von persönlichen Finanzdaten für eine bestimmte
Benutzergruppe zulassen auf Seite 179
Sie können zulassen, dass die Benutzer der Benutzergruppe "Personalabteilung"
Nachrichten senden dürfen, die persönliche Finanzdaten enthalten, wenn diese
Informationen aus Ihrem Active Directory stammen.
•
Anwendungsbeispiel: Anhänge gemäß ihrem Ziel als WEITERGABE-ERFORDERLICH
klassifizieren auf Seite 181
Erstellen Sie Klassifizierungen, die das Senden von als WEITERGABE-ERFORDERLICH
klassifizierten Anhängen an Mitarbeiter in den USA, Deutschland und Israel ermöglichen.
Anwendungsbeispiel: Geräteregeln für den WechselspeicherDateizugriff mit einem in der Whitelist befindlichen Prozess
Sie können Dateinamen in die Whitelist aufnehmen und als Ausnahme für eine
Wechselspeicher-Blockierungsregel definieren.
Mit Geräteregeln für den Wechselspeicher-Dateizugriff wird verhindert, dass Anwendungen Aktionen
für das Wechselspeichermedium durchführen. Dateinamen in der Whitelist sind als Prozesse definiert,
die nicht blockiert werden. In diesem Beispiel werden SanDisk-Wechselspeichermedien blockiert,
Antiviren-Software darf das Gerät jedoch scannen, um infizierte Dateien zu entfernen.
Diese Funktion wird nur für Windows-Computer unterstützt.
174
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Suchen Sie auf der Registerkarte Definitionen die vordefinierte Gerätedefinition für alle
Sandisk-Wechselspeichermedien (Windows), und klicken Sie auf Duplizieren.
In der Definition wird die Sandisk-Anbieter-ID 0781 verwendet.
Bewährte Methode: Duplizieren Sie eine vordefinierte Definitionen, um diese Definition dann
individuell anzupassen. Sie können beispielsweise der duplizierten Sandisk-Definition andere
Anbieter-IDs hinzufügen, um Wechselspeichermedien anderer Marken hinzuzufügen.
3
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz.
4
Wählen Sie auf der Registerkarte des Regelsatzes Gerätesteuerung die Optionen Aktionen | Neue Regel |
Geräteregel für Wechselspeicher-Dateizugriff aus.
5
Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus.
6
Wählen Sie auf der Registerkarte Bedingungen einen Endbenutzer aus, oder übernehmen Sie die
Standardeinstellung (ist ein beliebiger Benutzer). Wählen Sie im Feld Wechselspeicher die in Schritt 2
erstellte Gerätedefinition aus. Übernehmen Sie die Standardeinstellungen für Tatsächlicher Dateityp und
Dateierweiterung.
7
Wählen Sie auf der Registerkarte Ausnahmen die Option Dateinamen in der Whitelist aus.
8
Fügen Sie im Feld Dateiname die integrierte McAfee AV-Definition hinzu.
Sie können diese Definition, genau wie die Definition des Wechselspeichermediums, duplizieren und
dann anpassen.
9
Wählen Sie auf der Registerkarte Reaktion die Optionen Aktion | Blockieren aus. Sie können bei Bedarf
eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen.
10 Klicken Sie auf Speichern und dann auf Schließen.
Anwendungsbeispiel: Festlegen eines Schreibschutzes für ein
Wechselspeichermedium
Im Gegensatz zu Plug-and-Play-Geräteregeln haben Schutzregeln für Wechselspeichermedien eine
Schreibschutzoption.
Durch das Festlegen eines Schreibschutzes für Wechselspeichermedien können Sie zulassen, dass
Benutzer eigene Geräte (z. B. MP3-Player) nutzen, jedoch gleichzeitig die Verwendung dieser Geräte
als Speichermedien verhindern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
175
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Erstellen Sie auf der Registerkarte Definitionen der Seite Gerätedefinitionen eine
Wechselspeichermedium-Definition.
Wechselspeichermedium-Definitionen müssen als Windows- oder Mac-Definitionen kategorisiert
werden. Beginnen Sie mit dem Duplizieren einer der vordefinierten Definitionen für Windows oder
Mac, und passen Sie die Definition nach Bedarf an. Der Bustyp kann USB, Bluetooth und alle weiteren
Bustypen enthalten, die voraussichtlich verwendet werden. Nutzen Sie zur Identifizierung der Geräte
die Anbieter-ID oder den Gerätenamen.
3
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, oder erstellen Sie einen Regelsatz.
4
Wählen Sie auf der Registerkarte Gerätesteuerung die Optionen Aktionen | Neue Regel | Regel für
Wechselspeichermedien aus.
5
Geben Sie einen Namen für die Regel ein, und wählen Sie Status | Aktiviert aus. Wählen Sie im
Abschnitt Bedingungen im Feld Wechselspeicher die in Schritt 2 erstellte Gerätedefinition aus.
6
Wählen Sie auf der Registerkarte Reaktion die Optionen Aktion | Schreibschutz aus. Sie können bei
Bedarf eine Benutzerbenachrichtigung hinzufügen und die Option Vorfall melden auswählen.
7
Klicken Sie auf Speichern und dann auf Schließen.
Anwendungsbeispiel: Blockieren und Aufladen eines iPhones
mithilfe einer Plug-and-Play-Geräteregel
Sie können festlegen, dass für Apple iPhones während der Aufladung am Computer die Nutzung als
Speichergerät blockiert wird.
In diesem Anwendungsbeispiel wird eine Regel erstellt, die verhindert, dass der Benutzer das iPhone
als Massenspeichergerät verwendet. Hierfür wird eine Plug-and-Play-Geräteschutzregel verwendet, da
diese unabhängig von den weiteren Festlegungen der Regel das Aufladen von iPhones zulässt. Diese
Funktion wird weder für Smartphones anderer Anbieter noch für andere Mobilgeräte von Apple
unterstützt. Die Regel verhindert nicht das Aufladen eines iPhones am Computer.
Zum Definieren einer Plug-and-Play-Geräteregel für bestimmte Geräte müssen Sie eine
Gerätedefinition mit dem Anbieter- und dem Produkt-ID-Code (VID/PID) erstellen. Diese
Informationen werden im Geräte-Manager von Windows angezeigt, wenn das Gerät angeschlossen wird.
Da in diesem Beispiel nur eine VID erforderlich ist, müssen Sie die Informationen nicht nachsehen,
sondern können die vordefinierte Gerätedefinition All Apple devices verwenden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
176
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Wählen Sie auf der Registerkarte Regelsätze einen Regelsatz aus, bzw. erstellen Sie einen neuen
Regelsatz. Klicken Sie auf die Registerkarte Gerätesteuerung, und erstellen Sie eine
Plug-and-Play-Geräteregel. Verwenden Sie die vordefinierte Gerätedefinition All Apple devices als
eingeschlossene Definition (ist eines von (ODER)).
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
3
Legen Sie auf der Registerkarte Reaktion die Aktion auf Blockieren fest.
4
Klicken Sie auf Speichern und dann auf Schließen.
Anwendungsbeispiel: Brennen vertraulicher Informationen auf
einen Datenträger verhindern
Mit Regeln für den Schutz des Zugriffs auf Anwendungsdateien können CD- und DVD-Brenner so
blockiert werden, dass keine vertraulichen Informationen kopiert werden können.
Bevor Sie beginnen
Erstellen Sie eine Klassifizierung, um die vertraulichen Inhalte zu identifizieren. Verwenden
Sie hierbei die für Ihre Umgebung geeigneten Parameter, z. B. Stichwörter, Textmuster,
Dateiinformationen usw.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Wählen Sie auf der Registerkarte Regelsätze einen aktuellen Regelsatz aus, oder wählen Sie Aktionen |
Neuer Regelsatz aus, und definieren Sie einen Regelsatz.
3
Wählen Sie auf der Registerkarte Datenschutz die Optionen Aktionen | Neue Regel |
Anwendungsdateizugriff-Schutz aus.
4
(Optional) Geben Sie im Feld Regelname einen Namen ein (obligatorisch). Wählen Sie Optionen für
die Felder Status und Schweregrad aus.
5
Wählen Sie auf der Registerkarte Bedingung im Feld Klassifizierung die für vertrauliche Inhalte erstellte
Klassifizierung aus.
6
Wählen Sie im Feld Endbenutzer Benutzergruppen aus (optional).
Wenn Sie der Regel Benutzer oder Gruppen hinzufügen, wird die Regel auf bestimmte Benutzer
beschränkt.
7
Wählen Sie im Feld Anwendungen die Option Media Burner Application [vordefiniert] in der Liste der
verfügbaren Anwendungsdefinitionen aus.
Durch Bearbeiten der vordefinierten Definition können Sie auch eine eigene
Medienbrennerdefinition erstellen. Beim Bearbeiten einer vordefinierten Definition wird automatisch
eine Kopie der ursprünglichen Definition erstellt.
8
(Optional) Sie können auf der Registerkarte Ausnahmen Ausnahmen von dieser Regel erstellen.
Ausnahmedefinitionen können alle Felder enthalten, die in der jeweiligen Bedingungsdefinition
vorhanden sind. Sie können auch mehrere Ausnahmen erstellen, die in unterschiedlichen
Situationen angewendet werden sollen. So könnten Sie beispielsweise "Privilegierte Benutzer"
definieren, die von der Regel ausgenommen sind.
9
Legen Sie auf der Registerkarte Reaktion die Aktion auf Blockieren fest. Wählen Sie eine
Benutzerbenachrichtigung aus (optional). Klicken Sie auf Speichern und dann auf Schließen.
Sie können auch die standardmäßige Vorfallberichterstellungs- und vorbeugende Aktion für den Fall
ändern, dass der Computer nicht mit dem Netzwerk verbunden ist.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
177
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
10 Weisen Sie den Regelsatz auf der Registerkarte Richtlinienzuweisung einer oder mehreren Richtlinien
zu:
a
Wählen Sie Aktionen | Regelsatz zu Richtlinien zuweisen aus.
b
Wählen Sie in der Dropdown-Liste den gewünschten Regelsatz aus.
c
Wählen Sie die Richtlinie(n) aus, die Sie dem Regelsatz zuweisen möchten.
11 Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus. Wählen Sie die Richtlinien aus, die auf die
McAfee ePO-Datenbank angewendet werden sollen, und klicken Sie auf OK.
Anwendungsbeispiel: Ausgehende Nachrichten mit
vertraulichen Inhalten blockieren, es sei denn, sie werden an
eine bestimmte Domäne gesendet
Ausgehende Nachrichten werden blockiert, wenn sie das Wort Vertraulich enthalten, es sei denn, der
Empfänger ist von der Regel ausgenommen.
Führen Sie die folgenden allgemeinen Schritte aus:
•
Erstellen Sie eine E-Mail-Adresslistendefinition.
•
Erstellen Sie einen Regelsatz und eine Regel, die für Nachrichten gelten, die das Wort Vertraulich
enthalten.
•
Geben Sie Empfänger an, die von der Regel ausgenommen sind.
•
Geben Sie die Reaktion auf Nachrichten an, die das Wort Vertraulich enthalten.
Tabelle 7-10 Erwartetes Verhalten
E-Mail-Inhalt
Empfänger
Nachrichtentext:
Vertraulich
[email protected] Diese Nachricht wird blockiert, weil sie das
Wort "Vertraulich" enthält.
Nachrichtentext:
Vertraulich
[email protected] Diese Nachricht wird nicht blockiert, weil
die Ausnahmeeinstellungen besagen, dass
vertrauliche Inhalte an Empfänger unter
example.com gesendet werden dürfen.
Nachrichtentext:
[email protected] Diese Nachricht wird blockiert, da einer der
[email protected] Empfänger diese nicht erhalten darf.
Anhang: Vertraulich
Erwartetes Ergebnis
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
178
Erstellen Sie eine E-Mail-Adresslistendefinition für eine Domäne, die von der Regel ausgenommen
ist.
a
Wählen Sie in McAfee ePO im Abschnitt Datenschutz die Option DLP-Richtlinien-Manager aus, und
klicken Sie auf Definitionen.
b
Wählen Sie die Definition E-Mail-Adressliste aus, und duplizieren Sie die vorgefertigte Definition My
organization email domain (E-Mail-Domäne meines Unternehmens).
c
Wählen Sie die von Ihnen erstellte E-Mail-Adresslistendefinition aus, und klicken Sie dann auf
Bearbeiten.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
2
d
Wählen Sie unter Operator die Option Domänenname ist aus, und legen Sie als Wert example.com
fest.
e
Klicken Sie auf Speichern.
Erstellen Sie einen Regelsatz mit einer E-Mail-Schutzregel.
a
Klicken Sie auf Regelsätze, und wählen Sie dann Aktionen | Neuer Regelsatz aus.
b
Geben Sie dem Regelsatz den Namen Vertraulich in E-Mails blockieren.
c
Duplizieren Sie die vordefinierte Klassifizierung Vertraulich.
Nun wird eine Kopie der Klassifizierung angezeigt, die bearbeitet werden kann.
d
Klicken Sie auf Aktionen | Neue Regel | E-Mail-Schutzregel.
e
Geben Sie der neuen Regel den Namen Vertraulich blockieren, und aktivieren Sie sie.
f
Erzwingen Sie die Regel in DLP Endpoint for Windows und DLP Prevent.
g
Wählen Sie die von Ihnen erstellte Klassifizierung aus, und fügen Sie sie zur Regel hinzu.
h
Wählen Sie für den Empfänger die Option beliebiger Empfänger (ALLE) aus.
Belassen Sie bei den anderen Einstellungen auf der Registerkarte Bedingung die
Standardeinstellungen.
3
4
5
Fügen Sie der Regel Ausnahmen hinzu.
a
Klicken Sie auf Ausnahmen, und wählen Sie dann Aktionen | Regelausnahme hinzufügen aus.
b
Geben Sie einen Namen für die Ausnahme ein, und aktivieren Sie sie.
c
Wählen Sie für die Klassifizierung die Option Vertraulich aus.
d
Wählen Sie für den Empfänger die Option mindestens ein Empfänger gehört zu allen Gruppen (UND) und dann
die von Ihnen erstellte E-Mail-Adresslistendefinition aus.
Konfigurieren Sie die Reaktion auf Nachrichten, die das Wort Vertraulich enthalten.
a
Klicken Sie auf Reaktion.
b
Legen Sie für Computer, die mit dem Unternehmensnetzwerk verbunden und davon getrennt
sind, in DLP Endpoint die Aktion auf Blockieren fest.
c
Wählen Sie in DLP Prevent die Option Header-X-RCIS-Aktion hinzufügen aus, und klicken Sie dann auf den
Wert Blockieren.
Speichern Sie die Richtlinie, und wenden Sie sie anschließend an.
Anwendungsbeispiel: Senden von persönlichen Finanzdaten für
eine bestimmte Benutzergruppe zulassen
Sie können zulassen, dass die Benutzer der Benutzergruppe "Personalabteilung" Nachrichten senden
dürfen, die persönliche Finanzdaten enthalten, wenn diese Informationen aus Ihrem Active Directory
stammen.
Bevor Sie beginnen
Registrieren Sie einen Active Directory-Server bei McAfee ePO. Fügen Sie mithilfe der
Funktion Registrierte Server in McAfee ePO die Angaben zum Server hinzu. Weitere
Informationen zum Registrieren von Servern finden Sie im Produkthandbuch für McAfee
ePolicy Orchestrator.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
179
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Führen Sie die folgenden allgemeinen Schritte aus:
1
(Optional nur für McAfee DLP Prevent) Wählen Sie einen LDAP-Server aus, von dem die
Benutzergruppe abgerufen werden soll.
2
Erstellen Sie eine Klassifizierung für persönliche Finanzdaten.
3
Erstellen Sie einen Regelsatz und eine Regel, die für die neue Klassifizierung gilt.
4
Erstellen Sie eine Ausnahme von der Regel für die Benutzergruppe "Personalabteilung".
5
Blockieren Sie Nachrichten, die persönliche Finanzdaten enthalten.
6
Wenden Sie die Richtlinie an.
Bewährte Methode: Verwenden Sie beim Erstellen Ihrer Regeln die Einstellung Keine Aktion, damit Ihre
Regeln potenzielle Datenleckvorfälle mit möglichst wenigen False-Positive-Ergebnissen erkennen.
Überprüfen Sie im DLP-Vorfallsmanager, ob die Vorfälle von der Regel ordnungsgemäß identifiziert werden,
und ändern Sie die Aktion dann in Blockieren.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
a
Öffnen Sie in McAfee ePO den Richtlinienkatalog.
b
Wählen Sie die McAfee DLP Prevent-Server-Richtlinie aus.
c
Öffnen Sie die Kategorie Benutzer und Gruppen und dann die Richtlinie, die Sie bearbeiten möchten.
d
Wählen Sie die gewünschten Active Directory-Server aus.
e
Klicken Sie auf Speichern.
2
Wählen Sie im McAfee ePO-Menü die Option Klassifizierung aus, und duplizieren Sie die
PCI-Klassifizierung.
3
Erstellen Sie den Regelsatz und die zugehörigen Ausnahmen.
4
180
Wählen Sie den LDAP-Server aus, von dem die Benutzergruppe abgerufen werden soll.
a
Öffnen Sie den DLP-Richtlinien-Manager.
b
Erstellen Sie in Regelsätze einen Regelsatz mit dem Namen PCI blockieren für DLP Prevent
und Endpoint.
c
Öffnen Sie den erstellten Regelsatz, wählen Sie Aktion | Neue Regel | E-Mail-Schutz aus, und geben
Sie einen Namen für die Regel ein.
d
Wählen Sie unter Erzwingen in die Optionen DLP Endpoint for Windows und DLP Prevent aus.
e
Wählen Sie für Klassifizierung die von Ihnen erstellte Klassifizierung aus.
f
Übernehmen Sie für Absender, E-Mail-Umschlag und Empfänger die Standardeinstellungen.
Geben Sie die Benutzergruppe an, die Sie von der Regel ausschließen möchten.
a
Wählen Sie Ausnahmen, klicken Sie auf Aktionen | Regelausnahme hinzufügen, und geben Sie den Namen
Regelausnahme für Benutzergruppe Personalabteilung ein.
b
Setzen Sie den Status auf Aktiviert.
c
Wählen Sie für Klassifizierung die Option enthält beliebige Daten (ALLE) aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
5
d
Wählen Sie für Absender die Option gehört zu einer der Endbenutzergruppen (ODER) aus.
e
Wählen Sie die Option Neues Element aus, und erstellen Sie eine Endbenutzergruppe mit dem
Namen Personalabteilung.
f
Klicken Sie auf Gruppen hinzufügen, wählen Sie die Gruppe aus, und klicken Sie auf OK.
7
Legen Sie die Aktion fest, die durchgeführt werden soll, wenn die Regel ausgelöst wird.
a
Wählen Sie die von Ihnen erstellte Gruppe aus, und klicken Sie auf OK.
b
Wählen Sie die Registerkarte Reaktion aus.
c
Legen Sie im Abschnitt DLP Endpoint als Aktion die Option Blockieren fest.
Wenn DLP Endpoint ausgewählt ist, müssen Sie eine Reaktion festlegen.
d
Legen Sie im Abschnitt DLP Prevent den Header-Wert für die X-RCIS-Aktion auf Blockieren fest.
Wenn Sie die Regel testen möchten, können Sie für Aktion zunächst die Option Keine Aktion
belassen, bis Sie sich überzeugt haben, dass die Regel wie gewünscht ausgelöst wird.
6
e
Wählen Sie Vorfall melden aus.
f
Speichern Sie die Regel, und klicken Sie auf Schließen.
Wenden Sie die Regel an.
a
Wählen Sie im DLP-Richtlinien-Manager die Option Richtlinienzuweisung aus.
Unter Ausstehende Änderungen wird Ja angezeigt.
b
Wählen Sie Aktionen | Regelsätze einer Richtlinie zuweisen aus.
c
Wählen Sie den von Ihnen erstellten Regelsatz aus.
d
Wählen Sie Aktionen | Ausgewählte Richtlinien anwenden aus.
e
Klicken Sie auf Richtlinie anwenden.
Unter Ausstehende Änderungen wird Nein angezeigt.
Anwendungsbeispiel: Anhänge gemäß ihrem Ziel als
WEITERGABE-ERFORDERLICH klassifizieren
Erstellen Sie Klassifizierungen, die das Senden von als WEITERGABE-ERFORDERLICH klassifizierten
Anhängen an Mitarbeiter in den USA, Deutschland und Israel ermöglichen.
Bevor Sie beginnen
1
Fügen Sie mithilfe der Funktion Registrierte Server in McAfee ePO die Angaben zum
LDAP-Server hinzu. Weitere Informationen zum Registrieren von Servern finden Sie im
Produkthandbuch für McAfee ePolicy Orchestrator.
2
Verwenden Sie die Funktion für die LDAP-Einstellungen in der Richtlinienkategorie Benutzer
und Gruppen, um die Gruppeninformationen mithilfe von Push an die McAfee DLP
Prevent-Appliance zu übertragen.
Führen Sie die folgenden allgemeinen Schritte aus:
•
Erstellen Sie die Klassifizierung "WEITERGABE-ERFORDERLICH".
•
Erstellen Sie die Klassifizierung "USA".
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
181
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
•
Erstellen Sie die Klassifizierung "Israel".
•
Erstellen Sie E-Mail-Adresslistendefinitionen.
•
Erstellen Sie einen Regelsatz und eine Regel, die Anhänge als WEITERGABE-ERFORDERLICH
klassifiziert.
•
Legen Sie Ausnahmen für die Regel fest.
Die Beispielklassifizierungen in der Tabelle zeigen, wie sich die Klassifizierungen bei unterschiedlichen
Klassifizierungsauslösern und Empfängern jeweils verhalten.
Tabelle 7-11 Erwartetes Verhalten
Klassifizierung
Empfänger
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
[email protected] Zulassen – Für beispiel1.com
wird der Empfang aller als
WEITERGABE-ERFORDERLICH
eingestuften Anhänge
zugelassen.
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Erwartetes Ergebnis
[email protected] Zulassen – Für beispiel2.com
wird der Empfang aller als
WEITERGABE-ERFORDERLICH
eingestuften Anhänge
zugelassen.
[email protected] Zulassen – Für beispiel1.com
[email protected] und beispiel2.com wird der
Empfang beider Anhänge
zugelassen.
[email protected]
Zulassen – Für gov.il wird der
Empfang beider Anhänge
zugelassen.
[email protected]
Blockieren – Für
beispielbenutzer4 wird der
Empfang von Anhang2 nicht
zugelassen.
[email protected]
Blockieren – Für
beispielbenutzer4 wird der
Empfang von Anhang2 nicht
zugelassen.
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
182
McAfee Data Loss Prevention 10.0.100
[email protected]
Produkthandbuch
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
Tabelle 7-11 Erwartetes Verhalten (Fortsetzung)
Klassifizierung
Empfänger
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
[email protected] Blockieren – Für
beispielbenutzer4 wird der
[email protected]
Empfang von Anhang2 nicht
zugelassen.
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Anhang1:
WEITERGABE-ERFORDERLICH,
Israel (.il) und USA (.us)
Anhang2:
WEITERGABE-ERFORDERLICH,
Israel (.il) und Deutschland (.de)
Erwartetes Ergebnis
[email protected]
Zulassen – Für
[email protected] beispielbenutzer1 und
beispielbenutzer3 wird der
Empfang beider Anhänge
zugelassen.
[email protected] Blockieren – Für
[email protected] beispielbenutzer4 wird der
Empfang von Anhang2 nicht
[email protected]
zugelassen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
2
Erstellen Sie eine E-Mail-Adresslistendefinition für die von der Regel ausgenommenen Domänen.
a
Wählen Sie in McAfee ePO im Abschnitt Datenschutz die Option DLP-Richtlinien-Manager aus, und
klicken Sie auf Definitionen.
b
Wählen Sie die Definition E-Mail-Adressliste aus, und duplizieren Sie die vorgefertigte Definition My
organization email domain (E-Mail-Domäne meines Unternehmens).
c
Wählen Sie die von Ihnen erstellte E-Mail-Adresslistendefinition aus, und klicken Sie dann auf
Bearbeiten.
d
Wählen Sie unter Operator die Option Domänenname ist aus, und legen Sie als Wert "beispiel1.com"
fest.
e
Erstellen Sie einen Eintrag für beispiel2.com.
f
Klicken Sie auf Speichern.
g
Wiederholen Sie diese Schritte zum Erstellen einer Definition für "gov.il".
h
Führen Sie die Schritte erneut durch, um eine Definition für "gov.us" zu erstellen.
Erstellen Sie einen Regelsatz mit einer E-Mail-Schutzregel.
a
Klicken Sie auf Regelsätze, und wählen Sie dann Aktionen | Neuer Regelsatz aus.
b
Nennen Sie den Regelsatz WEITERGABE-ERFORDERLICH-E-Mails nach Israel und USA
zulassen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
183
7
Schützen vertraulicher Inhalte
Anwendungsbeispiele für Regeln
3
4
Erstellen Sie eine Regel, und fügen Sie das Klassifizierungskriterium WEITERGABE-ERFORDERLICH
hinzu.
a
Klicken Sie auf Aktionen | Neue Regel | E-Mail-Schutzregel.
b
Nennen Sie die Regel WEITERGABE-ERFORDERLICH, aktivieren Sie sie, und legen Sie die
Erzwingung in DLP Endpoint for Windows und DLP Prevent fest.
c
Legen Sie für Klassifizierung die Option einer der Anhänge (*) fest.
d
Wählen Sie enthält eines von (ODER) und dann das Klassifizierungskriterium WEITERGABE-ERFORDERLICH
aus.
e
Wählen Sie für den Empfänger die Option beliebiger Empfänger (ALLE) aus.
f
Übernehmen Sie für die anderen Einstellungen auf der Registerkarte Bedingung die
Standardeinstellungen.
Fügen Sie der Regel Ausnahmen hinzu, und aktivieren Sie diese jeweils.
•
•
•
5
184
Ausnahme 1
1
Legen Sie für Klassifizierung die Option übereinstimmender Anhang fest.
2
Wählen Sie enthält eines von (ODER) und dann das Klassifizierungskriterium
WEITERGABE-ERFORDERLICH aus.
3
Legen Sie für den Empfänger die Option mindestens ein Empfänger gehört zu einer der Gruppen (ODER) fest,
und wählen Sie dann die von Ihnen erstellte E-Mail-Adressdefinition aus, die "beispiel.com"
und "beispiel2.com" enthält.
Ausnahme 2
1
Legen Sie für Klassifizierung die Option übereinstimmender Anhang fest.
2
Wählen Sie enthält alle folgenden (UND) und dann die Klassifizierungskriterien
WEITERGABE-ERFORDERLICH und .il (Israel) aus.
3
Legen Sie für den Empfänger die Option übereinstimmender Empfänger gehört zu einer der Gruppen (ODER)
fest, und wählen Sie gov.il aus.
Ausnahme 3
1
Legen Sie für Klassifizierung die Option übereinstimmender Anhang fest.
2
Wählen Sie enthält alle folgenden (UND) und dann die Klassifizierungskriterien
WEITERGABE-ERFORDERLICH und .us (USA) aus.
3
Legen Sie für den Empfänger die Option übereinstimmender Empfänger gehört zu einer der Gruppen (ODER)
fest, und wählen Sie gov.us aus.
Legen Sie die Reaktion fest, die bei Auslösung der Regel ausgeführt werden soll.
a
Legen Sie in DLP Endpoint als Aktion die Option Blockieren fest.
b
Legen Sie in DLP Prevent die Aktion auf Header-X-RCIS-Aktion hinzufügen fest, und wählen Sie dann den
Wert BLOCKIEREN aus.
6
Klicken Sie auf Speichern.
7
Wenden Sie die Richtlinie an.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
8
Scannen von Daten mit McAfee DLP
Endpoint-Erkennung
Die Erkennung erfolgt durch Crawling (automatisiertes systematisches Durchsuchen) der
Endgerät-Computer. Dabei werden das lokale Dateisystem und die E-Mail-Speicherdateien durchsucht
und die entsprechenden Regeln zum Schutz vertraulicher Inhalte angewendet.
Inhalt
Schützen von Dateien mithilfe von Erkennungsregeln
Funktionsweise des Erkennungs-Scans
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Schützen von Dateien mithilfe von Erkennungsregeln
Erkennungsregeln definieren, nach welchen Inhalten McAfee DLP beim Scannen von Repositorys sucht,
und geben an, welche Aktionen bei einer Übereinstimmung durchgeführt werden sollen.
Erkennungsregeln können für die McAfee DLP Discover- oder die McAfee DLP Endpoint-Erkennung
definiert werden.
Je nach Regeltyp können bei einem Scan erkannte Dateien mit Übereinstimmungen kopiert,
verschoben, klassifiziert, verschlüsselt, isoliert oder mit einem Inhaltsfingerabdruck versehen werden
bzw. es kann eine Rechteverwaltungsrichtlinie auf diese Dateien angewendet werden. Alle
Bedingungen von Erkennungsregeln beinhalten eine Klassifizierung.
Wenn Sie Erkennungsregeln für die E-Mail-Speicherung mit der vorbeugenden Aktion Isolieren
verwenden, muss das Outlook-Add-In aktiviert sein (Richtlinienkatalog | Data Loss Prevention 10 |
Client-Konfiguration | Betriebsmodus und Module). Wenn das Outlook-Add-In deaktiviert ist, können Sie
keine E-Mails aus der Quarantäne freigeben.
Tabelle 8-1 Verfügbare Erkennungsregeln
Regeltyp
Produkt
Herkunft der zu kontrollierenden erkannten
Dateien
Lokales Dateisystem
McAfee DLP Endpoint Scans des lokalen Dateisystems.
Lokale E-Mail (OST, PST)
McAfee DLP Endpoint Scans des E-Mail-Speichersystems.
Datei-Server-Schutz (CIFS) McAfee DLP Discover Scans des Datei-Servers.
SharePoint-Schutz
McAfee DLP Discover Scans des SharePoint-Servers.
Für McAfee DLP Discover-Regeln ist zudem ein Repository erforderlich. Informationen zum Konfigurieren
von Regeln und Scans finden Sie im Kapitel Scannen von Daten mit McAfee DLP Discover.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
185
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Funktionsweise des Erkennungs-Scans
Durch Endbenutzer gestartete Scans
Wenn diese Option in der DLP-Richtlinien-Konfiguration für den Scan des lokalen Dateisystems
aktiviert ist, können Endbenutzer aktivierte Scans ausführen und Selbsthilfeaktionen anzeigen. Jeder
Scan wird unabhängig von den Aktionen des Benutzers gemäß dem zugewiesenen Zeitplan ausgeführt.
Wenn die Option für Benutzerinteraktion aktiviert ist, können Endbenutzer Scans auch nach Bedarf
ausführen. Wenn die Selbsthilfeoption ausgewählt ist, können Endbenutzer auch
Fehlerbehebungsmaßnahmen durchführen.
Automatische Klassifizierung des lokalen Dateisystems
Wenn die Aktion Datei klassifizieren für Regeln zur Erkennung des lokalen Dateisystems ausgewählt ist,
wendet die Regel die automatische Klassifizierung an und bettet die Klassifizierungs-Tag-ID in das
Dateiformat ein. Die ID wird allen Microsoft Office- und PDF-Dateien sowie Audio-, Video- und
Bilddateiformaten hinzugefügt. Die Klassifizierungs-ID kann von allen McAfee DLP- und
Drittanbieterprodukten erkannt werden.
Beschränkung:
In McAfee DLP, Version 10.0.100, können nur McAfee DLP Discover und McAfee DLP Endpoint for
Windows die eingebettete Klassifizierung automatisch erkennen.
Siehe auch
Komponenten des Moduls Klassifizierung auf Seite 117
Funktionsweise des Erkennungs-Scans
Mit Endgeräterkennungs-Scans können Dateien mit vertraulichem Inhalt im lokalen Dateisystem oder
E-Mail-Speicher gesucht und gekennzeichnet bzw. isoliert werden.
Für die McAfee DLP Endpoint-Erkennung wird Crawling (automatisiertes systematisches Durchsuchen)
auf den Client-Computern durchgeführt. Wenn vordefinierte Inhalte gefunden werden, können die
entsprechenden Dateien überwacht, isoliert, gekennzeichnet oder verschlüsselt werden, oder es kann
eine Richtlinie für Rechteverwaltung auf diese Dateien angewendet werden. Die Endgeräteerkennung
kann Computer-Dateien oder E-Mail-Speicherdateien (PST, zugeordnete PST und OST) scannen.
E-Mail-Speicherdateien werden für jeden Benutzer separat zwischengespeichert.
Zur Verwendung der Endgeräteerkennung müssen Sie auf der Seite Richtlinienkatalog |
Client-Konfiguration | Betriebsmodus und Module die Module für die Erkennung aktivieren.
Nach jedem Erkennungs-Scan sendet der McAfee DLP Endpoint-Client ein
Erkennungsübersichtsereignis an die Konsole DLP-Vorfalls-Manager in McAfee ePO, um die
Scan-Details zu protokollieren. Das Ereignis beinhaltet eine Nachweisdatei, die die Dateien auflistet,
die nicht gescannt werden konnten, sowie die Gründe angibt, aus denen Dateien nicht gescannt
werden konnten. Es gibt auch eine Nachweisdatei mit Dateien, die mit der Klassifizierung und der
ausgeführten Aktion übereinstimmen.
In McAfee DLP Endpoint 9.4.0 war das Übersichtsereignis ein operatives Ereignis. Verwenden Sie zum
Aktualisieren alter Übersichtsereignisse für den DLP-Vorfalls-Manager den McAfee ePO-Server-Task DLP
– Migration von Vorfällen von 9.4 zu 9.4.1.
186
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
8
Wann können Scans durchgeführt werden?
Die Erkennungs-Scans werden auf der Seite Richtlinienkatalog | DLP-Richtlinie | Endgeräterkennung
geplant. Sie können einen Scan täglich zu einer bestimmten Uhrzeit oder an bestimmten Tagen der
Woche oder des Monats ausführen. Sie können Start- und Enddatum angeben oder einen Scan bei der
Erzwingung der McAfee DLP Endpoint-Konfiguration ausführen. Der Scan kann angehalten werden,
wenn die CPU- oder RAM-Auslastung des Computers einen bestimmten Grenzwert überschreitet.
Wenn Sie die Erkennungsrichtlinie während eines laufenden Endgerät-Scans ändern, ändern sich die
Regeln und Planparameter sofort. Änderungen bezüglich der aktivierten bzw. deaktivierten Parameter
werden beim nächsten Scan wirksam. Wenn der Computer während eines laufenden Scans neu
gestartet wird, wird der Scan anschließend an der Stelle fortgesetzt, an der er abgebrochen wurde.
Welche Inhalte können erkannt werden?
Erkennungsregeln werden mit einer Klassifizierung definiert. Zur Erkennung von Inhalten können
beliebige Dateieigenschaften oder Datenbedingungen verwendet werden, die sich den
Klassifizierungskriterien hinzufügen lassen.
Was geschieht mit erkannten Dateien, die vertraulichen Inhalt enthalten?
E-Mail-Dateien können isoliert oder gekennzeichnet werden. Dateien des lokalen Dateisystems können
verschlüsselt, isoliert oder gekennzeichnet werden oder es kann eine Richtlinie für Rechteverwaltung
auf sie angewendet werden. Für beide Dateitypen können Nachweise gespeichert werden.
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Zum Ausführen des Erkennungs-Crawlers sind vier Schritte erforderlich.
1
Erstellen und Definieren von Klassifizierungen, um vertrauliche Inhalte zu identifizieren.
2
Erstellen und Definieren einer Erkennungsregel. Die Klassifizierung ist in der Definition der
Erkennungsregel enthalten.
3
Erstellen einer Plandefinition.
4
Einrichten der Scan-Parameter. Die Scan-Definition enthält den Plan als Parameter.
Aufgaben
•
Erstellen und Definieren einer Erkennungsregel auf Seite 188
Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche
Aktionen für gefundene Inhalte durchgeführt werden sollen.
•
Erstellen einer Planerdefinition auf Seite 188
Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird.
•
Einrichten eines Scans auf Seite 189
Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf
vertrauliche Inhalte (Crawling).
•
Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder E-Mail-Elemente auf Seite
190
Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden,
werden die entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner
verschoben und durch Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre
Dateien oder E-Mails isoliert wurden. Die isolierten Dateien und E-Mail-Elemente werden
außerdem verschlüsselt, um die nicht autorisierte Nutzung zu verhindern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
187
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Erstellen und Definieren einer Erkennungsregel
Erkennungsregeln geben an, nach welchen Inhalten der Crawler suchen soll und welche Aktionen für
gefundene Inhalte durchgeführt werden sollen.
Erkennungsregeln können sich auf Endpunkte (lokale E-Mail, lokales Dateisystem) oder auf das
Netzwerk (Box, CIFS, SharePoint) beziehen.
Änderungen an einer Erkennungsregel werden wirksam, sobald die Richtlinie bereitgestellt wird. Neue
Regeln werden auch bei einem laufenden Scan sofort wirksam.
Bei E-Mail-Speicher-Scans (PST, zugeordnete PST und OST) scannt der Crawler E-Mail-Elemente (Text
und Anhänge), Kalendereinträge und Aufgaben. Öffentliche Ordner und dauerhafte Notizen werden
nicht gescannt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Wählen Sie auf der Seite Regelsätze die Option Aktionen | Neuer Regelsatz aus. Geben Sie einen Namen
ein, und klicken Sie dann auf OK.
Sie können auch vorhandenen Regelsätzen Erkennungsregeln hinzufügen.
3
Wählen Sie auf der Registerkarte Erkennung die Option Aktionen | Neue Endgeräteerkennungsregel und dann
entweder Lokale E-Mail oder Lokales Dateisystem aus.
Daraufhin wird die entsprechende Seite angezeigt.
4
Geben Sie einen Regelnamen ein, und wählen Sie eine Klassifizierung aus.
5
Klicken Sie auf Reaktion. Wählen Sie in der Dropdown-Liste eine Aktion aus.
6
(Optional) Sie können Optionen für Vorfall melden auswählen, den Status auf Aktiviert setzen und in der
Dropdown-Liste einen Schweregrad auswählen.
7
Klicken Sie auf Speichern.
Erstellen einer Planerdefinition
Der Planer bestimmt, wann und wie häufig ein Erkennungs-Scan ausgeführt wird.
Die folgenden fünf Planungstypen sind verfügbar:
•
Sofort ausführen
•
Wöchentlich
•
Einmal
•
Monatlich
•
Täglich
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Klicken Sie im linken Bereich auf Planer.
Wenn McAfee DLP Discover und McAfee DLP Endpoint installiert sind, werden in der Liste der
vorhandenen Pläne die Pläne für beide Anwendungen angezeigt.
188
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
4
Wählen Sie Aktionen | Neu aus.
Daraufhin öffnet sich die Seite Neuer Planer.
5
Geben Sie einen eindeutigen Namen ein, und wählen Sie in der Dropdown-Liste den Planungstyp aus.
Nach der Auswahl des Planungstyps werden die für den jeweiligen Typ erforderlichen Felder
angezeigt.
6
Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Speichern.
Einrichten eines Scans
Erkennungs-Scans durchsuchen das lokale Dateisystem oder Postfächer systematisch auf vertrauliche
Inhalte (Crawling).
Bevor Sie beginnen
Vergewissern Sie sich, dass die Regelsätze, die Sie für die Scans anwenden möchten, für
die DLP-Richtlinie angewendet wurden. Diese Informationen werden auf der Registerkarte
DLP-Richtlinie | Regelsätze angezeigt.
Änderungen an Parametern für Erkennungseinstellungen treten beim nächsten Scan in Kraft. Sie
werden nicht auf bereits laufende Scans angewendet.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Richtlinie | Richtlinienkatalog aus.
2
Wählen Sie Produkt | Data Loss Prevention 10 und anschließend die aktive DLP-Richtlinie aus.
3
Wählen Sie auf der Registerkarte Endgeräteerkennung die Option Aktionen | Neuer Endgeräte-Scan und dann
entweder Lokale E-Mail oder Lokales Dateisystem aus.
4
Geben Sie einen Namen für den Scan ein, und wählen Sie dann einen Plan aus der Dropdown-Liste
aus.
5
Optional: Ändern Sie die Voreinstellungen für Behandlung von Vorfällen und Fehlerbehandlung. Setzen Sie
den Status auf Aktiviert.
Die Fehlerbehandlung bezieht sich auf Situationen, in denen kein Text extrahiert werden kann.
6
(Optional) Aktivieren Sie für Scans des lokalen Dateisystems das Kontrollkästchen im Feld
Benutzerinteraktion, um zuzulassen, dass Benutzer aktivierte Scans vor dem geplanten Termin
ausführen können. Sie können auch zulassen, dass die Benutzer Selbsthilfemaßnahmen in der
McAfee DLP Endpoint-Client-Konsole durchführen können.
7
Führen Sie auf der Registerkarte Ordner eine der folgenden Aktionen aus:
•
Wählen Sie für Dateisystem-Scans die Option Aktionen | Ordner auswählen aus. Wählen Sie eine
definierte Ordnerdefinition aus, oder klicken Sie auf Neues Element, um eine Definition zu erstellen.
Definieren Sie den Ordner als Einschließen oder Ausschließen.
•
Wählen Sie für E-Mail-Scans die zu scannenden Dateitypen (OST, PST) und Postfächer aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
189
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
8
(Optional) Wählen Sie auf der Registerkarte Filter (nur bei Dateisystem-Scans) die Option Aktionen |
Filter auswählen aus. Wählen Sie eine Dateiinformationsdefinition aus, oder klicken Sie auf Neues
Element, um eine Definition zu erstellen. Legen Sie für den Filter Einschließen oder Ausschließen fest.
Klicken Sie auf OK.
Die Standardeinstellung ist Alle Dateien. Durch das Definieren eines Filters wird der Scan effizienter.
9
Überprüfen Sie auf der Registerkarte Regeln die geltenden Regeln.
Es werden alle Erkennungsregeln der Regelsätze ausgeführt, die für die Richtlinie angewendet
werden.
Anwendungsbeispiel: Wiederherstellen isolierter Dateien oder
E-Mail-Elemente
Wenn bei der McAfee DLP Endpoint-Erkennung vertrauliche Inhalte gefunden werden, werden die
entsprechenden Dateien oder E-Mail-Elemente in einen Quarantäne-Ordner verschoben und durch
Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien oder E-Mails isoliert wurden.
Die isolierten Dateien und E-Mail-Elemente werden außerdem verschlüsselt, um die nicht autorisierte
Nutzung zu verhindern.
Bevor Sie beginnen
Um das McAfee DLP-Symbol in Microsoft Outlook anzuzeigen, muss unter Richtlinienkatalog |
Client-Richtlinie | Betriebsmodus und Module die Option Steuerelemente für Freigabe aus Quarantäne in Outlook
anzeigen aktiviert sein. Wenn diese Option deaktiviert ist, sind sowohl das Symbol als auch
die Rechtsklick-Option zum Anzeigen isolierter E-Mails blockiert, und E-Mails können nicht
aus der Quarantäne freigegeben werden.
Wenn Sie eine Dateisystem-Erkennungsregel auf Isolieren gesetzt haben und der Crawler vertrauliche
Inhalte findet, werden die entsprechenden Dateien in einen Quarantäne-Ordner verschoben und durch
Platzhalter ersetzt, die die Benutzer darauf hinweisen, dass ihre Dateien isoliert wurden. Die isolierten
Dateien werden verschlüsselt, um die nicht autorisierte Nutzung zu verhindern.
Bei isolierten E-Mail-Elementen fügt McAfee DLP Endpoint dem Outlook-Betreff ein Präfix hinzu, das
Benutzer darauf hinweist, dass ihre E-Mails isoliert wurden. Sowohl der E-Mail-Text als auch ggf.
vorhandene Anhänge werden isoliert.
Der Mechanismus wurde gegenüber früheren McAfee DLP Endpoint-Versionen geändert, die entweder
den Text oder die Anhänge verschlüsseln konnten, um eine Signaturbeschädigung beim Arbeiten mit
dem E-Mail-Signatursystem zu verhindern.
Microsoft Outlook-Kalenderelemente und Tasks können ebenfalls isoliert werden.
Abbildung 8-1 Beispiel einer isolierten E-Mail
190
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
Vorgehensweise
1
So stellen Sie isolierte Dateien wieder her:
a
Klicken Sie in der Taskleiste des verwalteten Computers auf das Symbol McAfee Agent, und wählen
Sie Funktionen verwalten | DLP Endpoint-Konsole aus.
Daraufhin öffnet sich die DLP Endpoint-Konsole.
b
Wählen Sie auf der Registerkarte Tasks die Option Quarantäne-Ordner öffnen aus.
Daraufhin öffnet sich der Quarantäne-Ordner.
c
Wählen Sie die wiederherzustellenden Dateien aus. Klicken Sie mit der rechten Maustaste, und
wählen Sie Aus Quarantäne freigeben aus.
Das Kontextmenüelement 'Aus Quarantäne freigeben' wird nur angezeigt, wenn Sie Dateien des
Typs '*.dlpenc' (DLP-verschlüsselt) auswählen.
Nun öffnet sich das Pop-Up-Fenster für den Freigabecode.
2
So stellen Sie isolierte E-Mail-Elemente wieder her: Klicken Sie auf das Symbol McAfee DLP, oder
klicken Sie mit der rechten Maustaste, und wählen Sie Aus Quarantäne freigeben aus.
a
Wählen Sie in Microsoft Outlook die E-Mails oder sonstigen Elemente aus, die wiederhergestellt
werden sollen.
b
Klicken Sie auf das Symbol für McAfee DLP.
Daraufhin öffnet sich das Pop-Up-Fenster Freigabecode.
3
Kopieren Sie den Abfrage-ID-Code aus dem Pop-Up-Fenster, und senden Sie ihn an den
DLP-Administrator.
4
Der Administrator erzeugt einen Antwortcode und sendet diesen an den Benutzer. (Dabei wird auch
ein operatives Ereignis erstellt, bei dem alle Details erfasst werden.)
5
Der Benutzer gibt den Freigabecode in das Pop-Up-Fenster Freigabecode ein, und klickt auf OK.
Die entschlüsselten Dateien werden dann am ursprünglichen Speicherort wiederhergestellt. Wenn
die Sperrrichtlinie für den Freigabecode aktiviert ist (Registerkarte Agentenkonfiguration |
Benachrichtigungsdienst) und Sie den Code dreimal falsch eingeben, wird das Pop-Up-Fenster für
30 Minuten gesperrt (Standardeinstellung).
Wenn für Dateien der Pfad geändert oder gelöscht wurde, wird der ursprüngliche Pfad
wiederhergestellt. Sollte sich am Speicherort bereits eine gleichnamige Datei befinden, wird die
Datei als xxx-copy.abc wiederhergestellt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
191
8
Scannen von Daten mit McAfee DLP Endpoint-Erkennung
Suchen von Inhalten mit dem Endgeräterkennungs-Crawler
192
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP
Discover
Sie können McAfee DLP Discover-Scans und -Richtlinien zum Erkennen und Schützen von Dateien
konfigurieren.
Inhalt
Auswählen des Scan-Typs
Wichtige Überlegungen und Einschränkungen in Bezug auf Scans
Repositorys und Anmeldeinformationen für Scans
Verwenden von Definitionen und Klassifizierungen mit Scans
Verwenden von Regeln mit Scans
Konfigurieren der Richtlinie für Scans
Konfigurieren eines Scans
Durchführen von Scan-Vorgängen
Scan-Verhalten
Analysieren von gescannten Daten
Auswählen des Scan-Typs
Der von Ihnen konfigurierte Scan-Typ bestimmt den Umfang der bei einem Scan abgerufenen Daten,
die während des Scans durchgeführten Aktionen und die für den Scan erforderlichen Einstellungen.
•
Inventar-Scans rufen ausschließlich Metadaten ab und legen damit eine Basis für die Konfiguration
von Klassifizierungs- und Behebungs-Scans.
•
Klassifizierungs-Scans rufen Metadaten ab, analysieren Dateien und gleichen diese mit den von
Ihnen definierten Richtlinienklassifizierungen ab.
•
Behebungs-Scans führen die gleiche Analyse wie Klassifizierungs-Scans durch und können Aktionen
für Dateien durchführen, die konfigurierten Regeln entsprechen.
Die zu konfigurierenden Richtlinienkomponenten hängen vom jeweiligen Scan-Typ ab.
Tabelle 9-1 Erforderliche Richtlinienkomponenten
Scan-Typ
Definitionen
Klassifizierungen
Inventar
X
Klassifizierung
X
X
Behebung
X
X
Regeln
X
Die Scan-Ergebnisse werden auf der Registerkarte Datenanalyse angezeigt. Auf der Registerkarte
Dateninventar wird der Dateibestand von Scans angezeigt, für die die Option Dateiliste aktiviert ist.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
193
9
Scannen von Daten mit McAfee DLP Discover
Auswählen des Scan-Typs
Funktionsweise von Inventar-Scans
Inventar-Scans sind die schnellsten Scans, da nur Metadaten abgerufen werden. Daher bildet ein
Inventar-Scan einen guten Ausgangspunkt für die Planung Ihrer Strategie zur Verhinderung von
Datenlecks.
Mithilfe von Inventar-Scans können Sie auch IT-Tasks automatisieren, beispielsweise das Auffinden
von leeren Dateien oder Dateien, die über einen längeren Zeitraum nicht geändert wurden.
Ein Inventar-Scan führt Folgendes durch:
•
Es werden Metadaten erfasst, jedoch keine Dateien heruntergeladen.
•
Es werden OLAP-Zähler (Online Analytical Processing) und ein Dateninventar (Liste der gescannten
Dateien) zurückgegeben.
•
Der Zeitpunkt des letzten Zugriffs auf die gescannten Dateien wird wiederhergestellt.
Alle Scans erfassen Metadaten, wie z. B. Dateityp, Dateigröße, Erstellungsdatum und
Änderungsdatum. Die verfügbaren Metadaten hängen vom jeweiligen Repository-Typ ab. Box-Scans
rufen beispielsweise die Metadaten zur Freigabe und zur Zusammenarbeit sowie den Kontonamen ab.
Die Ergebnisse der Inventar-Scans werden auf den Registerkarten Dateninventar und Datenanalyse
angezeigt.
Funktionsweise von Klassifizierungs-Scans
Sie können Klassifizierungs-Scans auf der Grundlage der Ergebnisse von Inventar-Scans erstellen.
Ein Klassifizierungs-Scan führt Folgendes durch:
•
Es werden die gleichen Metadaten wie bei einem Inventar-Scan erfasst.
•
Der tatsächliche Dateityp wird anhand des Inhalts der Datei und nicht anhand der Erweiterung
analysiert.
•
Es werden Daten zu Dateien erfasst, die der konfigurierten Klassifizierung entsprechen.
•
Der letzte Zugriffszeitpunkt auf die gescannten Dateien wird wiederhergestellt.
Klassifizierungs-Scans sind langsamer als Inventar-Scans, da die Textextrahierung die Dateien aufruft,
durchläuft und auf Übereinstimmungen mit den Definitionen in den Klassifizierungsspezifikationen
analysiert. Klassifizierungen bestehen aus Definitionen, die Stichwörter, Wörterbücher, Textmuster und
Dokumenteigenschaften enthalten können. Anhand dieser Definitionen können vertrauliche Inhalte
identifiziert werden, die möglicherweise einen zusätzlichen Schutz erfordern. Mithilfe der OLAP-Tools
können Sie mehrdimensionale Muster dieser Parameter anzeigen, anhand derer Sie die
Behebungs-Scans optimieren können.
Die Ergebnisse von Klassifizierungs-Scans werden auf den Registerkarten Dateninventar und Datenanalyse
angezeigt.
Erkennen von verschlüsselten Dateien
Klassifizierungs-Scans erkennen Dateien mit folgenden Verschlüsselungstypen:
•
Microsoft Rights Management-Verschlüsselung
•
Seclore Rights Management-Verschlüsselung
•
Nicht unterstützte Verschlüsselungstypen oder Kennwortschutz
•
Nicht verschlüsselt
Beachten Sie beim Scannen von verschlüsselten Dateien Folgendes:
194
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Scannen von Daten mit McAfee DLP Discover
Auswählen des Scan-Typs
•
McAfee DLP Discover kann mit Microsoft RMS verschlüsselte Dateien extrahieren und scannen,
sofern die Anmeldeinformationen in McAfee DLP Discover konfiguriert sind. Anderweitig
verschlüsselte Dateien können nicht extrahiert, gescannt oder auf Übereinstimmung mit
Klassifizierungen geprüft werden.
•
Dateien, die mit Adobe Primetime-DRM und McAfee File and Removable Media Protection (FRP)
verschlüsselt sind, werden als Nicht verschlüsselt erkannt.
•
McAfee DLP Discover unterstützt Optionen für Klassifizierungskriterien für Microsoft Rights
Management-Verschlüsselung sowie für Nicht verschlüsselt.
9
®
Funktionsweise von Behebungs-Scans
Sie können Behebungs-Scans auf der Grundlage der Ergebnisse von Inventar- und
Klassifizierungs-Scans erstellen.
Bei Behebungs-Scans werden Regeln angewendet, um vertrauliche Inhalte im gescannten Repository
zu schützen. Wenn eine Datei der Klassifizierung in einem Behebungs-Scan entspricht, kann McAfee
DLP Discover die folgenden Aktionen ausführen:
•
Einen Vorfall generieren
•
Die ursprüngliche Datei auf der Nachweisfreigabe speichern
•
Die Datei kopieren
•
Verschieben der Datei
Box- und SharePoint-Scans unterstützen das Verschieben von Dateien ausschließlich auf
CIFS-Freigaben.
•
Eine Richtlinie für Rechteverwaltung auf die Datei anwenden
•
(Nur Box-Scans) Anonyme Freigabe so bearbeiten, dass Anmeldung erforderlich ist
McAfee DLP Discover kann es nicht verhindern, dass Box-Benutzer die externe Freigabe ihrer
Dateien wieder aktivieren.
•
Keine Aktion durchführen
Das Verschieben von Dateien und das Anwenden von Richtlinien für Rechteverwaltung werden für
SharePoint-Listen nicht unterstützt. Diese Aktionen werden nur für Dateien unterstützt, die an
SharePoint-Listen angehängt oder in Dokumentenbibliotheken gespeichert sind. Einige der zur
Erstellung von SharePoint-Seiten verwendeten Dateitypen, beispielsweise ".aspx" oder ".js", können
nicht verschoben oder gelöscht werden.
Ein Behebungs-Scan führt zudem die gleichen Tasks wie Inventar- und Klassifizierungs-Scans aus. Bei
Behebungs-Scans werden Klassifizierungen und Regeln benötigt, um die Aktion zu bestimmen, die für
gefundene Dateien ausgeführt werden soll.
Die Ergebnisse von Behebungs-Scans werden auf den Registerkarten Dateninventar und Datenanalyse
angezeigt. Behebungs-Scans können außerdem Vorfälle generieren, die in der Ereignisverwaltung
angezeigt werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
195
9
Scannen von Daten mit McAfee DLP Discover
Wichtige Überlegungen und Einschränkungen in Bezug auf Scans
Wichtige Überlegungen und Einschränkungen in Bezug auf
Scans
Beim Planen und Konfigurieren von Scans sollten Sie die folgenden Punkte berücksichtigen.
Verzeichnisausschluss
Sie sollten die McAfee DLP Discover-Verzeichnisse und -Prozesse der folgenden Anwendungen
ausschließen, um Leistungsbeeinträchtigungen zu vermeiden:
•
Antiviren-Software, z. B. McAfee VirusScan Enterprise
•
McAfee Host Intrusion Prevention und sonstige McAfee-Software
•
Firewalls
•
Zugriffsschutz-Software
•
On-Access-Scans
®
®
®
Tabelle 9-2 Auszuschließende McAfee DLP Discover-Elemente
Typ
Ausschließen
Prozesse
• dscrawler.exe
• dssvc.exe
• dstex.exe
• dsrms.exe
• dseng.exe
• dsmbroker.exe
• dsreport.exe
Verzeichnisse
• c:\programdata\mcafee\discoverserver
• c:\program files\mcafee\discoverserver
Registrierungsschlüssel • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee
\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DiscoverServer
• HKEY_LOCAL_MACHINE\SOFTWARE\ODBC.INI\McAfeeDSPostgres
Repository-Definitionen
Für das Konfigurieren von Repository-Speicherorten in McAfee ePO gelten folgende Einschränkungen.
•
IP-Adressbereiche werden nur für Adressen der Klasse C unterstützt.
•
IP-Adressbereiche dürfen keine Adressen umfassen, die auf 0 oder 255 enden.
Sie können einzelne IP-Adressen definieren, die auf 0 oder 255 enden.
•
IPv6 wird nicht unterstützt.
SharePoint-Scans
Bei SharePoint-Scans wird für Systemkataloge, verborgene Listen und mit NoCrawl gekennzeichnete
Listen kein Crawling durchgeführt. Da SharePoint-Listen umfassend angepasst werden können, sind
möglicherweise weitere Listen vorhanden, die nicht gescannt werden.
196
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Scannen von Daten mit McAfee DLP Discover
Repositorys und Anmeldeinformationen für Scans
9
Für die meisten in SharePoint 2010 bzw. 2013 vordefinierten Listen ist Crawling möglich, u. a. für
folgende Listen:
•
Ankündigungen
•
Problemverfolgungen
•
Kontakte
•
Hyperlinks
•
Diskussionsrunden
•
Besprechungen
•
Ereignisse
•
Aufgaben
•
Allgemeine Liste
Die in einer Liste enthaltenen einzelnen Elemente werden zu einer XML-Struktur zusammengefasst, die
dann als eine einzige XML-Datei gescannt wird. An Listenelemente angehängte Dateien werden in
ihrem jeweiligen Zustand gescannt.
Box-Scans
Es ist nicht möglich, ein bestimmtes Box-Repository für mehrere Erkennungs-Server zu konfigurieren.
Die verfügbaren Scan-Optionen hängen vom verwendeten Konto ab. Wenn Sie andere Konten scannen
lassen möchten, wenden Sie sich an den Box-Support, um die Funktion "As-User" aktivieren zu lassen.
•
Mit dem Administratorkonto können alle Konten gescannt werden.
•
Mit einem Co-Administratorkonto können das eigene Konto und Benutzerkonten gescannt werden.
•
Mit einem Benutzerkonto kann nur das eigene Konto gescannt werden.
Festlegen der Bandbreite für einen Scan
Umfassende Scans können eine erhebliche Bandbreite belegen, insbesondere in Netzwerken mit
geringer Übertragungskapazität. Standardmäßig wird die Bandbreite von McAfee DLP Discover
während des Scannens nicht beschränkt.
Wenn die Bandbreitenbeschränkung aktiviert ist, wird sie von McAfee DLP Discover auf einzelne
abgerufene Dateien und nicht generell während des gesamten Scans angewendet. Bei einem Scan
kann das konfigurierte Beschränkungslimit unterschritten bzw. überschritten werden. Der für den
gesamten Scan gemessene Durchschnittsdurchsatz liegt jedoch sehr nah am konfigurierten Limit. Der
Standardwert für die Beschränkung beträgt 2000 kbit/s (sofern aktiviert).
Repositorys und Anmeldeinformationen für Scans
McAfee DLP Discover unterstützt Box-, CIFS- und SharePoint-Repositorys.
CIFS- und SharePoint-Repositorys
Beim Definieren eines CIFS-Repositorys kann der UNC-Pfad der vollständig qualifizierte Domänenname
(FQDN) (\\meinserver1.meinedomaene.com) oder der Name des lokalen Computers (\\meinserver1)
sein. Sie können einer Definition beide Konventionen hinzufügen.
Beim Definieren eines SharePoint-Repositorys ist der Host-Name die Server-URL, sofern auf dem
Server keine alternative Zugriffszuordnung konfiguriert ist. Informationen zur alternativen
Zugriffszuordnung finden Sie in der SharePoint-Dokumentation von Microsoft.
Eine Definition von Anmeldeinformationen bezieht sich auf eine bestimmte CIFS- oder
SharePoint-Repository-Definition. Wenn der Benutzer in einer Definition von Anmeldeinformationen ein
Domänenbenutzer ist, müssen Sie im Feld Domänenname den vollqualifizierten Domänennamen (FQDN)
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
197
9
Scannen von Daten mit McAfee DLP Discover
Verwenden von Definitionen und Klassifizierungen mit Scans
angeben. Wenn es sich bei dem Benutzer um einen Arbeitsgruppenbenutzer handelt, geben Sie den
Namen des lokalen Computers an. Wenn die Repository-Definition nur eine UNC-Version (z. B. den
FQDN) enthält, müssen Sie in der Definition der Anmeldeinformationen ebenfalls diese Version
verwenden.
Bei Active Directory-Domänen-Repositorys können Sie mit der Option Anmeldeinformationen testen den
Benutzernamen und das Kennwort überprüfen. Bei der Verwendung falscher Anmeldeinformationen
wird ein Ereignis erzeugt, das den Grund für das Fehlschlagen des Scans angibt. Genauere
Informationen zum Ereignis können Sie auf der Seite Liste der operativen Ereignisse anzeigen lassen.
Box-Repositorys
Rufen Sie beim Definieren eines Box-Repositorys die Client-ID und den geheimen Client-Schlüssel von
der Box-Website ab. Konfigurieren Sie mithilfe der Box-Website die McAfee DLP Discover-Anwendung
sowie die Unternehmensverwaltungs- und Benutzerfunktionen. Wenn Sie kein Administratorkonto
verwenden, wenden Sie sich an den Box-Support, um weitere Informationen zum Konfigurieren dieser
Funktionen zu erfragen.
Verwenden von Definitionen und Klassifizierungen mit Scans
Mithilfe von Definitionen und Klassifizierungen können Sie Regeln, Klassifizierungskriterien und Scans
konfigurieren. Definitionen sind für alle Scan-Typen erforderlich.
Es gibt zwei Arten von Definitionen, die für McAfee DLP Discover verwendet werden.
•
In Scans verwendete Definitionen geben Zeitpläne, Repositorys und Anmeldeinformationen für
Repositorys an.
•
In Klassifizierungen verwendete Definitionen geben an, welche Übereinstimmungen beim Crawling
(automatisiertes systematisches Durchsuchen) der Dateien gesucht werden sollen, z. B. die
Dateieigenschaften oder die Daten in einer Datei.
Tabelle 9-3 Verfügbare Definitionen nach Funktion
Definition
Verwendungszweck
Erweitertes Muster*
Klassifizierungen
Wörterbuch*
Dokumenteigenschaften
Tatsächlicher Dateityp*
Dateierweiterung*
Klassifizierungen und Scans
Dateiinformationen
Anmeldeinformationen
Scans
Planer
Box
Datei-Server (CIFS)
SharePoint
* Gibt an, dass vordefinierte (integrierte) Definitionen verfügbar sind.
Klassifizierungs- und Behebungs-Scans identifizieren vertrauliche Dateien und Daten anhand von
Klassifizierungen.
198
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Verwenden von Regeln mit Scans
Klassifizierungen verwenden mindestens eine Definition zum Abgleich von Dateieigenschaften und
Inhalten in einer Datei. Mit Klassifizierungs-Scans können Sie Datenmuster in Dateien analysieren.
Optimieren Sie auf der Grundlage der Ergebnisse von Klassifizierungs-Scans Ihre Klassifizierungen, die
Sie dann für Behebungs-Scans nutzen können.
Registrierte Dokumente und Inhalts-Fingerprinting-Kriterien werden in McAfee DLP Discover nicht
verwendet. Klassifizierungs- und Behebungs-Scans können manuell klassifizierte Dateien erkennen,
McAfee DLP Discover kann jedoch keine manuellen Klassifizierungen auf Dateien anwenden.
McAfee DLP Discover kann von McAfee DLP Endpoint festgelegte automatische Klassifizierungen für
Dateien erkennen und identifizieren. Sie können automatische Klassifizierungen in den Details zu
einem Vorfall oder auf der Registerkarte Dateninventar anzeigen.
Siehe auch
Verwenden von Klassifizierungen auf Seite 118
Klassifizierungsdefinitionen und -kriterien auf Seite 123
Verwenden von Regeln mit Scans
In Behebungs-Scans werden mithilfe von Regeln vertrauliche Dateien erkannt und entsprechende
Aktionen durchgeführt.
Beim Crawling (automatisiertes systematisches Durchsuchen) von Dateien durch einen
Behebungs-Scan werden die Dateien mit den aktiven Erkennungsregeln abgeglichen. Wenn die Datei
dem in einer Regel definierten Repository und den in einer Regel definierten Klassifizierungen
entspricht, kann McAfee DLP Discover Aktionen für die Datei ausführen. Folgende Optionen sind
verfügbar:
•
Keine Aktion durchführen
•
Einen Vorfall erstellen
•
Die ursprüngliche Datei als Nachweis speichern
•
Die Datei kopieren
•
Die Datei verschieben
•
Eine Richtlinie für Rechteverwaltung auf die Datei anwenden
•
(Nur Box-Scans) Anonyme Freigabe für die Datei aufheben
Das Verschieben von Dateien und das Anwenden von Richtlinien für Rechteverwaltung werden für
SharePoint-Listen nicht unterstützt. Diese Aktionen werden nur für Dateien unterstützt, die an
SharePoint-Listen angehängt oder in Dokumentenbibliotheken gespeichert sind. Einige der zur
Erstellung von SharePoint-Seiten verwendeten Dateitypen, beispielsweise ".aspx" oder ".js", können
nicht verschoben oder gelöscht werden.
Box-Scans unterstützen das Verschieben von Dateien ausschließlich auf CIFS-Freigaben.
Siehe auch
Regelsätze auf Seite 147
Regeln auf Seite 150
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
199
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
Konfigurieren der Richtlinie für Scans
Erstellen Sie vor der Einrichtung eines Scans Definitionen, Klassifizierungen und Regeln für Ihre
McAfee DLP Discover-Richtlinie.
Aufgaben
•
Erstellen von Definitionen für Scans auf Seite 200
Konfigurieren Sie die für Scans verwendeten Anmeldeinformationen, Repositorys und
Planer.
•
Erstellen von Regeln für Behebungs-Scans auf Seite 205
Mit Regeln legen Sie die Aktion fest, die ausgeführt werden soll, wenn ein Behebungs-Scan
Dateien erkennt, die Klassifizierungen entsprechen.
Siehe auch
Erstellen und Konfigurieren von Klassifizierungen auf Seite 133
Erstellen von Klassifizierungsdefinitionen auf Seite 139
Erstellen von Definitionen für Scans
Konfigurieren Sie die für Scans verwendeten Anmeldeinformationen, Repositorys und Planer.
Aufgaben
•
Erstellen von Scan-Definitionen auf Seite 200
Für alle Scans ist eine Definition zur Angabe des Repositorys, der Anmeldeinformationen
und des Zeitplans erforderlich.
•
Erstellen einer Definition für Anmeldeinformationen auf Seite 201
Für das Lesen und Ändern von Dateien sind in den meisten Repositorys
Anmeldeinformationen erforderlich. Wenn für mehrere Repositorys die gleichen
Anmeldeinformationen gelten, können Sie für diese Repositorys dieselbe Definition für
Anmeldeinformationen verwenden.
•
Erstellen einer CIFS- oder SharePoint-Repository-Definition auf Seite 202
Sie können ein CIFS- oder SharePoint-Repository zum Scannen konfigurieren.
•
Erstellen einer Box-Repository-Definition auf Seite 203
Sie können ein Box-Repository zum Scannen konfigurieren.
•
Exportieren und Importieren von Repository-Definitionen auf Seite 204
Wenn Sie über eine hohe Anzahl an Repositorys verfügen, kann es einfacher sein, sie als
XML-Datei zu verwalten, sodass die Repositorys nicht einzeln zu McAfee ePO hinzugefügt
und bearbeitet werden müssen.
•
Erstellen einer Planerdefinition auf Seite 205
Der Scan-Planer bestimmt, wann und wie häufig ein Scan ausgeführt wird.
Erstellen von Scan-Definitionen
Für alle Scans ist eine Definition zur Angabe des Repositorys, der Anmeldeinformationen und des
Zeitplans erforderlich.
Bevor Sie beginnen
Sie müssen über den Benutzernamen, das Kennwort und den Pfad für das Repository
verfügen.
200
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Erstellen Sie eine Definition für Anmeldeinformationen.
Für Behebungs-Scans müssen die Anmeldeinformationen Lese- und Schreibberechtigungen
beinhalten. Für Behebungs-Scans, die eine Richtlinie für Rechteverwaltung anwenden oder Dateien
verschieben, sind Berechtigungen mit Vollzugriff erforderlich.
4
a
Wählen Sie im linken Fensterbereich Andere | Anmeldeinformationen aus.
b
Wählen Sie Aktionen | Neu aus, und ersetzen Sie den Standardnamen durch einen eindeutigen
Namen für die Definition.
c
Geben Sie die Parameter für die Anmeldeinformationen ein. Klicken Sie auf Speichern.
Erstellen Sie eine Repository-Definition.
a
Wählen Sie im linken Fensterbereich unter Repositorys den Typ des neuen Repositorys aus, das
Sie erstellen möchten.
b
Wählen Sie Aktionen | Neu aus, geben Sie im Feld Name einen eindeutigen Repository-Namen ein,
und geben Sie unter Typ und Definitionen die weiteren Informationen ein.
Die Parameter unter Ausschließen sind optional. Es ist jedoch mindestens eine Definition unter
Einschließen erforderlich.
5
Erstellen Sie eine Planerdefinition.
a
Wählen Sie im linken Fensterbereich Andere | DLP-Planer aus.
b
Wählen Sie Aktionen | Neu aus, und geben Sie die Planerparameter ein. Klicken Sie auf Speichern.
Die verfügbaren Parameteroptionen hängen vom ausgewählten Planungstyp ab.
6
Erstellen Sie eine Definition für Dateiinformationen.
Mithilfe von Definitionen für Dateiinformationen können Sie Scan-Filter definieren. Mit diesen Filtern
können Sie Repositorys differenzierter scannen, indem Sie ein- und auszuschließende Dateien
angeben. Definitionen für Dateiinformationen sind nicht erforderlich, werden aber empfohlen.
a
Wählen Sie im linken Fensterbereich Daten | Dateiinformationen aus.
b
Wählen Sie Aktionen | Neu aus, und ersetzen Sie den Standardnamen durch einen eindeutigen
Namen für die Definition.
c
Wählen Sie Eigenschaften zur Verwendung als Filter aus, und geben Sie Werte für Vergleich und
Wert ein. Klicken Sie auf Speichern.
Erstellen einer Definition für Anmeldeinformationen
Für das Lesen und Ändern von Dateien sind in den meisten Repositorys Anmeldeinformationen
erforderlich. Wenn für mehrere Repositorys die gleichen Anmeldeinformationen gelten, können Sie für
diese Repositorys dieselbe Definition für Anmeldeinformationen verwenden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
201
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie im linken Fensterbereich Anmeldeinformationen aus.
4
Wählen Sie Aktionen | Neu aus.
5
Geben Sie einen eindeutigen Namen für die Definition ein. Die Felder Beschreibung und Domänenname
sind optional. Alle anderen Felder sind Pflichtfelder.
Wenn es sich bei dem Benutzer um einen Domänenbenutzer handelt, geben Sie im Feld
Domänenname das Domänen-Suffix an. Handelt es sich hingegen um einen Arbeitsgruppenbenutzer,
müssen Sie den Namen des lokalen Computers angeben.
Verwenden Sie für das Crawling aller Website-Sammlungen in einer SharePoint-Web-Anwendung
Anmeldeinformationen mit vollem Lesezugriff auf die gesamte Web-Anwendung.
6
Klicken Sie bei Windows-Domänen-Repositorys auf Anmeldeinformationen testen, um den Benutzernamen
und das Kennwort aus McAfee ePO zu überprüfen.
Dabei werden die Anmeldeinformationen des Erkennungs-Servers nicht überprüft.
Für Anmeldeinformationen, die nicht zu einer Windows-Domäne gehören, gibt es keine Verifizierung.
Wenn ein Scan aufgrund fehlerhafter Anmeldeinformationen fehlschlägt, wird auf der Seite Liste der
operativen Ereignisse ein Ereignis erstellt.
Erstellen einer CIFS- oder SharePoint-Repository-Definition
Sie können ein CIFS- oder SharePoint-Repository zum Scannen konfigurieren.
Sie können zur Angabe der Einschluss- oder Ausschlussparameter für Ordner anstelle eines
vollständigen Pfades auch einen regulären Ausdruck in Perl-Syntax verwenden.
•
Geben Sie für Einschlusseinträge ein Pfad-Präfix an, z. B. \\Server oder \Server\Freigabe\Ordner.
Der reguläre Ausdruck muss mit dem Pfad-Suffix exakt übereinstimmen.
•
Bei Ausschlusseinträgen werden Ordner, die mit dem Pfad übereinstimmen, beim Scan
ausgelassen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
202
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie im linken Bereich unter Repositorys den Repository-Typ aus.
4
Wählen Sie Aktionen | Neu aus.
5
Geben Sie einen Namen ein, wählen Sie die zu verwendenden Anmeldeinformationen aus, und
konfigurieren Sie mindestens eine Definition für Einschließen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
6
(CIFS-Repositorys) Konfigurieren Sie mindestens einen Eintrag für Einschließen.
a
Wählen Sie den Präfix-Typ aus.
b
Geben Sie im Feld Präfix den UNC-Pfad, eine IP-Adresse oder einen IP-Adressbereich ein.
Der UNC-Pfad kann der vollständig qualifizierte Domänenname (FQDN) (z. B. \
\meinserver1.meinedomaene.com) oder der Name des lokalen Computers (z. B. \\meinserver1)
sein. Sie können einer Definition beide Versionen hinzufügen. Mehrere Einträge werden als
logisches ODER analysiert.
7
c
(Optional) Sie können einen regulären Ausdruck zum Abgleich der zu scannenden Ordner
eingeben.
d
Klicken Sie auf Hinzufügen.
(SharePoint-Repositorys) Konfigurieren Sie mindestens einen Eintrag für Einschließen.
a
Wählen Sie den Typ für Einschließen aus.
b
Konfigurieren Sie mindestens eine URL.
Für die Option SharePoint-Server wird nur eine URL verwendet. Der Host-Name ist der
NetBIOS-Name des Servers, sofern auf dem Server keine alternative Zugriffszuordnung
konfiguriert ist. Informationen zur alternativen Zugriffszuordnung finden Sie in der
SharePoint-Dokumentation von Microsoft.
•
Angeben einer Site: Setzen Sie einen Schrägstrich an das Ende der URL (z. B. http://
SPServer/sites/DLP/).
•
Angeben einer Unter-Website: Setzen Sie einen Schrägstrich an das Ende der
Unter-Website (z. B. http://SPserver/sites/DLP/Discover/).
•
Angeben einer Web-Anwendung: Geben Sie in der URL nur den Namen und den Port der
Web-Anwendung an (z. B. http://SPServer:Port).
•
Angeben einer Liste oder Dokumentenbibliothek: Verwenden Sie die vollständige URL
bis zur Standardansicht der Liste (z. B. http://SPServer/sites/DLP/Share%20Documents/
Default.aspx).
Die URL der Standardansicht finden Sie auf der Seite für die Listen- oder
Bibliothekseinstellungen. Wenn Sie zur Anzeige dieser Einstellungen nicht berechtigt sind,
wenden Sie sich an Ihren SharePoint-Administrator.
c
Wenn Sie eine URL für die Sites-Liste konfiguriert haben, klicken Sie auf Hinzufügen.
8
(Optional) Sie können Parameter für Ausschließen konfigurieren, um Ordner von Scans
auszuschließen.
9
Klicken Sie auf Speichern.
Erstellen einer Box-Repository-Definition
Sie können ein Box-Repository zum Scannen konfigurieren.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
203
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
3
Wählen Sie im linken Bereich unter Repositorys die Option Box aus.
4
Wählen Sie Aktionen | Neu aus.
5
Geben Sie den Namen und bei Bedarf eine Beschreibung ein.
6
Klicken Sie auf den Link zur Box-Website. Befolgen Sie die Anweisungen auf der Website, um die
Box-Anwendung zu definieren und die Client-ID sowie den geheimen Client-Schlüssel abzurufen.
•
Wählen Sie beim Definieren der Anwendung die Option für die Verwaltung des Unternehmens
aus.
•
Geben Sie als Umleitungs-URI die IP-Adresse des McAfee ePO-Servers ein.
•
Wenn Sie andere Konten scannen lassen möchten, wenden Sie sich an den Box-Support, um die
Funktion "As-User" aktivieren zu lassen.
7
Geben Sie die Client-ID und den geheimen Client-Schlüssel ein, und klicken Sie dann auf Token
abrufen.
8
Gewähren Sie dem Erkennungs-Server bei der entsprechenden Aufforderung auf der Box-Website
Zugriff.
9
Geben Sie an, ob alle oder nur bestimmte Benutzerkonten gescannt werden sollen.
10 Klicken Sie auf Speichern.
Exportieren und Importieren von Repository-Definitionen
Wenn Sie über eine hohe Anzahl an Repositorys verfügen, kann es einfacher sein, sie als XML-Datei zu
verwalten, sodass die Repositorys nicht einzeln zu McAfee ePO hinzugefügt und bearbeitet werden
müssen.
Mit der Exportfunktion können Sie bestehende Repository-Definitionen und die zugehörigen
Anmeldeinformationen in einer XML-Datei speichern. Nutzen Sie diese Datei als Grundlage zum
Hinzufügen und Konfigurieren von Repositorys im XML-Format.
Beim Importieren einer XML-Datei werden die Repository-Definitionen und Anmeldeinformationen
überprüft und zur Liste der Einträge hinzugefügt. Wenn eine Repository-Definition sowohl in McAfee
ePO als auch in der XML-Datei vorhanden ist, wird die Definition mit den Daten aus der XML-Datei
überschrieben. Die Definitionen sind über den ID-Wert in der XML-Datei eindeutig definiert.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Wählen Sie Datei-Server (CIFS) oder SharePoint aus.
4
Führen Sie eine der folgenden Aufgaben durch.
•
204
So exportieren Sie Repositorys:
1
Wählen Sie Aktionen | Exportieren aus.
2
Wählen Sie aus, ob die Datei geöffnet oder gespeichert werden soll, und klicken Sie dann auf
OK.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren der Richtlinie für Scans
•
So importieren Sie Repositorys:
1
Wählen Sie Aktionen | Importieren aus.
2
Navigieren Sie zur Datei, und klicken Sie auf OK.
Erstellen einer Planerdefinition
Der Scan-Planer bestimmt, wann und wie häufig ein Scan ausgeführt wird.
Als Planungstyp sind folgende Optionen verfügbar:
•
Sofort ausführen
•
Wöchentlich
•
Einmal
•
Monatlich
•
Täglich
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Definitionen.
3
Klicken Sie im linken Bereich auf Planer.
4
Wählen Sie Aktionen | Neu aus.
5
Geben Sie einen eindeutigen Namen ein, und wählen Sie den Planungstyp aus.
Nach der Auswahl des Planungstyps werden die für den jeweiligen Typ erforderlichen Felder
angezeigt.
6
Geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf Speichern.
Erstellen von Regeln für Behebungs-Scans
Mit Regeln legen Sie die Aktion fest, die ausgeführt werden soll, wenn ein Behebungs-Scan Dateien
erkennt, die Klassifizierungen entsprechen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Richtlinien-Manager aus.
2
Klicken Sie auf die Registerkarte Regelsätze.
3
Wenn keine Regelsätze konfiguriert sind, erstellen Sie einen Regelsatz.
a
Wählen Sie Aktionen | Neuer Regelsatz aus.
b
Geben Sie den Namen und ggf. eine Anmerkung dazu ein, und klicken Sie dann auf OK.
4
Klicken Sie auf den Namen eines Regelsatzes, und klicken Sie anschließend ggf. auf die
Registerkarte Erkennung.
5
Wählen Sie Aktionen | Neue Netzwerkerkennungsregel und dann den Typ der Regel aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
205
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren eines Scans
6
Konfigurieren Sie auf der Registerkarte Bedingung eine oder mehrere Klassifizierungen und
Repositorys.
•
Erstellen eines Elements: Klicken Sie auf ...
•
Hinzufügen von weiteren Kriterien: Klicken Sie auf +.
•
Entfernen von Kriterien: Klicken Sie auf -.
7
(Optional) Legen Sie auf der Registerkarte Ausnahmen Ausschlüsse für das Auslösen dieser Regel
fest.
8
Konfigurieren Sie auf der Registerkarte Reaktion die Reaktion.
Die verfügbaren Reaktionen hängen vom jeweiligen Repository-Typ ab.
9
Klicken Sie auf Speichern.
Konfigurieren eines Scans
Die Menge und der Typ der von McAfee DLP Discover erfassten Daten hängen vom konfigurierten
Scan-Typ ab.
Aufgaben
•
Konfigurieren eines Inventar-Scans auf Seite 206
Bei Inventar-Scans werden nur Metadaten erfasst. Es sind die schnellsten Scans und daher
üblicherweise der Ausgangspunkt für die Bestimmung der erforderlichen Scans.
•
Konfigurieren von Klassifizierungs-Scans auf Seite 207
Bei Klassifizierungs-Scans werden Dateidaten auf der Grundlage definierter
Klassifizierungen erfasst. Damit werden Dateisysteme auf vertrauliche Daten analysiert, die
mit einem Behebungs-Scan geschützt werden müssen.
•
Konfigurieren von Behebungs-Scans auf Seite 208
Bei Behebungs-Scans werden Regeln angewendet, um vertrauliche Inhalte im gescannten
Repository zu schützen.
Konfigurieren eines Inventar-Scans
Bei Inventar-Scans werden nur Metadaten erfasst. Es sind die schnellsten Scans und daher
üblicherweise der Ausgangspunkt für die Bestimmung der erforderlichen Scans.
Planen Sie anhand von Inventar-Scans Ihre Datenschutzstrategie. Sie können Scans erstellen bzw.
bearbeiten und ggf. vorhandene Scans wiederverwenden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Wählen Sie auf der Registerkarte Erkennungs-Server die Optionen Aktionen | Server erkennen aus, um die
Liste zu aktualisieren.
Wenn die Liste lang ist, können Sie einen Filter definieren, um die Liste zu beschränken.
3
206
Wählen Sie auf der Registerkarte Scan-Vorgänge die Optionen Aktionen | Neuer Scan und dann den
Repository-Typ aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren eines Scans
4
Geben Sie einen eindeutigen Namen ein, und wählen Sie Scan-Typ: Inventar aus. Wählen Sie eine
Server-Plattform und einen Zeitplan aus.
Es müssen Erkennungs-Server vordefiniert sein. Sie können einen definierten Zeitplan auswählen
oder einen neuen Zeitplan erstellen.
5
(Optional) Sie können anstelle der Standardwerte Werte für Dateiliste oder Fehlerbehandlung einstellen.
6
Wählen Sie die zu scannenden Repositorys aus.
a
Klicken Sie auf der Registerkarte Repositorys auf Aktionen | Repositorys auswählen.
b
Geben Sie bei Bedarf die Anmeldeinformationen für jedes Repository aus der Dropdown-Liste
an.
Die Anmeldeinformationen werden standardmäßig auf die für das betreffende Repository
konfigurierten Werte festgelegt.
Sie können bei Bedarf Definitionen der Repositorys und Anmeldeinformationen im
Auswahlfenster erstellen.
7
(Optional) Wählen Sie auf der Registerkarte Filter die Option Aktionen | Filter auswählen aus, um
einzuschließende bzw. auszuschließende Dateien anzugeben.
Standardmäßig werden alle Dateien gescannt.
8
Klicken Sie auf Speichern.
9
Klicken Sie auf Richtlinie anwenden.
Konfigurieren von Klassifizierungs-Scans
Bei Klassifizierungs-Scans werden Dateidaten auf der Grundlage definierter Klassifizierungen erfasst.
Damit werden Dateisysteme auf vertrauliche Daten analysiert, die mit einem Behebungs-Scan
geschützt werden müssen.
Bevor Sie beginnen
•
Führen Sie einen Inventar-Scan durch. Definieren Sie mithilfe der Inventardaten
Klassifizierungen.
•
Erstellen Sie die erforderlichen Klassifizierungsdefinitionen, bevor Sie einen
Klassifizierungs-Scan einrichten. Während der Konfiguration können keine
Klassifizierungen erstellt werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Wählen Sie auf der Registerkarte Erkennungs-Server die Optionen Aktionen | Server erkennen aus, um die
Liste zu aktualisieren.
Wenn die Liste lang ist, können Sie einen Filter definieren, um die Liste zu beschränken.
3
Wählen Sie auf der Registerkarte Scan-Vorgänge die Optionen Aktionen | Neuer Scan und dann den
Repository-Typ aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
207
9
Scannen von Daten mit McAfee DLP Discover
Konfigurieren eines Scans
4
Geben Sie einen eindeutigen Namen ein, und wählen Sie Scan-Typ: Klassifizierung aus. Wählen Sie eine
Server-Plattform und einen Zeitplan aus.
Es müssen Erkennungs-Server vordefiniert sein. Sie können einen definierten Zeitplan auswählen
oder einen neuen Zeitplan erstellen.
5
(Optional) Sie können anstelle der Standardwerte Werte für Beschränkung, Dateiliste oder
Fehlerbehandlung einstellen.
6
Wählen Sie die zu scannenden Repositorys aus.
a
Klicken Sie auf der Registerkarte Repositorys auf Aktionen | Repositorys auswählen.
b
Geben Sie bei Bedarf die Anmeldeinformationen für jedes Repository aus der Dropdown-Liste
an.
Die Anmeldeinformationen werden standardmäßig auf die für das betreffende Repository
konfigurierten Werte festgelegt.
Sie können bei Bedarf Definitionen der Repositorys und Anmeldeinformationen im
Auswahlfenster erstellen.
7
(Optional) Wählen Sie auf der Registerkarte Filter die Option Aktionen | Filter auswählen aus, um
einzuschließende bzw. auszuschließende Dateien anzugeben.
Standardmäßig werden alle Dateien gescannt.
8
9
Wählen Sie die Klassifizierungen für den Scan aus.
a
Klicken Sie auf der Registerkarte Klassifizierungen auf Aktionen | Klassifizierungen auswählen.
b
Wählen Sie mindestens eine Klassifizierung in der Liste aus.
Klicken Sie auf Speichern.
10 Klicken Sie auf Richtlinie anwenden.
Konfigurieren von Behebungs-Scans
Bei Behebungs-Scans werden Regeln angewendet, um vertrauliche Inhalte im gescannten Repository
zu schützen.
Bevor Sie beginnen
•
Wenn der Scan so konfiguriert ist, dass Richtlinien für Rechteverwaltung angewendet
oder Dateien verschoben werden, müssen die Anmeldeinformationen für das Repository
über Berechtigungen mit Vollzugriff verfügen.
•
Erstellen Sie die Klassifizierungen und Regeln für den Scan.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Wählen Sie auf der Registerkarte Erkennungs-Server die Optionen Aktionen | Server erkennen aus, um die
Liste zu aktualisieren.
Wenn die Liste lang ist, können Sie einen Filter definieren, um die Liste zu beschränken.
208
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Durchführen von Scan-Vorgängen
3
Wählen Sie auf der Registerkarte Scan-Vorgänge die Optionen Aktionen | Neuer Scan und dann den
Repository-Typ aus.
4
Geben Sie einen eindeutigen Namen ein, und wählen Sie Scan-Typ: Behebung aus. Wählen Sie eine
Server-Plattform und einen Zeitplan aus.
Es müssen Erkennungs-Server vordefiniert sein. Sie können einen definierten Zeitplan auswählen
oder einen neuen Zeitplan erstellen.
5
(Optional) Sie können anstelle der Standardwerte andere Werte für Beschränkung, Dateiliste, Behandlung
von Vorfällen oder Fehlerbehandlung einstellen.
6
Wählen Sie die zu scannenden Repositorys aus.
a
Klicken Sie auf der Registerkarte Repositorys auf Aktionen | Repositorys auswählen.
b
Geben Sie bei Bedarf die Anmeldeinformationen für jedes Repository aus der Dropdown-Liste
an.
Die Anmeldeinformationen werden standardmäßig auf die für das betreffende Repository
konfigurierten Werte festgelegt.
Sie können bei Bedarf Definitionen der Repositorys und Anmeldeinformationen im
Auswahlfenster erstellen.
7
(Optional) Wählen Sie auf der Registerkarte Filter die Option Aktionen | Filter auswählen aus, um
einzuschließende bzw. auszuschließende Dateien anzugeben.
Standardmäßig werden alle Dateien gescannt.
8
9
Wählen Sie die Regeln für den Scan aus.
a
Klicken Sie auf der Registerkarte Regeln auf Aktionen | Regelsätze auswählen.
b
Wählen Sie mindestens einen Regelsatz in der Liste aus.
Klicken Sie auf Speichern.
10 Klicken Sie auf Richtlinie anwenden.
Durchführen von Scan-Vorgängen
Sie können Informationen über konfigurierte Scans verwalten und anzeigen.
Wenn die Richtlinie angewendet wird, werden alle Scans gestartet, die für eine sofortige Ausführung
geplant wurden. Scans, die aktuell ausgeführt werden, sind davon nicht betroffen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Scan-Vorgänge.
Auf der Registerkarte werden Informationen über konfigurierte Scans angezeigt, z. B. der Name,
der Typ, der Status und eine Übersicht über die Ergebnisse.
3
Klicken Sie zum Aktualisieren der Konfiguration für alle Scans auf Richtlinie anwenden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
209
9
Scannen von Daten mit McAfee DLP Discover
Scan-Verhalten
4
Wenn Sie einen Filter für die Scan-Liste setzen möchten, wählen Sie einen Filter in der
Dropdown-Liste Filter aus.
5
So aktivieren oder deaktivieren Sie einen Scan:
a
Aktivieren Sie das Kontrollkästchen für die Scans, die Sie aktivieren oder deaktivieren möchten.
Das Symbol in der Spalte Status zeigt an, ob der Scan aktiviert oder deaktiviert ist.
6
•
Blaues Symbol: aktiviert
•
Blau-weißes Symbol: deaktiviert
b
Wählen Sie Aktionen | Status ändern und dann Aktiviert oder Deaktiviert aus.
c
Klicken Sie auf Richtlinie anwenden.
Sie ändern den Ausführungsstatus des Scans, indem Sie in der Spalte Befehle auf die Schaltfläche
für Start, Anhalten oder Beenden klicken.
Die Verfügbarkeit dieser Optionen hängt neben dem Scan-Status davon ab, ob der Scan ausgeführt
wird oder inaktiv ist.
7
So klonen, löschen oder bearbeiten Sie einen Scan:
a
Aktivieren Sie das Kontrollkästchen für den Scan.
b
Wählen Sie Aktionen und dann Scan klonen, Scan löschen oder Scan bearbeiten aus.
Wenn Sie den Erkennungs-Server ändern möchten, der dem Scan zugewiesen ist, müssen Sie
den Scan deaktivieren. Der einem Scan zugewiesene Scan-Typ kann nicht geändert werden.
Wenn Sie den Typ ändern möchten, müssen Sie den Scan klonen.
8
Wählen Sie zum Aktualisieren der Registerkarte die Option Aktionen | Daten synchronisieren aus.
Scan-Verhalten
Das Ändern von Eigenschaften eines laufenden Scans kann sich auf dessen Verhalten auswirken.
Tabelle 9-4 Auswirkung des Änderns von Eigenschaften während eines Scans
210
Änderung
Auswirkung
Deaktivieren des Scans
Scan wird beendet
Scan löschen
Scan wird beendet und gelöscht
Ändern des Scan-Namens
Wirkt sich erst auf Protokolle des nächsten
Scan-Durchlaufs aus
Ändern des Zeitplans
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus
Ändern der Beschränkung
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus*
Ändern der Dateiliste
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus*
Ändern des Repositorys
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus
Ändern von Filtern
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus
Ändern von Regeln
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus*
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Analysieren von gescannten Daten
Tabelle 9-4 Auswirkung des Änderns von Eigenschaften während eines Scans (Fortsetzung)
Änderung
Auswirkung
Ändern der Klassifizierung
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus*
Ändern der Nachweisfreigabe
Wirkt sich auf den laufenden Scan aus*
Ändern der Benutzeranmeldeinformationen für
Nachweise
Wirkt sich auf den laufenden Scan aus*
Ändern der Benutzeranmeldeinformationen für die
Behebung
Wirkt sich erst auf den nächsten Scan-Durchlauf
aus*
Upgrade oder Deinstallation des
Erkennungs-Servers
Scan wird beendet
* Die Änderung wird erst nach einem Agent-Server-Kommunikationsintervall (ASKI) wirksam.
Analysieren von gescannten Daten
Die in den gescannten Daten erfassten Informationen können auf verschiedene Arten analysiert
werden.
Der grundlegende Inventar-Scan (Erfassung von Metadaten) ist Bestandteil aller Scan-Typen. Bei
Klassifizierungs-Scans werden Daten zudem auf der Grundlage definierter Klassifizierungen analysiert.
Die Textextrahierung analysiert den Dateiinhalt, wobei den gespeicherten Metadaten weitere
Informationen hinzugefügt werden.
Verwendung von OLAP in McAfee DLP Discover
McAfee DLP Discover verwendet OLAP (Online Analytical Processing), ein Datenmodell, das die
schnelle Verarbeitung von Metadaten unter verschiedenen Gesichtspunkten ermöglicht.
Mit den OLAP-Tools von McAfee DLP Discover können Sie mehrdimensionale Beziehungen zwischen
den in Scans erfassten Daten anzeigen. Diese Beziehungen werden als Hypercubes oder OLAP-Cubes
bezeichnet.
Sie können Scan-Ergebnisse anhand von Bedingungen wie Klassifizierung, Dateityp, Repository usw.
sortieren und organisieren. Durch das Schätzen potenzieller Verletzungen anhand der Datenmuster
können Sie Klassifizierungs- und Behebungs-Scans optimieren und Ihre Daten umgehend effizienter
identifizieren und schützen.
Anzeigen von Scan-Ergebnissen
Auf den Registerkarten Datenanalyse und Dateninventar werden die Scan-Ergebnisse angezeigt.
Auf diesen Registerkarten werden die Ergebnisse des zuletzt ausgeführten Scans angezeigt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
211
9
Scannen von Daten mit McAfee DLP Discover
Analysieren von gescannten Daten
Registerkarte Datenanalyse
Auf der Registerkarte Datenanalyse können Sie die Dateien aus den Scans analysieren. Die Dateien
werden mithilfe des OLAP-Datenmodells in bis zu drei Kategorien angezeigt, sodass sich
mehrdimensionale Datenmuster erkennen lassen. Auf Grundlage dieser Muster können Sie Ihre
Klassifizierungs- und Behebungs-Scans optimieren.
Abbildung 9-1
212
Konfigurieren der Datenanalyse
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
9
Scannen von Daten mit McAfee DLP Discover
Analysieren von gescannten Daten
1 Scan-Name: In der Dropdown-Liste werden die verfügbaren Scans für alle Typen angezeigt. Es kann
immer nur jeweils ein Scan analysiert werden.
2 Analysetyp: Wählen Sie Dateien oder Klassifizierungen aus. Für Inventar-Scans ist nur die Option Dateien
verfügbar. Je nach Analysetyp stehen unterschiedliche Kategorien zur Verfügung.
3 Anzeigen: Steuert die Anzahl der angezeigten Einträge.
4 Tabelle erweitern/Tabelle reduzieren: Erweitert die gesamte Seite. Sie können auch einzelne Gruppen
erweitern oder reduzieren.
5 Kategorieauswahl: In der Dropdown-Liste werden alle verfügbaren Kategorien angezeigt. in der
zweiten und dritten Kategorieauswahlliste können Sie jeweils eine weitere Kategorie aus den
verbleibenden Kategorien auswählen, um eine dreidimensionale Analyse des Datenmusters zu
erstellen.
6 Elemente erweitern: Sie können einzelne Gruppen mit dem Pfeilsymbol erweitern bzw.
reduzieren, um die Anzeige übersichtlicher zu machen.
7 Anzahl: Die Anzahl der Dateien (oder Klassifizierungen) in den einzelnen Gruppen. Klicken Sie auf
die Zahl, um die Registerkarte Dateninventar aufzurufen, auf der Details für diese Gruppe angezeigt
werden.
Wenn als Analysetyp die Option Klassifizierungen festgelegt ist und Dateien über mehrere zugeordnete
Klassifizierungen verfügen, kann diese Zahl höher als die Gesamtanzahl der Dateien sein.
Registerkarte Dateninventar
Auf der Registerkarte Dateninventar wird das Inventar der Dateien von Scans angezeigt, für die die
Option Dateiliste aktiviert ist. Sie können Filter definieren und mit diesen die angezeigten Informationen
anpassen, wodurch Muster und potenzielle Richtlinienverletzungen aufgedeckt werden können.
Klassifizierung und Dateityp sind für Inventar-Scans nicht verfügbar.
Siehe auch
Funktionsweise von Inventar-Scans auf Seite 194
Analysieren der Scan-Ergebnisse
Sie können die Beziehungen zwischen den gescannten Dateien mithilfe des OLAP-Datenmodells
strukturieren und anzeigen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Datenanalyse.
3
Wählen Sie in der Dropdown-Liste Scan-Name den zu analysierenden Scan aus.
4
Wählen Sie in der Dropdown-Liste Analysetyp die Option Datei oder Klassifizierung aus.
5
Wählen Sie in der Dropdown-Liste Anzeigen die Anzahl der obersten Einträge (z. B. "Oberste
10 Einträge") für die Anzeige aus.
6
In den Dropdown-Listen für die Kategorie können Sie bis zu drei Kategorien auswählen, um
entsprechende Dateien anzuzeigen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
213
9
Scannen von Daten mit McAfee DLP Discover
Analysieren von gescannten Daten
7
Mit den Optionen Tabelle erweitern und Tabelle reduzieren können Sie den Umfang der angezeigten
Informationen vergrößern bzw. vermindern.
8
Wenn Sie die Inventarergebnisse der zu einer Kategorie gehörenden Dateien anzeigen möchten,
klicken Sie auf den Link, der die Anzahl der Dateien in Klammern angibt.
Dieser Link ist nur verfügbar, wenn in der Scan-Konfiguration die Option Dateiliste ausgewählt ist. Mit
dem Link wird die Seite Dateninventar aufgerufen.
Anzeigen von Inventarergebnissen
Sie können das Dateiinventar aller Scan-Typen anzeigen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP Discover aus.
2
Klicken Sie auf die Registerkarte Dateninventar.
3
Führen Sie eine der folgenden Aufgaben durch.
•
Wählen Sie zum Anzeigen der Ergebnisse eines bestimmten Scans den Scan in der
Dropdown-Liste Scan aus.
•
Wählen Sie zum Filtern der angezeigten Dateien einen Filter in der Dropdown-Liste Filter aus.
Klicken Sie auf Bearbeiten, um die Filter zu modifizieren und neue Filter zu erstellen.
•
So gruppieren Sie Dateien anhand einer bestimmten Eigenschaft:
1
Wählen Sie in der Dropdown-Liste Gruppieren nach eine Kategorie aus.
Die verfügbaren Eigenschaften werden auf der linken Seite angezeigt.
2
•
So konfigurieren Sie die angezeigten Spalten:
1
Wählen Sie Aktionen | Spalten auswählen aus.
2
Klicken Sie in der Liste Verfügbare Spalten auf einen Eintrag, um ihn in den Bereich Ausgewählte
Spalten zu verschieben.
3
Im Bereich Ausgewählte Spalten können Sie die Spalten nach Bedarf neu anordnen oder löschen.
4
214
Wählen Sie die Eigenschaft aus, nach der die Dateien gruppiert werden sollen.
•
Klicken Sie zum Entfernen einer Spalte auf x.
•
Klicken Sie zum Verschieben einer Spalte auf die Pfeiltasten, oder ziehen Sie die Spalte an
die gewünschte Position.
Klicken Sie auf Ansicht aktualisieren.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Überwachen und Berichten
Mit den Erweiterungskomponenten von McAfee DLP können Sie
Richtlinienverletzungen verfolgen und überprüfen (DLP-Vorfallsmanager)
sowie administrative Ereignisse verfolgen (DLP-Vorgänge).
Kapitel 10
Kapitel 11
Kapitel 12
Vorfälle und operative Ereignisse
Erfassen und Verwalten von Daten
Protokollierung und Überwachung in McAfee DLP Prevent
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
215
Überwachen und Berichten
216
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
10
Vorfälle und operative Ereignisse
McAfee DLP bietet verschiedene Tools zum Anzeigen von Vorfällen und operativen Ereignissen.
•
Vorfälle: Auf der Seite DLP-Vorfalls-Manager werden Vorfälle angezeigt, die aus Regeln generiert
wurden.
•
Operative Ereignisse: Auf der Seite DLP-Vorgänge werden Fehler und Verwaltungsinformationen
angezeigt.
•
Fälle: Auf der Seite DLP-Fallverwaltung werden Fälle angezeigt, die zum Zusammenfassen und
Verwalten zusammengehöriger Vorfälle erstellt wurden.
Wenn mehrere McAfee DLP-Produkte installiert sind, werden in den Konsolen Vorfälle und Ereignisse
aus allen Produkten angezeigt.
In den Konsolen DLP-Vorfalls-Manager und DLP-Vorgänge können u. a. Informationen über den Computer und
den angemeldeten Benutzer, der den Vorfall bzw. das Ereignis generiert hat, die Client-Version und das
Betriebssystem angezeigt werden.
Inhalt
Überwachen und Melden von Ereignissen
DLP-Ereignisverwaltung
Anzeigen von Vorfällen
Verwalten von Vorfällen
Arbeiten mit Fällen
Verwalten von Fällen
Überwachen und Melden von Ereignissen
McAfee DLP unterteilt Ereignisse in zwei Klassen: Vorfälle (d. h. Richtlinienverletzungen) und
Verwaltungsereignisse. Diese Ereignisse werden in den beiden Konsolen DLP-Vorfalls-Manager und
DLP-Vorgänge angezeigt.
Wenn McAfee DLP eine Richtlinienverletzung erkennt, wird ein Ereignis generiert und an die McAfee
ePO-Ereignisanalyse gesendet. Diese Ereignisse lassen sich in der Konsole DLP-Ereignisverwaltung
anzeigen, filtern und sortieren. So können Sicherheitsbeauftragte und Administratoren Ereignisse
schnell anzeigen und umgehend reagieren. Verdächtiger Inhalt wird ggf. als Nachweis an das Ereignis
angefügt.
Da McAfee DLP eine zentrale Rolle bei der Einhaltung von Vorschriften und Datenschutzgesetzen im
Unternehmen spielt, werden die Informationen zur Übertragung vertraulicher Daten in der
DLP-Ereignisverwaltung exakt und mit flexiblen Anpassungsmöglichkeiten dargestellt. Systemprüfer,
Zeichnungsberechtigte, Datenschutzbeauftragte und sonstige leitende Mitarbeiter können mit der
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
217
10
Vorfälle und operative Ereignisse
DLP-Ereignisverwaltung
DLP-Ereignisverwaltung verdächtige und nicht autorisierte Aktivitäten überwachen und entsprechend den
Datenschutzrichtlinien des eigenen Unternehmens sowie relevanten rechtlichen Vorschriften und
Gesetzen handeln.
Systemadministratoren und Sicherheitsbeauftragte können Verwaltungsereignisse wie den Status der
Agenten und der Richtlinienverteilung überwachen.
Basierend auf den von Ihnen verwendeten McAfee DLP-Produkten können in der Konsole DLP-Vorgänge
Fehler, Richtlinienänderungen, Agentenüberschreibungen und weitere Verwaltungsereignisse angezeigt
werden.
Sie können eine E-Mail-Benachrichtigung konfigurieren, die immer dann an angegebene Adressen
gesendet wird, wenn an Vorfällen, Fällen und operativen Ereignissen Aktualisierungen vorgenommen
werden.
DLP-Ereignisverwaltung
Auf der Seite DLP-Ereignisverwaltung in McAfee ePO können Sie die durch Richtlinienverletzungen
ausgelösten Sicherheitsereignisse anzeigen.
Die Ereignisverwaltung verfügt über drei Registerkarten:
•
Liste der Vorfälle: Die aktuelle Liste der durch Richtlinienverletzungen verursachten Ereignisse.
•
Vorfall-Tasks: Eine Liste der Aktionen, die Sie für die gesamte Liste oder Teile davon durchführen
können, beispielsweise das Zuweisen von Prüfern zu Vorfällen, das Einrichten automatischer
E-Mail-Benachrichtigungen sowie das Bereinigen der gesamten Liste oder eines Teils der Liste.
•
Vorfälle – Verlauf: Eine Liste mit allen zurückliegenden Vorfällen. Die Bereinigung der Liste der Vorfälle
hat keine Auswirkung auf den Verlauf.
Im Modul DLP Operations (DLP-Vorgänge) können Sie Verwaltungsereignisse (beispielsweise
Agentenbereitstellungen) anzeigen. Das Modul enthält ebenfalls drei Registerkarten: Liste der
operativen Ereignisse, Tasks für operative Ereignisse und Operative Ereignisse – Verlauf.
Funktionsweise des Vorfalls-Managers
Die Registerkarte Liste der Vorfälle im DLP-Vorfalls-Manager bietet alle erforderlichen Funktionen zur
Überprüfung von Vorfällen im Zusammenhang mit Richtlinienverletzungen. Sie können Ereignisdetails
aufrufen, indem Sie auf ein bestimmtes Ereignis klicken. Sie können Filter anlegen und speichern, um
die Ansicht zu ändern, oder die im linken Bereich befindlichen vordefinierten Filter verwenden. Sie
können die Ansicht auch ändern, indem Sie Spalten auswählen und sortieren. Anhand der farbigen
Symbole und der Zahlen, die den Schweregrad angeben, können Sie sich schnell einen Überblick über
die Ereignisse verschaffen.
Auf der Registerkarte Liste der Vorfälle werden anhand der McAfee ePO-Funktion Abfragen und Berichte McAfee
DLP Endpoint-Berichte erstellt und Daten auf McAfee ePO-Dashboards anzeigt.
Sie können beispielsweise folgende Aktionen für Ereignisse ausführen:
218
•
Fallverwaltung. Sie können Fälle erstellen und einem Fall ausgewählte Vorfälle hinzufügen.
•
Kommentare: Sie können ausgewählten Vorfällen Kommentare hinzufügen.
•
Ereignisse per E-Mail senden: Sie können ausgewählte Ereignisse per E-Mail senden.
•
Geräteparameter exportieren: Sie können Geräteparameter in eine CSV-Datei exportieren (nur
für die Liste 'Verwendete/bewegte Daten')
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
DLP-Ereignisverwaltung
10
•
Beschriftungen: Sie können eine Beschriftung zum Filtern anhand der Beschriftung festlegen.
•
Offenlegung unkenntlich gemachter Daten: Sie können die Unkenntlichmachung entfernen,
um geschützte Felder anzuzeigen (hierfür ist die entsprechende Berechtigung erforderlich).
•
Eigenschaften festlegen: Sie können den Schweregrad, den Status oder die Lösung bearbeiten
sowie einen Benutzer oder eine Gruppe zur Vorfallprüfung zuweisen.
Abbildung 10-1
DLP-Vorfalls-Manager
Die Seite DLP-Vorgänge funktioniert auf die gleiche Weise für Verwaltungsereignisse. Die Ereignisse
enthalten Angaben zum Auslöser des Ereignisses und zum McAfee DLP-Produkt, das das Ereignis
gemeldet hat. Sie können auch Benutzerinformationen enthalten, die im Zusammenhang mit dem
Ereignis stehen, wie z. B. den Anmeldenamen des Benutzers, den Prinzipalnamen des Benutzers
(Benutzername@xyz) oder den Vorgesetzten, die Abteilung oder die Unternehmenseinheit des
Benutzers. Die operativen Ereignisse können nach jeder dieser Informationen oder nach anderen
Parametern, wie z. B. Schweregrad, Status, Client-Version, Richtlinienname usw., gefiltert werden.
Abbildung 10-2 DLP-Vorgänge
Vorfall-Tasks/Tasks für operative Ereignisse
Auf der Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse können Sie Kriterien für geplante Tasks
festlegen. Die Tasks werden auf diesen Seiten mithilfe der McAfee ePO-Server-Tasks-Funktion zum
Planen von Tasks eingerichtet.
Beide Task-Registerkarten sind nach Task-Typ sortiert (linker Bereich). Die Registerkarte Vorfall-Tasks ist
außerdem nach Vorfalltyp sortiert, sodass es sich bei der Registerkarte eigentlich um eine
4 x 3-Tabelle handelt, wobei die angezeigten Informationen von den beiden jeweils ausgewählten
Parametern abhängen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
219
10
Vorfälle und operative Ereignisse
DLP-Ereignisverwaltung
Verwendete/
bewegte Daten
Ruhende
Daten
(Endgerät)
Ruhende
Daten
(Netzwerk)
Prüfer festlegen
X
X
X
Automatische
E-Mail-Benachrichtigung
X
X
X
Ereignisse bereinigen
X
X
X
Verwendete/
bewegte Daten
(Verlauf)
X
Anwendungsbeispiel: Einrichten von Eigenschaften
Bei Eigenschaften handelt es sich um Daten, die einem Vorfall hinzugefügt wurden, für den
weitere Maßnahmen erforderlich sind. Sie können Eigenschaften aus dem Bereich 'Details'
des Vorfalls oder durch Auswahl der MenüoptionAktionen | Eigenschaften festlegenhinzufügen.
Die Eigenschaften sind:
•
Schweregrad
•
Prüfende Gruppe
•
Status
•
Prüfender Benutzer
•
Lösung
Der Prüfer kann ein beliebiger McAfee ePO-Benutzer sein. Der Grund für die Änderung
eines Schweregrades kann darin bestehen, dass der Administrator den Status auf
"False-Positive" setzt und der ursprüngliche Schweregrad damit irrelevant ist.
Anwendungsbeispiel: Ändern der Ansicht
Sie können die Ansicht mithilfe von Filtern ändern und zudem die Felder und die
Reihenfolge der Anzeige anpassen. Benutzerdefinierte Ansichten können gespeichert und
später erneut verwendet werden.
Sie erstellen einen Filter wie folgt:
1
Klicken Sie zum Öffnen des Bearbeitungsfensters auf Aktionen | Ansicht | Spalten auswählen.
2
Wenn Sie Spalten nach links bzw. rechts verschieben möchten, können Sie Spalten
mittels des Symbols x löschen oder mit den Pfeilsymbolen verschieben.
3
Klicken Sie zum Übernehmen der angepassten Ansicht auf Ansicht aktualisieren.
4
Um die Ansicht für zukünftige Verwendungen zu speichern, wählen Sie Aktionen | Ansicht |
Ansicht speichern aus.
Beim Speichern der Ansicht können Sie auch die Zeit- und Anpassungsfilter speichern.
Gespeicherte Ansichten können in der oben auf der Seite befindlichen Dropdown-Liste
ausgewählt werden.
Arbeiten mit Vorfällen
Wenn McAfee DLP Daten empfängt, die den in einer Regel definierten Parametern entsprechen, wird
eine Verletzung ausgelöst, und McAfee DLP generiert einen Vorfall.
Mithilfe der Ereignisverwaltung in McAfee ePO können Sie Vorfälle anzeigen, sortieren, gruppieren und
filtern, um wichtige Verletzungen aufzufinden. Sie können Details zu Vorfällen anzeigen und
irrelevante Vorfälle löschen.
220
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Anzeigen von Vorfällen
10
Anzeigen von Vorfällen
Im DLP-Vorfallsmanager werden alle von McAfee DLP-Anwendungen gemeldeten Vorfälle angezeigt.
Sie können die Anzeige der Vorfälle ändern, um bedeutsame Verletzungen schneller zu finden.
Im Feld Vorhanden im DLP-Vorfallsmanager werden Vorfälle nach der Anwendung angezeigt, die sie
erzeugt hat:
•
Verwendete/bewegte Daten
•
McAfee DLP Endpoint
•
Device Control
•
McAfee DLP Prevent
•
McAfee DLP Prevent for Mobile Email
•
Ruhende Daten (Endgerät) – McAfee DLP Endpoint-Erkennung
•
Ruhende Daten (Netzwerk) – McAfee DLP Discover
Wenn McAfee DLP ein Objekt (z. B. eine E-Mail-Nachricht) verarbeitet, das mehrere Regeln auslöst,
werden die Verletzungen im DLP-Vorfallsmanager zu einem Vorfall zusammengefasst und nicht als
mehrere verschiedene Vorfälle angezeigt.
Aufgaben
•
Sortieren und Filtern von Vorfällen auf Seite 221
Sie können die Anzeigereihenfolge der Vorfälle anhand von Attributen, wie z. B. Zeit, Ort,
Benutzer oder Schweregrad, ordnen.
•
Konfigurieren von Spaltenansichten auf Seite 222
In einer Ansicht können Sie die Art und Reihenfolge der Spalten festlegen, die in der
Ereignisverwaltung angezeigt werden.
•
Konfigurieren von Vorfallsfiltern auf Seite 223
Mithilfe dieser Filter können Sie Vorfälle anzeigen, die mit bestimmten Kriterien
übereinstimmen.
•
Anzeigen von Details zu Vorfällen auf Seite 224
Sie können die zu einem Vorfall gehörigen Informationen anzeigen.
Sortieren und Filtern von Vorfällen
Sie können die Anzeigereihenfolge der Vorfälle anhand von Attributen, wie z. B. Zeit, Ort, Benutzer
oder Schweregrad, ordnen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Führen Sie eine der folgenden Aufgaben aus.
•
Klicken Sie zum Sortieren nach einer Spalte auf die entsprechende Spaltenüberschrift.
•
Wählen Sie zum Ändern der Spaltenreihenfolge in der Dropdown-Liste Anzeigen eine
benutzerdefinierte Ansicht aus.
•
Wählen Sie zum Filtern nach der Zeit in der Dropdown-Liste Zeit einen Zeitraum aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
221
10
Vorfälle und operative Ereignisse
Anzeigen von Vorfällen
•
Wählen Sie zum Anwenden eines benutzerdefinierten Filters in der Dropdown-Liste Filter einen
benutzerdefinierten Filter aus.
•
So gruppieren Sie anhand des Attributs:
1
Wählen Sie in der Dropdown-Liste Gruppieren nach ein Attribut aus.
Daraufhin wird eine Liste der verfügbaren Optionen angezeigt. Die Liste enthält bis zu 250
der am häufigsten auftretenden Optionen.
2
Wählen Sie eine Option in der Liste aus. Daraufhin werden alle Vorfälle angezeigt, die mit der
ausgewählten Option übereinstimmen.
Beispiel
Wenn Sie mit McAfee DLP Endpoint-Vorfällen arbeiten, wählen Sie Benutzer-ID aus, um die
Namen der Benutzer anzuzeigen, die Verletzungen ausgelöst haben. Wählen Sie einen
Benutzernamen aus, um alle Vorfälle für diesen Benutzer anzuzeigen.
Konfigurieren von Spaltenansichten
In einer Ansicht können Sie die Art und Reihenfolge der Spalten festlegen, die in der
Ereignisverwaltung angezeigt werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Wählen Sie in der Dropdown-Liste Ansicht die Option Standard aus, und klicken Sie dann auf Bearbeiten.
4
Konfigurieren Sie die Spalten.
a
Klicken Sie in der Liste Verfügbare Spalten auf einen Eintrag, um ihn in den Bereich Ausgewählte Spalten
zu verschieben.
b
Im Bereich Ausgewählte Spalten können Sie die Spalten nach Bedarf neu anordnen oder löschen.
c
5
Klicken Sie zum Entfernen einer Spalte auf x.
•
Klicken Sie zum Verschieben einer Spalte auf die Pfeiltasten, oder ziehen Sie die Spalte an
die gewünschte Position.
Klicken Sie auf Ansicht aktualisieren.
Konfigurieren Sie die Ansichtseinstellungen.
a
Klicken Sie neben der Dropdown-Liste Ansicht auf Speichern.
b
Wählen Sie eine der folgenden Optionen aus.
c
222
•
•
Als neue Ansicht speichern: Legen Sie einen Namen für die Ansicht fest.
•
Vorhandene Ansicht überschreiben: Wählen Sie die zu speichernde Ansicht aus.
Wählen Sie aus, wer die Ansicht verwenden kann.
•
Öffentlich: Die Ansicht kann von allen Benutzern verwendet werden.
•
Privat: Die Ansicht kann nur von dem Benutzer verwendet werden, der sie erstellt hat.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Anzeigen von Vorfällen
10
d
Legen Sie fest, ob die aktuellen Filter oder Gruppierungen auf die Ansicht angewendet werden
sollen.
e
Klicken Sie auf OK.
Sie können Ansichten auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Ansicht auswählen.
Konfigurieren von Vorfallsfiltern
Mithilfe dieser Filter können Sie Vorfälle anzeigen, die mit bestimmten Kriterien übereinstimmen.
Beispiel für McAfee DLP Endpoint: Sie vermuten, dass ein bestimmter Benutzer Kommunikation, die
vertrauliche Daten enthält, an mehrere IP-Adressen außerhalb des Unternehmens gesendet hat. Nun
können Sie einen Filter erstellen, um alle Vorfälle anzuzeigen, die mit dem Benutzernamen und den
IP-Adressen übereinstimmen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Wählen Sie in der Dropdown-Liste Filter die Option (kein benutzerdefinierter Filter) aus, und klicken Sie auf
Bearbeiten.
4
Konfigurieren Sie die Filterparameter.
a
Wählen Sie in der Liste Verfügbare Eigenschaften eine Eigenschaft aus.
b
Geben Sie einen Wert für die Eigenschaft ein.
Klicken Sie zum Hinzufügen weiterer Werte für dieselbe Eigenschaft auf +.
c
Wählen Sie bei Bedarf weitere Eigenschaften aus.
Klicken Sie zum Entfernen eines Eigenschaftseintrags auf <.
d
5
Klicken Sie auf Filter aktualisieren.
Konfigurieren Sie die Filtereinstellungen.
a
Klicken Sie neben der Dropdown-Liste Filter auf Speichern.
b
Wählen Sie eine der folgenden Optionen aus.
c
d
•
Als neuen Filter speichern: Geben Sie einen Namen für den Filter an.
•
Vorhandenen Filter überschreiben: Wählen Sie den zu speichernden Filter aus.
Wählen Sie aus, wer den Filter verwenden kann.
•
Öffentlich: Der Filter kann von allen Benutzern verwendet werden.
•
Privat: Der Filter kann nur von dem Benutzer verwendet werden, der ihn erstellt hat.
Klicken Sie auf OK.
Sie können Filter auch in der Ereignisverwaltung verwalten, indem Sie Aktionen | Filter auswählen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
223
10
Vorfälle und operative Ereignisse
Verwalten von Vorfällen
Anzeigen von Details zu Vorfällen
Sie können die zu einem Vorfall gehörigen Informationen anzeigen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Klicken Sie auf eine Vorfall-ID.
Bei McAfee DLP Endpoint- und McAfee DLP Prevent-Vorfällen werden auf der Seite allgemeine
Details und Informationen zur Quelle angezeigt. Je nach Vorfalltyp werden Informationen zum Ziel
oder zum Gerät angezeigt. Bei McAfee DLP Discover-Vorfällen werden auf dieser Seite allgemeine
Details zum Vorfall angezeigt.
4
Führen Sie eine der folgenden Aktionen durch, um weitere Informationen anzuzeigen.
•
Klicken Sie zum Anzeigen von Benutzerinformationen für McAfee DLP Endpoint-Vorfälle im
Bereich Quelle auf den Benutzernamen.
•
So zeigen Sie Nachweisdateien an:
1
Klicken Sie auf die Registerkarte Nachweis.
2
Klicken Sie auf einen Dateinamen, um die Datei mit dem entsprechenden Programm zu
öffnen.
Auf der Registerkarte Nachweis wird auch die Übereinstimmende Zeichenfolge (kurz) angezeigt, die bis zu
drei hervorgehobene Übereinstimmungen in einer Zeichenfolge enthält.
•
Klicken Sie auf die Registerkarte Regeln, um die Regeln anzuzeigen, die den Vorfall ausgelöst
haben.
•
Klicken Sie auf die Registerkarte Klassifizierungen, um die Klassifizierungen anzuzeigen.
Bei McAfee DLP Endpoint-Vorfällen wird die Registerkarte Klassifizierungen für einige
Vorfallstypen nicht angezeigt.
•
Klicken Sie auf die Registerkarte Audit-Protokoll, um den Vorfallsverlauf anzuzeigen.
•
Klicken Sie auf die Registerkarte Kommentare, um die Kommentare zum Vorfall anzuzeigen.
•
Wählen Sie Aktionen | Ausgewählte Ereignisse per E-Mail senden aus, wenn für den Vorfall eine E-Mail mit
entschlüsselten Nachweisdateien und Dateien mit hervorgehobenen Übereinstimmungen
gesendet werden soll.
•
Klicken Sie auf OK, um zur Ereignisverwaltung zurückzukehren.
Verwalten von Vorfällen
Im DLP-Vorfallsmanager können Sie Vorfälle aktualisieren und verwalten.
Wenn E-Mail-Benachrichtigungen konfiguriert sind, wird bei jeder Aktualisierung eines Vorfalls eine
E-Mail gesendet.
Konfigurieren Sie zum Löschen von Vorfällen einen Task zum Bereinigen von Ereignissen.
224
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Verwalten von Vorfällen
10
Aufgaben
•
Aktualisieren eines bestimmten Vorfalls auf Seite 225
Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status
und Prüfer, aktualisieren.
•
Aktualisieren mehrerer Vorfälle auf Seite 225
Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren.
•
Ausgewählte Ereignisse per E-Mail senden auf Seite 226
In den folgenden Tabellen werden die Optionen zum Exportieren und Senden von
ausgewählten Ereignissen per E-Mail erläutert.
•
Verwalten von Beschriftungen auf Seite 227
Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen
dient, die ähnliche Eigenschaften aufweisen.
Aktualisieren eines bestimmten Vorfalls
Sie können die zu einem Vorfall gehörigen Informationen, wie z. B. Schweregrad, Status und Prüfer,
aktualisieren.
Auf der Registerkarte Audit-Protokoll werden alle an einem Vorfall vorgenommenen Aktualisierungen und
Modifizierungen aufgeführt.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Klicken Sie auf einen Vorfall.
Daraufhin öffnet sich das Fenster mit den Vorfallsdetails.
4
Führen Sie im Bereich Allgemeine Details eine der folgenden Aufgaben durch.
•
•
•
So aktualisieren Sie den Schweregrad, den Status oder die Auflösung:
1
Wählen Sie in der Dropdown-Liste Schweregrad, Status oder Lösung eine Option aus.
2
Klicken Sie auf Speichern.
So aktualisieren Sie den Prüfer:
1
Klicken Sie neben dem Feld Prüfer auf ...
2
Wählen Sie die Gruppe oder den Benutzer aus, und klicken Sie dann auf OK.
3
Klicken Sie auf Speichern.
So fügen Sie einen Kommentar hinzu:
1
Wählen Sie Aktionen | Kommentar hinzufügen aus.
2
Geben Sie einen Kommentar ein, und klicken Sie dann auf OK.
Aktualisieren mehrerer Vorfälle
Sie können mehrere Vorfälle auf einmal mit den gleichen Informationen aktualisieren.
Beispiel: Sie haben einen Filter gesetzt, um alle Vorfälle zu einem bestimmten Benutzer oder Scan
anzuzeigen, und möchten nun den Schweregrad dieser Vorfälle zu Hoch ändern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
225
10
Vorfälle und operative Ereignisse
Verwalten von Vorfällen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Aktivieren Sie die Kontrollkästchen der zu aktualisierenden Vorfälle.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Vorfälle zu aktualisieren.
4
Führen Sie eine der folgenden Aufgaben aus.
•
Wählen Sie zum Hinzufügen eines Kommentars Aktionen | Kommentar hinzufügen aus, geben Sie
einen Kommentar ein, und klicken Sie dann auf OK.
•
Wählen Sie zum Senden der Vorfälle per E-Mail Aktionen | Ausgewählte Ereignisse per E-Mail senden aus,
geben Sie die erforderlichen Informationen ein, und klicken Sie dann auf OK.
Sie können eine Vorlage auswählen, oder Sie können eine Vorlage erstellen, indem Sie die
Informationen eingeben und auf Speichern klicken.
•
Wählen Sie zum Exportieren der Vorfälle Aktionen | Ausgewählte Ereignisse exportieren aus, geben Sie
die erforderlichen Informationen ein, und klicken Sie dann auf OK.
•
Um unkenntlich gemachte Daten der Vorfälle offenzulegen, wählen Sie Aktionen | Offenlegung
unkenntlich gemachter Daten aus, geben einen Benutzernamen und ein Kennwort ein und klicken dann
auf OK.
Sie müssen zur Entfernung der Unkenntlichmachung über Berechtigungen zur
Unkenntlichmachung von Daten verfügen.
•
Wählen Sie zum Ändern der Eigenschaften Aktionen | Eigenschaften festlegen aus, bearbeiten Sie die
Optionen, und klicken Sie dann auf OK.
Siehe auch
Ausgewählte Ereignisse per E-Mail senden auf Seite 226
Ausgewählte Ereignisse per E-Mail senden
In den folgenden Tabellen werden die Optionen zum Exportieren und Senden von ausgewählten
Ereignissen per E-Mail erläutert.
Tabelle 10-1
226
Ausgewählte Ereignisse per E-Mail senden
Parameter
Wert
Höchstanzahl der per E-Mail zu sendenden Ereignisse
100
Maximalgröße pro Ereignis
unbegrenzt
Maximalgröße der komprimierten ZIP-Datei
20 MB
Von
auf 100 Zeichen begrenzt
An, CC
auf 500 Zeichen begrenzt
Betreff
auf 150 Zeichen begrenzt
Textteil
auf 1000 Zeichen begrenzt
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Verwalten von Vorfällen
Tabelle 10-2
10
Ausgewählte Ereignisse exportieren
Parameter
Wert
Höchstanzahl der zu exportierenden Ereignisse
1000
Maximalgröße pro Ereignis
unbegrenzt
Maximalgröße der komprimierten ZIP-Exportdatei
unbegrenzt
Verwalten von Beschriftungen
Eine Beschriftung ist ein benutzerdefiniertes Attribut, das zum Erkennen von Vorfällen dient, die
ähnliche Eigenschaften aufweisen.
Sie können einem Vorfall mehrere Beschriftungen zuweisen und eine Beschriftung für mehrere Vorfälle
wiederverwenden.
Beispiel: Es gibt Vorfälle, die sich auf mehrere Projekte beziehen, an denen Ihr Unternehmen arbeitet.
Sie können Beschriftungen mit den Namen des jeweiligen Projekts erstellen und die Beschriftungen
den entsprechenden Vorfällen zuweisen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO DLP-Ereignisverwaltung aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden die Option für Ihr Produkt aus.
3
Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Vorfälle zu aktualisieren.
4
Führen Sie eine der folgenden Aufgaben aus.
•
•
•
So fügen Sie Beschriftungen hinzu:
1
Wählen Sie Aktionen | Beschriftungen | Anhängen aus.
2
Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf
Hinzufügen.
3
Wählen Sie mindestens eine Beschriftung aus.
4
Klicken Sie auf OK.
So entfernen Sie Beschriftungen von einem Vorfall:
1
Wählen Sie Aktionen | Beschriftungen | Trennen aus.
2
Wählen Sie die aus dem Vorfall zu entfernenden Beschriftungen aus.
3
Klicken Sie auf OK.
So löschen Sie Beschriftungen:
1
Wählen Sie Aktionen | Beschriftungen | Beschriftungen löschen aus.
2
Wählen Sie die zu löschenden Beschriftungen aus.
3
Klicken Sie auf OK.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
227
10
Vorfälle und operative Ereignisse
Arbeiten mit Fällen
Arbeiten mit Fällen
Fälle ermöglichen es Administratoren, gemeinsam an der Lösung zugehöriger Vorfälle zu arbeiten.
Bei Vorfällen handelt es sich häufig nicht um Einzelereignisse. Entsprechend können in der
DLP-Ereignisverwaltung mehrere Vorfälle angezeigt werden, die zusammenhängen oder gleiche
Eigenschaften haben. Diese zusammenhängenden Vorfälle können Sie dann einem Fall zuweisen. Ein
Fall kann von mehreren Administratoren überwacht und verwaltet werden, je nachdem, welche
Funktion sie im Unternehmen ausüben.
McAfee DLP Endpoint-Szenario: Sie bemerken, dass ein bestimmter Benutzer nach Dienstschluss
häufig eine Reihe von Vorfällen verursacht. Dies könnte darauf hindeuten, dass entweder der Benutzer
verdächtige Aktivitäten ausführt oder dass das System des Benutzers kompromittiert ist. Diese
Vorfälle können Sie nun einem Fall zuweisen, damit nachvollzogen werden kann, wann und wie häufig
diese Verletzungen auftreten.
McAfee DLP Discover-Szenario: Bei einem Behebungs-Scan erzeugte Vorfälle ergeben, dass kürzlich
eine hohe Anzahl vertraulicher Dateien einem öffentlich zugänglichen Repository hinzugefügt wurde.
Ein weiterer Behebungs-Scan zeigt, dass diese Dateien zudem noch einem weiteren öffentlichen
Repository hinzugefügt wurden.
Je nach Art dieser Verletzungen sollten Sie möglicherweise die Personal- oder die Rechtsabteilung des
Unternehmens über diese Vorfälle informieren. Sie können es Angehörigen dieser Abteilungen
ermöglichen, an diesem Fall zu arbeiten, z. B. Kommentare einzufügen, Prioritäten zu ändern oder
wichtige Beteiligte zu benachrichtigen.
Verwalten von Fällen
Sie können zum Lösen von Vorfällen Fälle erstellen und verwalten.
Aufgaben
•
Erstellen von Fällen auf Seite 228
Sie können Fälle erstellen, um zusammengehörige Vorfälle in Gruppen zusammenfassen
und anzeigen zu können.
•
Anzeigen der Fallinformationen auf Seite 229
Sie können die einem Fall zugewiesenen Audit-Protokolle, Benutzerkommentare und
Vorfälle anzeigen.
•
Zuweisen von Vorfällen zu einem Fall auf Seite 229
Sie können zugehörige Vorfälle einem neuen oder bestehenden Fall hinzufügen.
•
Verschieben oder Entfernen von Vorfällen aus Fällen auf Seite 230
Wenn ein Vorfall für einen Fall nicht mehr relevant ist, können Sie ihn aus dem Fall
entfernen oder in einen anderen Fall verschieben.
•
Aktualisieren von Fällen auf Seite 230
Sie können die Falldaten aktualisieren, beispielsweise den Besitzer ändern,
Benachrichtigungen senden oder Kommentare hinzufügen.
•
Hinzufügen/Entfernen von Beschriftungen zu/von Fällen auf Seite 231
Mithilfe von Beschriftungen können Sie Fälle anhand von benutzerdefinierten Attributen
unterscheiden.
•
Löschen von Fällen auf Seite 232
Sie können Fälle löschen, die nicht mehr benötigt werden.
Erstellen von Fällen
Sie können Fälle erstellen, um zusammengehörige Vorfälle in Gruppen zusammenfassen und anzeigen
zu können.
228
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Verwalten von Fällen
10
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Wählen Sie Aktionen | Neu aus.
3
Geben Sie einen Titel ein, und konfigurieren Sie die Optionen.
4
Klicken Sie auf OK.
Anzeigen der Fallinformationen
Sie können die einem Fall zugewiesenen Audit-Protokolle, Benutzerkommentare und Vorfälle anzeigen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Klicken Sie auf eine Fall-ID.
3
Führen Sie eine der folgenden Aufgaben durch.
4
•
Klicken Sie auf die Registerkarte Vorfälle, um die dem Fall zugewiesenen Vorfälle anzuzeigen.
•
Klicken Sie auf die Registerkarte Kommentare, um die Benutzerkommentare anzuzeigen.
•
Klicken Sie auf die Registerkarte Audit-Protokoll, um die Audit-Protokolle anzuzeigen.
Klicken Sie auf OK.
Zuweisen von Vorfällen zu einem Fall
Sie können zugehörige Vorfälle einem neuen oder bestehenden Fall hinzufügen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager aus.
2
Wählen Sie in der Dropdown-Liste Vorhanden einen Vorfallstyp aus. Klicken Sie bei Bedarf für Ruhende
Daten (Netzwerk) auf den Link Scannen, um einen Scan festzulegen.
3
Aktivieren Sie das Kontrollkästchen für mindestens einen Vorfall.
Verwenden Sie zum Anzeigen zusammengehöriger Vorfälle Optionen wie Filter oder Gruppieren nach.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Vorfälle zu aktualisieren.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
229
10
Vorfälle und operative Ereignisse
Verwalten von Fällen
4
5
Weisen Sie die Vorfälle nun einem Fall zu.
•
Um Vorfälle einem neuen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu neuem Fall
hinzufügen aus, geben Sie einen Titel ein, und konfigurieren Sie die entsprechenden Optionen.
•
Um Vorfälle einem vorhandenen Fall hinzuzufügen, wählen Sie Aktionen | Fallverwaltung | Zu
vorhandenem Fall hinzufügen, filtern Sie die Fälle nach Fall-ID oder Titel, und wählen Sie den
gewünschten Fall aus.
Klicken Sie auf OK.
Verschieben oder Entfernen von Vorfällen aus Fällen
Wenn ein Vorfall für einen Fall nicht mehr relevant ist, können Sie ihn aus dem Fall entfernen oder in
einen anderen Fall verschieben.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Klicken Sie auf eine Fall-ID.
3
Führen Sie eine der folgenden Aufgaben durch.
•
•
4
So verschieben Sie Vorfälle aus einem Fall in einen anderen:
1
Klicken Sie auf die Registerkarte Vorfälle, und wählen Sie die Vorfälle aus.
2
Wählen Sie Aktionen | Verschieben aus, und wählen Sie dann aus, ob in einen vorhandenen oder
einen neuen Fall verschoben werden soll.
3
Wählen Sie den vorhandenen Fall aus, oder konfigurieren Sie Optionen für einen neuen Fall,
und klicken Sie anschließend auf OK.
So entfernen Sie Vorfälle aus dem Fall:
1
Klicken Sie auf die Registerkarte Vorfälle, und wählen Sie die Vorfälle aus.
2
Wählen Sie Aktionen | Entfernen aus, und klicken Sie anschließend auf Ja.
Klicken Sie auf OK.
Sie können einen Vorfall auch von der Registerkarte Vorfälle verschieben oder entfernen, indem Sie in der
Spalte Aktionen auf Verschieben oder Entfernen klicken.
Aktualisieren von Fällen
Sie können die Falldaten aktualisieren, beispielsweise den Besitzer ändern, Benachrichtigungen senden
oder Kommentare hinzufügen.
In folgenden Fällen werden Benachrichtigungen an den Ersteller und den Besitzer des Falls sowie an
ausgewählte Benutzer gesendet:
230
•
Eine E-Mail wird hinzugefügt oder geändert.
•
Vorfälle werden dem Fall hinzugefügt oder aus dem Fall gelöscht.
•
Der Titel des Falls wird geändert.
•
Die Informationen zum Besitzer werden geändert.
•
Die Priorität wird geändert.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Vorfälle und operative Ereignisse
Verwalten von Fällen
•
Die Lösung wird geändert.
•
Es werden Kommentare hinzugefügt.
•
Es wird ein Anhang hinzugefügt.
10
Sie können die automatischen E-Mail-Benachrichtigungen an den Ersteller und den Besitzer des Falls
unter Menü | Konfiguration | Server-Einstellungen | Data Loss Prevention deaktivieren.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Klicken Sie auf eine Fall-ID.
3
Führen Sie eine der folgenden Aufgaben durch.
•
Zum Ändern des Fallnamens geben Sie im Feld Titel einen neuen Namen ein und klicken dann auf
Speichern.
•
So ändern Sie den Besitzer:
1
Klicken Sie neben dem Feld Besitzer auf ...
2
Wählen Sie die Gruppe oder den Benutzer aus.
3
Klicken Sie auf OK.
4
Klicken Sie auf Speichern.
•
Zum Aktualisieren der Optionen Priorität, Status bzw. Lösung wählen Sie die jeweilige Option in den
Dropdown-Listen aus und klicken dann auf Speichern.
•
So senden Sie E-Mail-Benachrichtigungen:
1
Klicken Sie neben dem Feld Benachrichtigungen senden an auf ...
2
Wählen Sie die Benutzer aus, an die eine Benachrichtigung gesendet werden soll.
Wenn keine Kontakte aufgelistet sind, müssen Sie für McAfee ePO einen E-Mail-Server
angeben und E-Mail-Adressen für Benutzer hinzufügen. Zur Konfiguration des E-Mail-Servers
rufen Sie Menü | Konfiguration | Server-Einstellungen | E-Mail-Server auf. Benutzer konfigurieren Sie
unter Menü | Benutzerverwaltung | Benutzer.
3
•
4
Klicken Sie auf Speichern.
So fügen Sie dem Fall einen Kommentar hinzu:
1
Klicken Sie auf die Registerkarte Kommentare.
2
Geben Sie den Kommentar in das Textfeld ein.
3
Klicken Sie auf Kommentar hinzufügen.
Klicken Sie auf OK.
Hinzufügen/Entfernen von Beschriftungen zu/von Fällen
Mithilfe von Beschriftungen können Sie Fälle anhand von benutzerdefinierten Attributen unterscheiden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
231
10
Vorfälle und operative Ereignisse
Verwalten von Fällen
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Aktivieren Sie das Kontrollkästchen für mindestens einen Fall.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Vorfälle zu aktualisieren.
3
Führen Sie eins der folgenden Verfahren durch.
•
•
So fügen Sie den ausgewählten Fällen Beschriftungen hinzu:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Anhängen aus.
2
Geben Sie zum Hinzufügen einer neuen Beschriftung einen Namen ein, und klicken Sie auf
Hinzufügen.
3
Wählen Sie mindestens eine Beschriftung aus.
4
Klicken Sie auf OK.
So entfernen Sie Beschriftungen von den ausgewählten Fällen:
1
Wählen Sie Aktionen | Beschriftungen verwalten | Trennen aus.
2
Wählen Sie die zu entfernenden Beschriftungen aus.
3
Klicken Sie auf OK.
Löschen von Fällen
Sie können Fälle löschen, die nicht mehr benötigt werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Fallverwaltung aus.
2
Aktivieren Sie das Kontrollkästchen für mindestens einen Fall.
Klicken Sie auf Alle Elemente auf dieser Seite auswählen, um alle vom derzeit eingestellten Filter angezeigten
Fälle zu löschen.
3
232
Wählen Sie Aktionen | Löschen aus, und klicken Sie dann auf Ja.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
11
Erfassen und Verwalten von Daten
Die Überwachung des Systems umfasst die Erfassung und Überprüfung von Nachweisen und
Ereignissen sowie die Erstellung von Berichten. Die Daten zu Vorfällen und Ereignissen aus den
DLP-Tabellen in der McAfee ePO-Datenbank werden auf den Seiten DLP-Vorfalls-Manager und
DLP-Vorgänge angezeigt oder in Berichten und Dashboards zusammengefasst.
Bei der Überprüfung der erfassten Ereignisse und Nachweise kann der Administrator erkennen, ob
Regeln zu restriktiv sind und unnötige Arbeitsverzögerungen verursachen oder – wenn sie zu locker
sind – die unerlaubte Preisgabe von Daten ermöglichen.
Inhalt
Bearbeiten von Server-Tasks
Überwachen der Task-Ergebnisse
Erstellen von Berichten
Bearbeiten von Server-Tasks
McAfee DLP verwendet die Server-Tasks von McAfee ePO zum Ausführen der Tasks für McAfee DLP
Discover, McAfee DLP Prevent, den DLP-Vorfallsmanager, die DLP-Vorgänge und die DLP-Fallverwaltung.
Alle Vorfall-Tasks und Tasks für operative Ereignisse sind in der Server-Task-Liste vordefiniert. Sie
können die Tasks lediglich aktivieren bzw. deaktivieren sowie die Zeitplanung ändern. Folgende McAfee
DLP-Server-Tasks für Vorfälle und Ereignisse sind verfügbar:
•
Konvertierung von DLP-Ereignissen von 9.4 und höher
•
Migration von DLP-Vorfällen von 9.3.x zu 9.4.1 und höher
•
Migration operativer DLP-Ereignisse von 9.3.x zu 9.4.1 und höher
•
DLP-Richtlinienkonvertierung
•
DLP – Verlauf der operativen Ereignisse und Vorfälle bereinigen
•
DLP – Operative Ereignisse und Vorfälle bereinigen
•
DLP – E-Mail für operative Ereignisse und Vorfälle senden
•
DLP – Prüfer für operative Ereignisse und Vorfälle festlegen
Folgende McAfee DLP-Server-Tasks für McAfee DLP Discover und McAfee DLP Prevent sind verfügbar:
•
Erkennungs-Server finden
•
LDAPSync: Benutzer von LDAP synchronisieren
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
233
11
Erfassen und Verwalten von Daten
Bearbeiten von Server-Tasks
Mit dem Task Daten zusammenfassen (lokaler ePO-Server) können Sie McAfee DLP-Vorfälle, operative Ereignisse
oder Endgeräterkennungsdaten von ausgewählten McAfee ePO-Servern in einem Bericht
zusammenfassen.
Wenn Sie ein Upgrade durchführen und bei Ihnen in McAfee ePO McAfee DLP Endpoint installiert ist,
sind auch die folgenden Tasks verfügbar:
•
Startmodul für DLP-Ereignis-Tasks
•
Task für DLP-MA-Eigenschaftsbericht
•
DLP-Richtlinienübertragung per Push
Weitere Informationen zu diesen Tasks finden Sie im Produkthandbuch für McAfee Data Loss
Prevention Endpoint 9.3.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus.
2
Wählen Sie den zu bearbeitenden Task aus.
Bewährte Methode: Geben Sie im Feld Schnellsuche "DLP" ein, um die Liste zu filtern.
3
Wählen Sie Aktionen | Bearbeiten aus, und klicken Sie dann auf Plan.
4
Bearbeiten Sie den Plan nach Bedarf, und klicken Sie dann auf Speichern.
Aufgaben
•
Erstellen eines Tasks Ereignisse bereinigen auf Seite 234
Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr
benötigte Daten aus der Datenbank zu löschen.
•
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 235
Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per
E-Mail über Vorfälle und operative Ereignisse benachrichtigt werden.
•
Erstellen eines Tasks Prüfer festlegen auf Seite 236
Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse
zuweisen, um die Arbeitslast in großen Unternehmen aufzuteilen.
Siehe auch
Erstellen eines Tasks Prüfer festlegen auf Seite 236
Erstellen eines Tasks für die Automatische E-Mail-Benachrichtigung auf Seite 235
Erstellen eines Tasks Ereignisse bereinigen auf Seite 234
Erstellen eines Tasks Ereignisse bereinigen
Sie können Tasks zum Bereinigen von Vorfällen und Ereignissen erstellen, um nicht mehr benötigte
Daten aus der Datenbank zu löschen.
Bereinigungs-Tasks können für die Liste der Vorfälle, für Vorfälle bei verwendeten Daten in der Liste
Verlauf und für die Liste der operativen Ereignisse erstellt werden.
234
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Erfassen und Verwalten von Daten
Bearbeiten von Server-Tasks
11
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | DLP-Vorgänge
aus.
2
Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse.
3
Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich
Task-Typ die Option Ereignisse bereinigen aus, und klicken Sie dann auf Aktionen | Neue Regel.
Verwendete/bewegte Daten (Archiv) bereinigt Ereignisse aus dem Verlauf.
4
Geben Sie einen Namen und optional eine Beschreibung ein, und klicken Sie dann auf Weiter.
Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der
Regel zu verzögern.
5
Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die
Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern.
Der Task wird täglich für aktuelle Daten und jeden Freitag um 22:00 Uhr für Verlaufsdaten ausgeführt.
Siehe auch
Bearbeiten von Server-Tasks auf Seite 233
Erstellen eines Tasks für die Automatische E-MailBenachrichtigung
Sie können festlegen, dass Administratoren, Vorgesetzte oder Benutzer automatisch per E-Mail über
Vorfälle und operative Ereignisse benachrichtigt werden.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | DLP-Vorgänge
aus.
2
Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse.
3
Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich
Task-Typ die Option Automatische E-Mail-Benachrichtigung aus, und klicken Sie dann auf Aktionen | Neue Regel.
4
Geben Sie einen Namen und optional eine Beschreibung ein.
Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der
Regel zu verzögern.
5
6
Wählen Sie die zu verarbeitenden Ereignisse aus.
•
Alle Vorfälle bzw. Ereignisse (des ausgewählten Vorfall-Typs) verarbeiten.
•
Alle Vorfälle bzw. Ereignisse seit Ausführung der letzten E-Mail-Benachrichtigung verarbeiten.
Wählen Sie Empfänger aus.
Dieses Feld ist ein Pflichtfeld. Es muss mindestens ein Empfänger ausgewählt werden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
235
11
Erfassen und Verwalten von Daten
Bearbeiten von Server-Tasks
7
Geben Sie einen Betreff für die E-Mail ein.
Dieses Feld ist ein Pflichtfeld.
Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen.
8
Geben Sie den Nachrichtentext der E-Mail ein.
Bei Bedarf können Sie Variablen aus der Dropdown-Liste einfügen.
9
(Optional) Aktivieren Sie das Kontrollkästchen, um Nachweisinformationen als E-Mail-Anhang zu
senden. Klicken Sie auf Weiter.
10 Klicken Sie auf >, um Kriterien hinzuzufügen, und auf <, um sie zu entfernen. Stellen Sie die
Parameter Vergleich und Wert ein. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern.
Der Task wird stündlich ausgeführt.
Siehe auch
Bearbeiten von Server-Tasks auf Seite 233
Erstellen eines Tasks Prüfer festlegen
Sie können Prüfer für verschiedene Vorfall-Tasks und Tasks für operative Ereignisse zuweisen, um die
Arbeitslast in großen Unternehmen aufzuteilen.
Bevor Sie beginnen
Erstellen Sie in McAfee ePO unter Benutzerverwaltung | Berechtigungssätze einen Prüfer mit der
Berechtigung Prüfer festlegen für den DLP-Vorfalls-Manager und DLP-Vorgänge, oder legen
Sie einen Gruppenprüfer mit diesen Berechtigungen fest.
Der Task Prüfer festlegen weist Vorfällen bzw. Ereignissen entsprechend den Regelkriterien einen
Prüfer zu. Der Task wird nur für Vorfälle ausgeführt, denen kein Prüfer zugewiesen ist. Sie können
damit keine Vorfälle einem anderen Prüfer zuweisen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Datenschutz | DLP-Vorfalls-Manager oder Menü | Datenschutz | DLP-Vorgänge
aus.
2
Klicken Sie auf die Registerkarte Vorfall-Tasks oder Tasks für operative Ereignisse.
3
Wählen Sie in der Dropdown-Liste einen Vorfalltyp aus (nur Vorfall-Tasks), wählen Sie im Bereich
Task-Typ die Option Prüfer festlegen aus, und klicken Sie dann auf Aktionen | Neue Regel.
4
Geben Sie einen Namen und optional eine Beschreibung ein. Wählen Sie einen Prüfer oder eine
Gruppe aus, und klicken Sie dann auf Weiter.
Regeln sind standardmäßig aktiviert. Sie können diese Einstellung ändern, um die Ausführung der
Regel zu verzögern.
5
Klicken Sie auf >, um Kriterien hinzuzufügen, bzw. auf <, um sie zu entfernen. Legen Sie die
Parameter Vergleich und Wert fest. Klicken Sie nach Abschluss der Kriteriendefinition auf Speichern.
Bewährte Methode: Wenn mehrere Regeln für Prüfer festlegen vorhanden sind, ordnen Sie die
Regeln in der Liste in der gewünschten Reihenfolge an.
236
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Erfassen und Verwalten von Daten
Überwachen der Task-Ergebnisse
11
Der Task wird stündlich ausgeführt.
Ein festgelegter Prüfer kann er nicht anhand des Tasks Prüfer festlegen außer Kraft gesetzt werden.
Siehe auch
Bearbeiten von Server-Tasks auf Seite 233
Überwachen der Task-Ergebnisse
Sie können die Ergebnisse von Tasks für Vorfälle und operative Ereignisse überwachen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Task-Protokoll aus.
2
Suchen Sie die abgeschlossenen McAfee DLP-Tasks.
Bewährte Methode: Geben Sie hierfür DLP in das Feld Schnellsuche ein, oder setzen Sie einen
benutzerdefinierten Filter.
3
Klicken Sie auf den Task-Namen.
Nun werden Informationen zum Task angezeigt, einschließlich ggf. aufgetretener Fehler, falls der
Task fehlgeschlagen war.
Erstellen von Berichten
McAfee DLP verwendet Berichtsfunktionen von McAfee ePO. Es sind verschiedene vorprogrammierte
Berichte sowie eine Option zum Erstellen benutzerdefinierter Berichte verfügbar.
Ausführliche Informationen hierzu finden Sie im Kapitel zum Abfragen der Datenbank im McAfee
ePolicy Orchestrator-Produkthandbuch.
Berichtstypen
Verwenden Sie die McAfee ePO-Berichtsfunktionen zum Überwachen der McAfee DLP
Endpoint-Leistung.
In den McAfee ePO-Dashboards werden vier Arten von Berichten unterstützt:
•
DLP: Vorfallübersicht
•
DLP: Endgeräterkennung – Übersicht
•
DLP: Richtlinienübersicht
•
DLP: Vorgangsübersicht
In den Dashboards stehen Ihnen insgesamt 22 Berichte auf der Grundlage von 28 Abfragen zur
Verfügung, die sich in der McAfee ePO-Konsole unter Menü | Berichterstellung | Abfragen und Berichte
| McAfee-Gruppen | Data Loss Prevention befinden.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
237
11
Erfassen und Verwalten von Daten
Erstellen von Berichten
Berichtsoptionen
Die McAfee DLP-Software verwendet McAfee ePO-Berichte zum Überprüfen von Ereignissen. Darüber
hinaus können Sie Informationen zu Produkteigenschaften im McAfee ePO-Dashboard anzeigen.
McAfee ePO-Berichte
Die Berichterstellung der McAfee DLP Endpoint-Software ist in den McAfee
ePO-Berichterstellungsdienst integriert. Informationen zur Verwendung des McAfee
ePO-Berichtsdienstes finden Sie im McAfee ePolicy Orchestrator-Produkthandbuch .
McAfee ePO-Zusammenfassungsabfragen und zusammengefasste Berichte, die Daten aus mehreren
McAfee ePO-Datenbanken zusammenfassen, werden unterstützt.
McAfee ePO-Benachrichtigungen werden unterstützt. Einzelheiten hierzu finden Sie im Kapitel Senden
von Benachrichtigungen im McAfee ePolicy Orchestrator-Produkthandbuch.
ePO-Dashboards
Sie können Informationen zu McAfee DLP-Produkteigenschaften in McAfee ePO auf der Seite Menü |
Dashboards anzeigen. Es gibt vier vordefinierte Dashboards:
•
DLP: Vorfallübersicht
•
DLP: Endgeräterkennung – Übersicht
•
DLP: Richtlinienübersicht
•
DLP: Vorgangsübersicht
Die Dashboards können bearbeitet und angepasst werden, und es können neue Überwachungen
erstellt werden. Entsprechende Anleitungen finden Sie in der McAfee ePO-Dokumentation.
Die in den Dashboards zusammengefassten vordefinierten Abfragen können unter Menü | Abfragen und
Berichte ausgewählt werden. Sie werden unter McAfee-Gruppen aufgeführt.
Vordefinierte Dashboards
In der folgenden Tabelle werden die vordefinierten McAfee DLP-Dashboards beschrieben.
Tabelle 11-1 Vordefinierte DLP-Dashboards
Kategorie
DLP: Vorfallübersicht
Option
Beschreibung
Anzahl der Vorfälle pro Tag
Diese Diagramme zeigen die Gesamtanzahl der
Vorfälle und bieten verschiedene
Aufschlüsselungen, die bei der Analyse bestimmter
Probleme helfen.
Anzahl der Vorfälle pro
Schweregrad
Anzahl der Vorfälle pro Typ
Anzahl der Vorfälle pro Regelsatz
DLP: Vorgangsübersicht
Anzahl operativer Ereignisse pro
Tag
Zeigt alle administrativen Ereignisse an.
Agentenversion
Zeigt die Verteilung von Endgeräten im
Unternehmen an. Diese Option wird verwendet, um
den Fortschritt bei der Agentenbereitstellung zu
überwachen.
Verteilung von DLP-Produkten auf Zeigt ein Kreisdiagramm mit der Anzahl der
Endpunkt-Computern
Windows- und Mac-Endgeräte sowie der Anzahl der
Endgeräte, auf denen kein Client installiert ist, an.
238
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Erfassen und Verwalten von Daten
Erstellen von Berichten
11
Tabelle 11-1 Vordefinierte DLP-Dashboards (Fortsetzung)
Kategorie
Option
Beschreibung
DLP-Erkennung (Endgerät):
Status der Scans des lokalen
Dateisystems
Zeigt ein Kreisdiagramm mit der Anzahl der
Eigenschaften des Erkennungs-Scans für das lokale
Dateisystem sowie deren Status (abgeschlossen,
wird ausgeführt, nicht definiert) an.
Agentenstatus
Zeigt alle Agenten und deren Status an.
Agentenbetriebsmodus
Zeigt die nach DLP-Betriebsmodi aufgeschlüsselten
Agenten als Kreisdiagramm an. Die Betriebsmodi
sind:
• Nur Gerätesteuerung
• Gerätesteuerung und vollständiger Inhaltsschutz
• Gerätesteuerung und inhaltsbezogener
Wechselspeicherschutz
• Unbekannt
DLP-Erkennung (Endgerät):
Status des Scans des lokalen
E-Mail-Speichers
DLP: Richtlinienübersicht Richtlinienverteilung
DLP: Endgeräterkennung
– Übersicht
Zeigt ein Kreisdiagramm mit der Anzahl der
Eigenschaften des Erkennungs-Scans für den
lokalen E-Mail-Speicher sowie deren Status
(abgeschlossen, wird ausgeführt, nicht definiert)
an.
Zeigt die nach Version aufgeschlüsselte
DLP-Richtlinienverteilung im gesamten
Unternehmen an. Diese Option wird verwendet, um
den Fortschritt bei der Bereitstellung einer neuen
Richtlinie zu überwachen.
Erzwungene Regelsätze pro
Endgerät-Computer
Zeigt ein Balkendiagramm mit dem Namen des
Regelsatzes und der Anzahl der erzwungenen
Richtlinien an.
Umgangene Benutzer
Zeigt den Systemnamen/Benutzernamen und die
Anzahl der Benutzersitzungseigenschaften an.
Nicht definierte Geräteklassen
(für Windows-Geräte)
Zeigt die nicht definierten Geräteklassen für
Windows-Geräte an.
Privilegierte Benutzer
Zeigt den Systemnamen/Benutzernamen und die
Anzahl der Benutzersitzungseigenschaften an.
Verteilung der Richtlinienrevision
Ähnelt der Richtlinienverteilung, zeigt jedoch
Revisionen an, d. h. Aktualisierungen bestehender
Versionen.
DLP-Erkennung (Endgerät):
Letzter Status des Scans des
lokalen Dateisystems
Zeigt ein Kreisdiagramm mit dem
Ausführungsstatus aller lokalen Dateisystem-Scans
an.
DLP-Erkennung (Endgerät):
Letzte vertrauliche Dateien bei
Scan des lokalen Dateisystems
Zeigt ein Balkendiagramm mit dem Anteil
vertraulicher Dateien an den Systemdateien an.
DLP-Erkennung (Endgerät):
Letzte Fehler bei Scan des
lokalen Dateisystems
Zeigt ein Balkendiagramm mit dem Anteil von in
den Systemdateien gefundenen Fehlern an.
DLP-Erkennung (Endgerät):
Letzte Klassifizierungen bei Scan
des lokalen Dateisystems
Zeigt ein Balkendiagramm mit den auf
Systemdateien angewendeten Klassifizierungen an.
DLP-Erkennung (Endgerät):
Letzter Status der lokalen
E-Mail-Scans
Zeigt ein Kreisdiagramm mit dem
Ausführungsstatus aller lokalen E-Mail-Ordner an.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
239
11
Erfassen und Verwalten von Daten
Erstellen von Berichten
Tabelle 11-1 Vordefinierte DLP-Dashboards (Fortsetzung)
Kategorie
Option
Beschreibung
DLP-Erkennung (Endgerät):
Letzte lokale E-Mail-Scans auf
vertrauliche Dateien
Zeigt ein Balkendiagramm mit dem Anteil
vertraulicher E-Mails in den lokalen E-Mail-Ordnern
an.
DLP-Erkennung (Endgerät):
Letzte Fehler bei lokalen
E-Mail-Scans
Zeigt ein Balkendiagramm mit dem Anteil von in
den lokalen E-Mail-Ordnern gefundenen Fehlern an.
DLP-Erkennung (Endgerät):
Letzte Klassifikationen bei
lokalen E-Mail-Scans
Zeigt ein Balkendiagramm mit den auf lokale
E-Mails angewendeten Klassifizierungen an.
Erstellen eines Datenzusammenfassungs-Server-Tasks
McAfee ePO-Datenzusammenfassungs-Tasks rufen Daten von mehreren Servern ab und generieren
hierfür einen Bericht. Sie können Datenzusammenfassungsberichte für operative Ereignisse und
Vorfälle von McAfee DLP erstellen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Wählen Sie in McAfee ePO Menü | Automatisierung | Server-Tasks aus.
2
Klicken Sie auf Neuer Task.
3
Geben Sie im Generator für Server-Tasks einen Namen und optional eine Anmerkung ein, und klicken Sie
dann auf Weiter.
4
Wählen Sie in der Dropdown-Liste Aktionen die Option Daten zusammenfassen aus.
Daraufhin wird das Formular für die Datenzusammenfassung angezeigt.
240
5
(Optional) Wählen Sie im Feld Daten zusammenfassen von Server aus.
6
Wählen Sie in der Dropdown-Liste Datentyp nach Bedarf DLP-Vorfälle, Operative DLP-Ereignisse oder McAfee
DLP Endpoint-Erkennung aus.
7
(Optional) Konfigurieren Sie die Optionen Bereinigen, Filter oder Zusammenfassungsmethode. Klicken Sie
auf Weiter.
8
Geben Sie den Planungstyp, das Startdatum, das Enddatum und die Uhrzeit ein. Klicken Sie auf
Weiter.
9
Überprüfen Sie die Informationen in der Übersicht, und klicken Sie dann auf Speichern.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
12
Protokollierung und Überwachung in
McAfee DLP Prevent
McAfee DLP Prevent enthält Protokollierungs- und Überwachungsfunktionen, die Informationen zum
Systemzustand sowie zu E-Mail- und Web-Datenverkehrsstatistiken bereitstellen und die
Fehlerbehebung erleichtern können.
Inhalt
Ereignisberichte
Überwachen des Systemzustands und -status
Ereignisberichte
Eine Reihe von McAfee DLP Prevent-Ereignissen sind im Protokoll Client-Ereignisse und im Protokoll
DLP-Vorgänge in McAfee ePO verfügbar. Weitere Informationen erhalten Sie im integrierten Syslog und
über den Remote-Protokollierungs-Server (sofern aktiviert).
Im Protokoll Client-Ereignisse werden auch Ereignisse der Appliance-Verwaltung angezeigt. Weitere
Informationen über diese Ereignisse finden Sie in der Online-Hilfe zur Appliance-Verwaltung.
McAfee DLP Prevent-Ereignisse
McAfee DLP Prevent sendet Ereignisse an das Protokoll Client-Ereignisse oder das Protokoll DLP-Vorgänge.
Ereignisse im Protokoll Client-Ereignisse
Bewährte Methode: Sie sollten das Protokoll Client-Ereignisse regelmäßig bereinigen.
Ereignis-ID Ereignistext auf der
Benutzeroberfläche
Beschreibung
15001
LDAP-Abfrage fehlgeschlagen
Die Abfrage ist fehlgeschlagen. Die Gründe dafür sind in der
Ereignisbeschreibung angegeben.
15007
Synchronisierungsstatus des
LDAP-Verzeichnisses
Der Synchronisierungsstatus des Verzeichnisses.
210003
Der Ressourceneinsatz hat die
kritische Stufe erreicht.
McAfee DLP Prevent kann die Nachricht nicht analysieren, da
das Verzeichnis eine kritische Auslastung erreicht hat.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
241
12
Protokollierung und Überwachung in McAfee DLP Prevent
Ereignisberichte
Ereignis-ID Ereignistext auf der
Benutzeroberfläche
Beschreibung
220000
Ein Benutzer hat sich bei McAfee DLP Prevent angemeldet:
Benutzeranmeldung
• 354: Die Anmeldung bei der Benutzeroberfläche war
erfolgreich.
• 355: Die Anmeldung bei der Benutzeroberfläche ist
fehlgeschlagen.
• 424: Die Anmeldung bei SSH war erfolgreich.
• 425: Die Anmeldung bei SSH ist fehlgeschlagen.
• 426: Die Anmeldung bei der Konsole war erfolgreich.
• 427: Die Anmeldung bei der Konsole ist fehlgeschlagen.
• 430: Der Benutzerwechsel war erfolgreich.
• 431: Der Benutzerwechsel ist fehlgeschlagen.
220001
Benutzerabmeldung
Ein Benutzer hat sich bei McAfee DLP Prevent abgemeldet:
• 356: Der Benutzer hat sich von der Benutzeroberfläche
abgemeldet.
• 357: Die Sitzung ist abgelaufen.
• 428: Der SSH-Benutzer hat sich abgemeldet.
• 429: Der Konsolenbenutzer hat sich abgemeldet.
• 432: Der Benutzer hat sich abgemeldet.
220900
Zertifikatinstallation
• Das Zertifikat wurde erfolgreich installiert.
• Das Zertifikat konnte nicht installiert werden: <Grund>
Ein Zertifikat kann aus den folgenden Gründen nicht
installiert werden:
• Die Passphrase ist ungültig.
• Kein privater Schlüssel vorhanden.
• Fehler bei der Kette.
• Das Zertifikat ist ungültig.
• Das Zertifikat ist abgelaufen.
• Das Zertifikat ist noch nicht gültig.
• Die Signatur ist ungültig.
• Das CA-Zertifikat ist ungültig.
• Die Kette ist zu lang.
• Der Zweck ist falsch.
• Das Zertifikat wurde widerrufen.
• Die CRL (Zertifikatsperrliste) ist ungültig oder nicht
vorhanden.
Der Grund wird auch im Syslog angegeben. Wenn der Grund
mit keiner der vorgegebenen Meldungen übereinstimmt, wird
das Standardereignis "Das Zertifikat konnte nicht installiert
werden." angezeigt.
242
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Protokollierung und Überwachung in McAfee DLP Prevent
Ereignisberichte
12
Ereignisse im Protokoll DLP-Vorgänge
Ereignis-ID Ereignistext auf der
Benutzeroberfläche
Beschreibung
19100
Richtlinienänderung
Die Appliance-Verwaltung hat erfolgreich eine
Richtlinie mithilfe von Push an die Appliance
übertragen.
19500
Richtlinienübertragung per Push
fehlgeschlagen
Die Richtlinie konnte nicht mithilfe von Push an die
Appliance übertragen werden.
19105
Nachweis konnte nicht repliziert werden
• Eine Nachweisdatei konnte nicht verschlüsselt
werden.
• Eine Nachweisdatei konnte nicht auf den
Nachweis-Server kopiert werden.
19501
Analyse fehlgeschlagen
• Möglicher Denial-of-Service-Angriff.
• Der Inhalt konnte nicht analysiert werden.
19502
Bei DLP Prevent registriert
Die Appliance wurde erfolgreich bei McAfee ePO
registriert.
Verwenden von Syslog mit McAfee DLP Prevent
McAfee DLP Prevent sendet SMTP- und Hardware-Protokollierungsinformationen an den lokalen
Syslog-Server und einen oder mehrere Server für die Remote-Protokollierung, sofern diese aktiviert
sind. Außerdem werden Nachrichten mit detaillierten Informationen zu Ereignissen, wie z. B. zum
Installationsstatus eines Zertifikats, an /var/log/messages gesendet.
Mithilfe der Einstellungen in der Kategorie Allgemein der Richtlinie Allgemeine Appliance können Sie die Server
für die Remote-Protokollierung einrichten.
McAfee DLP Prevent sendet die Informationen im CEF-Format (Common Event Format) an den
Syslog-Server. CEF ist ein offener Protokollverwaltungsstandard zur Verbesserung der Interoperabilität
von sicherheitsbezogenen Informationen, die von verschiedenen Sicherheits- und Netzwerkgeräten
bzw. -anwendungen stammen. Um die Integration dieser Informationen zu erleichtern, wird das
Syslog-Nachrichtenformat als Transportmechanismus verwendet. Dabei werden alle Nachrichten mit
einem einheitlichen Präfix versehen, das das Datum und den Host-Namen enthält.
Weitere Informationen über CEF und die Ereignisdatenfelder in McAfee DLP Prevent finden Sie im
McAfee DLP Prevent Common Event Format Guide (McAfee DLP Prevent-Handbuch zum einheitlichen
Ereignisformat), das in der McAfee-KnowledgeBase verfügbar ist.
Bewährte Methode: Senden Sie McAfee DLP Prevent-Ereignisdaten über TCP an einen Server für die
Remote-Protokollierung. Bei UDP liegt die Höchstgrenze bei 1024 Bytes pro Paket, daher werden
Ereignisse, die diese Anzahl überschreiten, gekürzt.
Die Syslog-Einträge enthalten Informationen über das Gerät selbst (Anbieter, Produktname und
Version), den Schweregrad des Ereignisses und das Datum, an dem das Ereignis aufgetreten ist. In
der Tabelle sind Informationen über die McAfee DLP Prevent-Felder aufgeführt, die häufig in den
Syslog-Einträgen vorkommen.
SMTP-Nachrichtenereignisse können den Absender und den Empfänger, den Betreff, die Quell- und die
Ziel-IP-Adressen enthalten. Jeder Versuch, eine Nachricht zu senden, führt zu mindestens einem Eintrag
im Protokoll. Wenn die Nachricht Inhalte enthält, die gegen eine Richtlinie zum Schutz vor Datenlecks
verstoßen, wird dem Protokoll ein weiterer Eintrag hinzugefügt. Wenn zwei Protokolleinträge
hinzugefügt werden, enthalten beide Einträge die entsprechende
McAfeeDLPOriginalMessageID-Nummer.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
243
12
Protokollierung und Überwachung in McAfee DLP Prevent
Ereignisberichte
Tabelle 12-1 Definitionen der Syslog-Protokolleinträge
Feld
Definition
act
Die aufgrund des Ereignisses durchgeführte McAfee DLP-Aktion
app
Der Name des Prozesses, der das Ereignis ausgelöst hat
msg
Eine beschreibende Nachricht für das Ereignis, z. B. Der
RAID-Datenträger wird neu erstellt.
dvc
Der Host, auf dem das Ereignis aufgetreten ist
dst
Die Ziel-IP-Adresse, sofern die Verbindung verfügbar ist
dhost
Der Name des Ziel-Hosts, sofern die Verbindung verfügbar ist
src
Die IP-Adresse des Hosts, der die Verbindung hergestellt hat
shost
Der Host-Name des Hosts, der die Verbindung hergestellt hat
suser
Der Absender der E-Mail
duser
Eine Liste der E-Mail-Adressen der Empfänger
sourceServiceName
Der Name der aktiven Richtlinie
filePath
Der Name der Datei, in der die Erkennung aufgetreten ist
field
Eine eindeutige ID, die jeder E-Mail-Nachricht zugewiesen wird
rt
Der Zeitpunkt, zu dem das Ereignis aufgetreten ist, in Millisekunden
seit "epoch"
flexNumber1
Eine dem Grund für das Ereignis zugewiesene ID
McAfeeDLPOriginalSubject
Die ursprüngliche Betreffzeile der Nachricht
McAfeeDLPOriginalMessageId
Die der Nachricht ursprünglich zugewiesene ID-Nummer
McAfeeDLPProduct
Der Name des McAfee DLP-Produkts, das das Ereignis erkannt hat
McAfeeDLPHardwareComponent Der Name der McAfee DLP-Hardware-Appliance, die das Ereignis
erkannt hat
McAfeeEvidenceCopyError
Fehler beim Kopieren des Nachweises
McAfeeDLPClassificationText
Informationen über die McAfee DLP-Klassifizierungen
cs-Felder
Die cs-Einträge im Syslog verhalten sich gemäß des Werts im Feld 'cs5':
Wert
Definition
cs1
Wenn cs5 'DP' oder 'DPA' ist: Die Datei, die die DLP-Regel ausgelöst hat
Wenn cs5 'AR' ist: Anti-Relay-Regel, die das Ereignis ausgelöst hat
cs2
Wenn cs5 'DP' oder 'DPA' ist: Die auslösenden DLP-Kategorien
cs3
Wenn cs5 'DP' ist: Die auslösenden DLP-Klassifizierungen
cs4
E-Mail-Anhänge (falls vorhanden)
cs5
Bei einem Erkennungsereignis der Scanner, der das Ereignis ausgelöst hat: 'DL' – Data Loss
Prevention
cs6
Der Betreff der E-Mail
cs1Label Wenn cs5 'DP' oder 'DPA' ist: 'dlpfile'
Wenn cs5 'AR' ist: 'antirelay-rule'
244
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Protokollierung und Überwachung in McAfee DLP Prevent
Überwachen des Systemzustands und -status
Wert
12
Definition
cs2Label Wenn cs5 'DP' oder 'DPA' ist: 'dlp-rules'
cs3Label Wenn cs5 'DP' ist: 'dlpclassification'
cs4Label email-attachments
cs5Label master-scan-type
cs6Label email-subject
Überwachen des Systemzustands und -status
Im Dashboard Appliance-Verwaltung in McAfee ePO können Sie Ihre Appliances verwalten, den
Systemzustand anzeigen und detaillierte Informationen zu Warnungen abrufen.
Dashboard für die Appliance-Verwaltung
Das Dashboard für die Appliance-Verwaltung kombiniert die Strukturansicht Appliances, die Karten
Systemzustand, und die Fensterbereiche Warnungen und Details.
Das Dashboard zeigt die folgenden Informationen für all Ihre verwalteten Appliances an.
•
Eine Liste der McAfee DLP Prevent-Appliances
•
Indikatoren, die angeben, ob eine Appliance Aufmerksamkeit erfordert
•
Detaillierte Informationen zu erkannten Problemen
In der Informationsleiste werden der Name der Appliance, die Anzahl der derzeit gemeldeten
Warnungen und weitere Informationen zur Appliance angezeigt.
Die Systemzustandskarten
Auf den Systemzustandskarten werden Status, Warnungen und Benachrichtigungen angezeigt, die
Ihnen bei der Verwaltung aller virtuellen und physischen McAfee-Appliances helfen, die sich in Ihrem
Netzwerk befinden.
Auf den Systemzustandskarten der McAfee DLP Prevent-Appliances werden die folgenden
Informationen angezeigt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
245
12
Protokollierung und Überwachung in McAfee DLP Prevent
Überwachen des Systemzustands und -status
Bereich
Informationen
Systemzustand • Nachweiswarteschlange: Die Anzahl der Dateien, die darauf warten, in die
Nachweisspeicherung kopiert zu werden. Die Warteschlangengröße ist ein
Echtzeitwert.
• E-Mails: Die Anzahl der Nachrichten, die zugestellt wurden, dauerhaft oder
vorübergehend abgelehnt wurden oder nicht analysiert werden konnten. Die Zähler
geben Daten der vorangegangenen 60 Sekunden an.
• Web-Anfragen: Die Anzahl der empfangenen Web-Anfragen und die Anzahl der
Web-Anfragen, die nicht analysiert werden konnten. Die Zähler geben Daten der
vorangegangenen 60 Sekunden an.
• CPU-Auslastung: Die Gesamtauslastung der CPU.
• Arbeitsspeicher: Die Auslagerungsrate des Arbeitsspeichers.
• Datenträger: Die Datenträgerauslastung in Prozent.
• Netzwerk: Die Netzwerkschnittstellen auf der Appliance mit Informationen zu
empfangenen und übertragenen Daten. Die Zähler geben Daten der vorangegangenen
60 Sekunden an.
Warnungen
Zeigt Fehler und Warnungen bezüglich:
• Systemzustände
• Größe der Nachweiswarteschlange
• Richtlinienerzwingung
• Kommunikation zwischen McAfee ePO und McAfee DLP Prevent
Im Bereich Details werden weitere Informationen zur jeweiligen Warnung angezeigt.
Anzeigen des Status einer Appliance
Durch Anzeigen von Informationen in der Appliance-Verwaltung können Sie feststellen, ob eine Appliance
korrekt arbeitet oder Maßnahmen erforderlich sind.
Vorgehensweise
1
Melden Sie sich bei McAfee ePO an.
2
Wählen Sie im Menü im Abschnitt Systeme die Option Appliance-Verwaltung aus.
3
Erweitern Sie in der Strukturansicht Appliances die Liste der Appliances, bis Sie die gewünschte
Appliance finden.
Informationen zu Status und Warnungen finden Sie in der Online-Hilfe zur Appliance-Verwaltung.
Herunterladen der MIB- und der SMI-Datei
Laden Sie die MIB- und die SMI-Dateien herunter, um die auf der Appliance verfügbaren SNMP-Traps
und Zähler anzuzeigen.
Weitere Informationen zur Funktionsweise der Appliance mit SNMP finden Sie in der Online-Hilfe zur
McAfee-Erweiterung "Appliance-Verwaltung".
246
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Protokollierung und Überwachung in McAfee DLP Prevent
Überwachen des Systemzustands und -status
12
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Rufen Sie https://<APPLIANCE>:10443/mibs auf.
2
Laden Sie die Dateien MCAFEE-SMI.txt und MCAFEE-DLP-PREVENT-MIB.txt in der Sprache herunter,
in der die Informationen angezeigt werden sollen.
3
Importieren Sie die MIB- und die SMI-Datei in Ihre Netzwerküberwachungs-Software.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
247
12
Protokollierung und Überwachung in McAfee DLP Prevent
Überwachen des Systemzustands und -status
248
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Verwaltung und Fehlerbehebung
Mit dem Diagnose-Tool von McAfee DLP können Sie Fehler in McAfee DLP
Endpoint for Windows-Clients beheben. Verwenden Sie die McAfee DLP
Prevent-Appliance-Konsole für Wartungs- und Fehlerbehebungsoptionen.
Kapitel 13
Kapitel 14
McAfee DLP Endpoint-Diagnose
Wartung und Fehlerbehebung in McAfee DLP Prevent
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
249
Verwaltung und Fehlerbehebung
250
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
13
McAfee DLP Endpoint-Diagnose
Mit dem Diagnose-Tool von McAfee DLP Endpoint können Sie Fehler beheben und den Systemzustand
überwachen.
Diagnose-Tool
Das Diagnose-Tool unterstützt Sie bei der Behebung von Problemen mit McAfee DLP Endpoint auf
Microsoft Windows-Endpunkt-Computern. Auf OS X-Computern wird dieses Tool nicht unterstützt.
Das Diagnose-Tool erfasst Daten zur Leistung der Client-Software. Anhand dieser Daten kann das
IT-Team Fehler beheben und Richtlinien optimieren. Bei schwerwiegenden Problemen können mit dem
Diagnose-Tool Daten erfasst und zur Analyse an das McAfee DLP-Entwicklungsteam gesendet werden.
Das Tool kann als Dienstprogramm auf Computern installiert werden, auf denen Probleme aufgetreten
sind. Es enthält sieben Registerkarten, die sich auf unterschiedliche Funktionsbereiche der McAfee DLP
Endpoint-Software beziehen.
Auf allen Seiten, auf denen die Informationen tabellarisch angezeigt werden (alle Seiten außer General
information (Allgemeine Informationen) und Tools), können Sie die Spalten durch Klicken auf die
Spaltenüberschrift sortieren.
General information
(Allgemeine
Informationen)
Erfasst u. a. Daten zur Ausführung der Agentenprozesse und Treiber sowie
allgemeine Informationen zu Richtlinien, Agenten und zur Protokollierung.
Gefundene Fehler werden mit zugehörigen Informationen angezeigt.
DLPE Modules
(DLPE-Module)
Zeigt die Agentenkonfiguration an (wie in der McAfee DLP
Endpoint-Richtlinienkonsole auf der Seite Agentenkonfiguration |
Verschiedenes angezeigt). Hier werden die Konfigurationseinstellung und der
Status der einzelnen Module, Add-Ins und Handler angezeigt. Wenn Sie ein
Modul auswählen, werden Details angezeigt, die die Ermittlung von Problemen
erleichtern.
Data Flow (Datenfluss) Zeigt die Anzahl der Ereignisse und den vom McAfee DLP Endpoint-Client
belegten Arbeitsspeicher sowie bei Auswahl eines bestimmten Ereignisses die
zugehörigen Ereignisdetails an.
Tools (Werkzeuge)
Hier können Sie verschiedene Tests durchführen und die jeweiligen Ergebnisse
anzeigen. Bei Bedarf kann ein Speicherabbild (Daten-Dump) für weitere
Analysen durchgeführt werden.
Process list
(Prozessliste)
Zeigt alle zu diesem Zeitpunkt auf dem Computer ausgeführten Prozesse an.
Wenn Sie einen Prozess auswählen, werden die Details sowie die zugehörigen
Fenstertitel und Anwendungsdefinitionen angezeigt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
251
13
McAfee DLP Endpoint-Diagnose
Diagnose-Tool
Devices (Geräte)
Zeigt alle Plug-and-Play- und Wechselspeichergeräte an, die zu diesem
Zeitpunkt mit dem Computer verbunden sind. Wenn Sie ein Gerät auswählen,
werden die Gerätedetails und die zugehörigen Gerätedefinitionen angezeigt.
Zeigt alle aktiven Gerätesteuerungsregeln und die entsprechenden
Definitionen aus den Gerätedefinitionen an.
Active policy (Aktive
Richtlinie)
Zeigt alle in der aktiven Richtlinie enthaltenen Regeln sowie die
entsprechenden Richtliniendefinitionen an. Bei Auswahl einer Regel oder
Definition werden die zugehörigen Details angezeigt.
Überprüfen des Agentenstatus
Die Registerkarte "General information" (Allgemeine Informationen) bietet eine Übersicht über den
Agentenstatus.
Die dort angezeigten Informationen dienen zur Überprüfung des erwarteten Verhaltens des Agenten
und enthalten grundlegende Angaben. Werden die Agentenprozesse und- treiber ausgeführt? Welche
Produktversionen sind installiert? Welcher Betriebsmodus wird derzeit ausgeführt, und welche
Richtlinie wird angewendet?
Agentenprozesse und- treiber
Eine der wichtigsten Fragen bei der Fehlerbehebung lautet "Werden alle Komponenten
erwartungsgemäß ausgeführt?" Dies wird als Übersicht in den Bereichen Agent processes
(Agentenprozesse) und Drivers (Treiber) angezeigt. Die Kontrollkästchen zeigen an, ob der jeweilige
Prozess aktiviert ist, und der farbige Punkt gibt an, ob der Prozess ausgeführt wird. Wenn ein Prozess
oder Treiber nicht aktiv ist, werden im Textfeld Informationen zur Ursache angezeigt.
Die Speichergrößenbeschränkung beträgt standardmäßig 150 MB. Wenn dieser Parameter einen hohen
Wert aufweist, kann dies auf Probleme hindeuten.
Tabelle 13-1 Agentenprozesse
Begriff Prozess
Erwarteter Status
Fcag
McAfee DLP Endpoint-Agent (Client)
aktiviert, ausgeführt
Fcags
McAfee DLP Endpoint-Agentendienst
aktiviert, ausgeführt
Fcagte
McAfee DLP Endpoint-Textextrahierung
aktiviert, ausgeführt
Fcagwd McAfee DLP Endpoint-Watchdog
aktiviert, ausgeführt
Fcagd
nur im Rahmen der Problembehebung
aktiviert
McAfee DLP Endpoint-Agent mit automatischer
Erstellung von Speicherabbildern
Tabelle 13-2 Treiber
252
Begriff
Prozess
Erwarteter Status
Hdlpflt
McAfee DLP Endpoint-Minifiltertreiber (erzwingt Regeln
für Wechselspeichermedien)
aktiviert, ausgeführt
Hdlpevnt McAfee DLP Endpoint-Ereignis
aktiviert, ausgeführt
Hdlpdbk
McAfee DLP Endpoint-Gerätefiltertreiber (erzwingt
Regeln für Plug-and-Play-Geräte)
kann in der Konfiguration
deaktiviert werden
Hdlpctrl
McAfee DLP Endpoint-Steuerung
aktiviert, ausgeführt
Hdlhook
McAfee DLP Endpoint-Hook-Treiber
aktiviert, ausgeführt
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
McAfee DLP Endpoint-Diagnose
Diagnose-Tool
13
Bereich für Informationen zum Agenten
Operation mode (Betriebsmodus) und Agent status (Agentenstatus) sollten übereinstimmen. Bei der
Fehlerbehebung kann die Angabe der Agent Connectivity (Agentenverbindung) in Kombination mit der
EPO-Adresse hilfreich sein.
Der Status der Agent Connectivity (Agentenverbindung) kann "online", "offline" oder "connected by
VPN" (über VPN verbunden) sein.
Ausführen des Diagnose-Tools
Das Diagnose-Tool stellt dem IT-Team ausführliche Informationen über den Agentenstatus bereit.
Bevor Sie beginnen
®
Für das Diagnose-Tool ist die Authentifizierung bei McAfee Help Desk erforderlich.
Vorgehensweise
1
Doppelklicken Sie auf die Datei hdlpDiag.exe.
Daraufhin öffnet sich ein Authentifizierungsfenster.
2
Kopieren Sie den Identifikationscode in das Help Desk-Textfeld Identifizierungscode auf der Seite
Schlüssel für die Umgehung des DLP-Clients generieren. Geben Sie die restlichen Informationen ein, und
generieren Sie einen Freigabecode.
3
Kopieren Sie den Freigabecode in das Textfeld für den Validierungscode im Authentifizierungsfenster,
und klicken Sie dann auf OK.
Daraufhin öffnet sich das Diagnose-Tool.
Auf den Registerkarten General Information (Allgemeine Informationen), DLPE Modules (DLPE-Module)
und Process List (Prozessliste) befindet sich unten rechts die Schaltfläche Refresh (Aktualisieren). Auf
diesen Registerkarten werden die Informationen nicht automatisch aktualisiert, wenn Änderungen
aufgetreten sind. Klicken Sie regelmäßig auf die Schaltfläche Refresh (Aktualisieren), damit immer
aktuelle Daten angezeigt werden.
Optimieren von Richtlinien
Mit dem Diagnose-Tool können Sie Fehler beheben und Richtlinien optimieren.
Anwendungsbeispiel: Hohe CPU-Auslastung
Die Erzwingung einer neuen Richtlinie macht den Computer manchmal unnötig langsam.
Ein Grund dafür kann eine hohe CPU-Auslastung sein. Rufen Sie die Registerkarte Process
List (Prozessliste) auf, um dies zu überprüfen. Wenn eine ungewöhnlich hohe Anzahl von
Ereignissen für einen Prozess vorhanden ist, könnte dies das Problem sein. Bei einer
kürzlich durchgeführten Überprüfung stellte sich beispielsweise heraus, dass taskmgr.exe
als Editor klassifiziert wurde und die zweithöchste Anzahl von Ereignissen aufwies. Da ein
Datenleck bei dieser Anwendung ziemlich unwahrscheinlich ist, muss der McAfee DLP
Endpoint-Client sie nicht so intensiv überwachen.
Erstellen Sie eine Anwendungsvorlage, um dieses Konzept zu überprüfen. Navigieren Sie
im Richtlinienkatalog zu DLP-Richtlinie | Einstellungen, und legen Sie eine
Außerkraftsetzung für Vertrauenswürdig fest. Wenden Sie die Richtlinie nun an, um zu
überprüfen, ob sich die Leistung verbessert hat.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
253
13
McAfee DLP Endpoint-Diagnose
Diagnose-Tool
Anwendungsbeispiel: Erstellen wirksamer Inhaltsklassifizierungs- und
Inhalts-Fingerprinting-Kriterien
Die Kennzeichnung vertraulicher Daten mithilfe von Tags ist einer der essentiellen Aspekte
einer Datenschutzrichtlinie. Die im Diagnose-Tool angezeigten Informationen sind eine
hilfreiche Grundlage zur Erstellung wirksamer Inhaltsklassifizierungs- und
Inhalts-Fingerprinting-Kriterien. Die Tags können zu eng definiert sein, sodass nicht alle
erforderlichen Daten tatsächlich gekennzeichnet werden, oder zu weit, sodass viele
False-Positives entstehen.
Auf der Seite Active Policy (Aktive Richtlinie) werden Klassifizierungen und die zugehörigen
Inhaltsklassifizierungs- und Inhalts-Fingerprinting-Kriterien aufgeführt. Auf der Seite Data
Flow (Datenfluss) werden alle von der Richtlinie angewendeten Tags sowie die jeweilige
Anzahl aufgeführt. Wenn die Anzahl höher als erwartet ausfällt, handelt es sich vermutlich
um False-Positives. So hat sich beispielsweise in einem Fall mit einer extrem hohen Anzahl
von Tags herausgestellt, dass die Klassifizierung von einem Haftungsausschlusstext
ausgelöst wurde. Nachdem der Haftungsausschluss in die Whitelist aufgenommen wurde,
traten die False-Positives nicht mehr auf. Ebenso kann eine auffällig geringe Anzahl von
Tags darauf hindeuten, dass die Klassifizierung zu eng gefasst ist.
Wenn eine neue Datei gekennzeichnet wird, während das Diagnose-Tool aktiv ist, wird der
Dateipfad im Detailbereich angezeigt. Anhand dieser Informationen können Sie die
entsprechenden Dateien für die Überprüfung ermitteln.
254
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
14
Wartung und Fehlerbehebung in McAfee
DLP Prevent
In der Appliance-Konsole können Sie allgemeine Verwaltungsaufgaben wie Änderungen der
Netzwerkeinstellungen und Software-Aktualisierungen durchführen.
Die verfügbaren Fehlerbehebungsoptionen, Überprüfungen und Fehlermeldungen unterstützen Sie bei
der Erkennung und Behebung von Problemen mit einer McAfee DLP Prevent-Appliance.
Inhalt
Verwalten mit der McAfee DLP Prevent-Appliance-Konsole
Zugriff auf die Appliance-Konsole
Ändern der ursprünglichen Netzwerkeinstellungen
Modifizieren der Geschwindigkeits- und Duplexeinstellungen für Hardware-Appliances
Verwalten von Hardware-Appliances mit dem RMM
Durchführen eines Upgrade oder einer erneuten Installation vom internen Installations-Image
Neustarten der Appliance
Zurücksetzen der Appliance auf die Werkseinstellungen
Abmelden der Appliance
McAfee DLP Prevent akzeptiert keine E-Mail
Ersetzen des Standardzertifikats
Fehlermeldungen
Erstellen eines Minimum-Eskalations-Berichts (MER)
Verwalten mit der McAfee DLP Prevent-Appliance-Konsole
Öffnen Sie die Appliance-Konsole anhand der Administratoranmeldeinformationen, um die von Ihnen
im Einrichtungsassistenten eingegebenen Netzwerkeinstellungen zu bearbeiten und weitere Wartungsund Fehlerbehebungs-Tasks auszuführen.
Tabelle 14-1 Menüoptionen der Appliance-Konsole
Option
Definition
Graphical configuration wizard
(Konfigurations-Assistenten mit
grafischer Oberfläche)
Öffnen Sie den Konfigurations-Assistenten mit der
grafischen Oberfläche.
Wenn Sie sich über SSH anmelden, ist die Option
"Graphical Configuration Wizard"
(Konfigurations-Assistenten mit grafischer Oberfläche)
nicht verfügbar.
Shell
Öffnen Sie die Appliance-Shell.
Enable/Disable SSH (SSH aktivieren/
deaktivieren)
Aktivieren oder deaktivieren Sie SSH als Methode zur
Herstellung einer Verbindung mit der Appliance.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
255
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
Zugriff auf die Appliance-Konsole
Tabelle 14-1 Menüoptionen der Appliance-Konsole (Fortsetzung)
Option
Definition
Generate MER (MER erstellen)
Erstellen Sie einen Minimum-Eskalations-Bericht (MER),
der zur Diagnose von Problemen mit der Appliance an den
McAfee-Support gesendet werden kann.
Power down (Herunterfahren)
Fahren Sie die Appliance herunter.
Reboot (Neu starten)
Starten Sie die Appliance neu.
Rescue Image (Rescue-Image)
Erstellen Sie ein Rescue-Image, über das die Appliance
gestartet werden kann.
Reset to factory defaults (Auf
Werkseinstellungen zurücksetzen)
Setzen Sie die Appliance auf die Werkseinstellungen
zurück.
Change password (Kennwort ändern)
Ändern Sie das Kennwort für das Administratorkonto.
Logout (Abmelden)
Melden Sie die Master-Appliance ab.
Zugriff auf die Appliance-Konsole
Über die Appliance-Konsole können Sie verschiedene Wartungs-Tasks ausführen. Der Zugriff auf die
Konsole hängt von der Art der verwendeten Appliance ab.
Tabelle 14-2 Methoden für den Zugriff auf die Konsole
Methode
Virtuelle Appliance
Hardware-Appliance
SSH
X
X
vSphere-Client
X
Lokale KVM (Tastatur, Monitor, Maus)
X
RMM
X
Serieller Anschluss
X
Ändern der ursprünglichen Netzwerkeinstellungen
Sie können anhand des Konfigurations-Assistenten mit der grafischen Benutzeroberfläche die bei der
Installation eingegebenen Netzwerkeinstellungen ändern.
Vorgehensweise
1
Melden Sie sich mit Administrator-Anmeldeinformationen bei der Appliance an.
Wenn Sie sich über SSH anmelden, ist die Option "Graphical Configuration Wizard"
(Konfigurations-Assistenten mit grafischer Oberfläche) nicht verfügbar.
256
2
Öffnen Sie den Konfigurationsassistenten mit der grafischen Benutzeroberfläche.
3
Bearbeiten Sie die zu ändernden Einstellungen für die Grundlegende Netzwerkeinrichtung.
4
Klicken Sie auf Fertig stellen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Wartung und Fehlerbehebung in McAfee DLP Prevent
Modifizieren der Geschwindigkeits- und Duplexeinstellungen für Hardware-Appliances
14
Modifizieren der Geschwindigkeits- und Duplexeinstellungen
für Hardware-Appliances
Standardmäßig sind die Netzwerkschnittstellen für die automatische Aushandlung konfiguriert. Die
Geschwindigkeits- und Duplexeinstellungen können über die Befehlszeile geändert werden.
Vorgehensweise
1
Melden Sie sich über die Befehlszeile bei der Appliance an.
2
Wählen Sie im Optionsmenü die Option Shell aus.
3
Zeigen Sie die Hilfe zur Befehlssyntax an.
$ /opt/NETAwss/mgmt/nic_options -?
4
•
Verwenden Sie lan1 für die Client-Schnittstelle und mgmt für die Verwaltungsschnittstelle.
•
--(no)autoneg aktiviert bzw. deaktiviert die automatische Aushandlung. Diese ist
standardmäßig aktiviert.
•
--duplex gibt den Duplex an – halb oder voll. Die Standardeinstellung ist Vollduplex.
•
--speed gibt die Netzwerkgeschwindigkeit in Mb/s an – 0, 100 oder 1000. Der Standardwert
beträgt 1000.
•
--mtu gibt die Größe der MTU (Maximum Transmission Unit) in Bytes an – ein Wert von 576 bis
1500. Der Standardwert beträgt 1500.
Geben Sie den Befehl zum Ändern der Einstellung ein. Beispiele:
•
Deaktivieren der automatischen Aushandlung und Festlegen einer Netzwerkgeschwindigkeit von
100 Mb/s auf der Client-Schnittstelle:
$ sudo /opt/NETAwss/mgmt/nic_options --noautoneg --speed 100 lan1
•
Wiederherstellen des Standardverhaltens für den Verwaltungs-Port:
$ sudo /opt/NETAwss/mgmt/nic_options mgmt
Verwalten von Hardware-Appliances mit dem RMM
Mit dem RMM (auch als BMC (Baseboard Management Controller) bezeichnet) können Sie eine
Hardware-Appliance per Remote-Zugriff verwalten. Für virtuelle Appliances steht das RMM nicht zur
Verfügung.
Mithilfe der Appliance-Konsole können Sie die grundlegenden Einstellungen des RMM aktivieren und
konfigurieren. Nach dem Konfigurieren der RMM-Netzwerkeinstellungen ist der Zugriff auf die
Appliance-Konsole auch über den integrierten Web-Server möglich. Von der Web-Benutzeroberfläche
aus können Sie den Hardware-Status überprüfen, weitere Konfigurationen vornehmen und die
Appliance per Remote-Zugriff verwalten. Rufen Sie folgende URL auf:
https://<RMM-IP-Adresse>
Sie können unter Angabe der Administratoranmeldeinformationen für die Appliance auf die
Benutzeroberfläche zugreifen. Sie können für das RMM auch konfigurieren, dass die Authentifizierung
nicht über das Administratorkonto, sondern über LDAP erfolgt.
Standardmäßig sind alle für den Zugriff auf das RMM genutzten Protokolle aktiviert:
•
HTTP/HTTPS
•
SSH
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
257
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
Verwalten von Hardware-Appliances mit dem RMM
•
IPMI über LAN
•
Remote-KVM
Konfigurieren des RMM
Konfigurieren Sie die vom RMM verwendeten Netzwerkeinstellungen und -protokolle.
Vorgehensweise
1
Melden Sie sich anhand der Konsole bei der Appliance an.
2
Wählen Sie im Konsolenmenü Configure the BMC (BMC konfigurieren) aus.
3
Führen Sie eine der folgenden Aufgaben aus.
•
•
So konfigurieren Sie die Netzwerkinformationen:
1
Wählen Sie Configure the address (Adresse konfigurieren) aus.
2
Geben Sie die IP-Adresse, die Netzwerkmaske und das optionale Gateway ein. Mithilfe der
Aufwärts- und Abwärtspfeile können Sie zwischen den Optionen navigieren.
3
Drücken Sie die Eingabetaste, oder wählen Sie OK aus, um die Änderungen zu speichern.
So konfigurieren Sie die zugelassenen Protokolle:
1
Wählen Sie Configure remote protocols (Remote-Protokolle konfigurieren) aus.
2
Drücken Sie zum Aktivieren bzw. Deaktivieren einer Option die Leertaste. Mithilfe der
Aufwärts- und Abwärtspfeile können Sie zwischen den Optionen navigieren.
3
Drücken Sie die Eingabetaste, oder wählen Sie OK aus, um die Änderungen zu speichern.
Melden Sie sich anhand des Administratorkontos und des zugehörigen Kennworts über das RMM bei
der Appliance an.
Ausführen des Einrichtungs-Assistenten über den KVM-RemoteDienst
Wenn Sie nicht über lokalen Zugriff auf die Tastatur, den Monitor und die Maus zum Ausführen des
Einrichtungs-Assistenten verfügen, können Sie stattdessen die RMM-Web-Oberfläche verwenden.
Vorgehensweise
258
1
Melden Sie sich über einen Web-Browser bei https://<RMM-IP-Adresse> an.
2
Klicken Sie auf die Registerkarte Remote Control (Remote-Steuerung).
3
Klicken Sie auf Launch Console (Konsole starten).
4
Bei einigen Browsern müssen Sie möglicherweise die Remote-Konsolenanwendung herunterladen.
Laden Sie in diesem Fall die Datei jviewer.jnlp herunter, und öffnen Sie diese.
5
Wählen Sie auf der Admin-Shell die Option Graphical configuration wizard (Konfigurations-Assistent mit
grafischer Oberfläche) aus.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Wartung und Fehlerbehebung in McAfee DLP Prevent
Durchführen eines Upgrade oder einer erneuten Installation vom internen Installations-Image
14
Bewährte Methode: Absichern des RMM
Sichern Sie die RMM-Umgebung ab, damit ausschließlich autorisierte Benutzer auf die Appliance
zugreifen können.
•
Achten Sie darauf, dass die RMM-Firmware aktuell ist.
•
Verbinden Sie den RMM-Port mit einem sicheren, dedizierten physischen Netzwerk bzw. VLAN.
•
Deaktivieren Sie alle nicht benötigten Protokolle. Zum Konfigurieren der Appliance per
Remote-Zugriff sind lediglich HTTP/HTTPS und der KVM-Remote-Dienst erforderlich.
•
Wenn die Appliance RMM4 verwendet, muss auf der Appliance die Erzwingung der HTTPS-Nutzung
konfiguriert sein.
Der von der Appliance verwendete RMM-Typ (RMM3 oder RMM4) wird in der Appliance-Konsole und
auf der Web-Benutzeroberfläche angezeigt.
Klicken Sie auf der Web-Benutzeroberfläche auf die Registerkarte Configuration (Konfiguration), und
wählen Sie erst Security Settings (Sicherheitseinstellungen) und dort die Option Force HTTPS (HTTPS
erzwingen) aus.
•
Sie sollten das Administratorkennwort regelmäßig ändern.
Durchführen eines Upgrade oder einer erneuten Installation
vom internen Installations-Image
McAfee DLP Prevent enthält eine Partition mit einem internen Installations-Image, mit dem Sie ein
Upgrade oder eine Neuinstallation der Appliance durchführen können.
Diese Vorgänge werden über die Option 'Upgrade' im Konsolenmenü durchgeführt.
•
Sie können ein Upgrade, ein Downgrade oder eine Neuinstallation der Appliance vom
Installations-Image durchführen.
Bei einem Downgrade auf eine frühere Version werden keine Konfigurationseinstellungen oder
McAfee ePO-Registrierungsinformationen beibehalten.
•
Aktualisieren Sie das Installations-Image mit einer früheren oder späteren Version der McAfee DLP
Prevent-Software von externen Medien. Die folgenden Methoden werden bei Verwendung der
ISO-Image-Datei für McAfee DLP Prevent unterstützt.
•
USB-Laufwerk: Erstellen Sie ein bootfähiges USB-Laufwerk, oder kopieren Sie die ISO-Datei
auf das Laufwerk.
Die Verwendung von Linux- oder Windows-formatierten USB-Laufwerken wird unterstützt.
Das Windows-Dateisystemformat exFAT wird nicht unterstützt.
•
•
CD: Brennen Sie eine bootfähige CD, und verwenden Sie ein USB-CD-Laufwerk. Für
4400-Appliances kann das integrierten CD-Laufwerk verwendet werden.
•
Virtuelle CD: Binden Sie in einer ESX-Umgebung das ISO-Image an die virtuelle CD, oder
verwenden Sie für Hardware-Appliances das RMM.
•
SCP: Kopieren Sie die ISO-Datei mithilfe der Secure-Copy-Methode, und aktualisieren Sie das
interne Installations-Image.
Erstellen Sie ein USB-Laufwerk, das das aktuelle Installations-Image enthält.
Beim Erstellen des USB-Images werden sämtliche Daten vom USB-Laufwerk entfernt.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
259
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
Durchführen eines Upgrade oder einer erneuten Installation vom internen Installations-Image
•
Überprüfen Sie die Version oder den Status des Installations-Images.
Vorgehensweise
1
Melden Sie sich über die Befehlszeile bei der Appliance an.
2
Wählen Sie im Konsolenmenü Upgrade aus.
3
Führen Sie die folgenden Aufgaben nach Bedarf aus.
•
So führen Sie ein Upgrade oder eine erneute Installation durch:
1
Wählen Sie Boot from the internal install image (Vom internen Installations-Image starten) aus.
2
Wählen Sie eine der folgenden Optionen aus:
•
Full (Vollständig): Bei dieser Option bleiben sämtliche Konfigurationseinstellungen
erhalten, auch die Nachweisdateien und hervorgehobenen Übereinstimmungen, die zum
Kopieren in die Nachweisspeicherungsfreigabe anstehen.
•
Config (Konfiguration): Bei dieser Option bleiben alle Konfigurationseinstellungen erhalten,
Nachweisdateien und zum Kopieren anstehende hervorgehobene Übereinstimmungen
werden jedoch nicht beibehalten.
•
Basic (Einfach): Es werden lediglich die Netzwerkkonfiguration und die McAfee
ePO-Registrierung beibehalten.
•
Reinstall (Neuinstallation): Die Neuinstallation wird ohne Beibehaltung von
Konfigurationseinstellungen durchgeführt; Sie müssen die Registrierung bei McAfee ePO
mithilfe des Einrichtungs-Assistenten ausführen.
Wenn Sie eine frühere als die derzeit installierte Version installieren, werden Sie in einer
Warnung darauf hingewiesen, dass nur eine Neuinstallation durchgeführt werden kann.
3
Wählen Sie Yes (Ja) aus.
Die Appliance wird dann neu gestartet, und die Installation beginnt.
•
So aktualisieren Sie das Installations-Image von einer CD oder einem USB-Laufwerk:
1
Schließen Sie das Gerät an die Appliance an.
2
Wählen Sie Update the internal install image from an external device (Internes Installations-Image von
einem externen Gerät aktualisieren) aus.
3
Vergewissern Sie sich, dass das externe Gerät in der Liste richtig angegeben ist.
Wenn mehrere ISO-Dateien erkannt werden, werden sämtliche Dateien zur Auswahl
aufgelistet.
4
•
260
Wählen Sie das ISO-Image und das Gerät aus und anschließend Ja aus.
Verwenden Sie zum Aktualisieren des Installations-Images mithilfe von SCP eine
Befehlszeilensitzung oder ein Dienstprogramm wie WinSCP, um die Datei in das Verzeichnis /
home/admin/upload/iso zu kopieren.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Wartung und Fehlerbehebung in McAfee DLP Prevent
Neustarten der Appliance
•
•
14
So erstellen Sie ein USB-Laufwerk, das das Installations-Image enthält:
1
Schließen Sie das USB-Laufwerk an die Appliance an.
2
Wählen Sie Copy the internal install image to a USB flash device (Internes Installations-Image auf ein
USB-Flash-Gerät kopieren) aus.
3
Wählen Sie Yes (Ja) aus.
Wenn Sie Informationen zur letzten Verwendung des Installations-Images sowie zur derzeit im
Installations-Image geladenen Version anzeigen möchten, wählen Sie die Option Show the internal
install image details (Details zum internen Installations-Image anzeigen) aus.
Neustarten der Appliance
Beenden Sie McAfee DLP Prevent, und starten Sie die Anwendung neu.
Vorgehensweise
1
Melden Sie sich mit Administrator-Anmeldeinformationen bei der Appliance an.
2
Wählen Sie im Hauptmenü der Konsole Reboot (Neu starten) aus.
Zurücksetzen der Appliance auf die Werkseinstellungen
Sie können die Appliance auf ihre ursprünglichen Einstellungen (Lieferzustand) zurücksetzen.
Sie müssen dann sämtliche Netzwerkeinstellungen erneut konfigurieren.
Vorgehensweise
1
Melden Sie sich mit Administrator-Anmeldeinformationen bei der Appliance an.
Daraufhin öffnet sich das Hauptmenü der Konsole.
2
Drücken Sie im Hauptmenü der Konsole die Option Reset to factory defaults (Auf
Werkseinstellungen zurücksetzen).
Abmelden der Appliance
Schließen Sie die Anmeldesitzung, und kehren Sie zu einer Anmeldeaufforderung zurück.
Vorgehensweise
1
Melden Sie sich mit Administrator-Anmeldeinformationen bei der Appliance an.
Daraufhin öffnet sich das Hauptmenü der Konsole.
2
Drücken Sie im Hauptmenü der Konsole auf die Option Logout (Abmelden).
Daraufhin wird entweder die SSH-Sitzung geschlossen, oder die Konsole kehrt zur
Anmeldeaufforderung zurück.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
261
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
McAfee DLP Prevent akzeptiert keine E-Mail
McAfee DLP Prevent akzeptiert keine E-Mail
Wenn kein Smart-Host konfiguriert ist, kann McAfee DLP Prevent keine E-Mail-Nachrichten
akzeptieren, da kein Ziel vorhanden ist, an die sie gesendet werden können.
McAfee DLP Prevent gibt den Fehler 451 System problem: retry later. (No SmartHost has been
configured) (451 Systemproblem: Versuchen Sie es später erneut. (Kein Smart-Host konfiguriert.))
aus und schließt die Verbindung.
Sie können prüfen, ob McAfee DLP Prevent mithilfe von Telnet E-Mail akzeptieren kann. Wenn die
Appliance ordnungsgemäß konfiguriert ist, wird eine 220-Begrüßungsnachricht ausgegeben:
220 host.domain.example PVA/SMTP Ready (220 host.domaene.beispiel PVA/SMTP bereit)
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
•
Zur Behebung eines Verbindungsproblems müssen Sie Folgendes durchführen:
a
Installieren Sie die erforderlichen Erweiterungen in McAfee ePO.
b
Registrieren Sie die Appliance bei einem McAfee ePO-Server.
Befolgen Sie die in der Hilfe zum McAfee DLP Prevent-Einrichtungs-Assistenten aufgeführten
Schritte.
c
Konfigurieren Sie in der Richtlinie Allgemeine Appliance-Verwaltung mindestens einen DNS-Server.
Dies wird im Abschnitt "Konfigurieren der allgemeinen Einstellungen" der Online-Hilfe für die
Appliance-Verwaltungserweiterung beschrieben.
d
Konfigurieren Sie in der McAfee DLP Prevent-Richtlinienkategorie E-Mail-Einstellungen einen
Smart-Host.
e
Wenden Sie eine McAfee Data Loss Prevention-Richtlinie an.
Dies wird im Abschnitt "Richtlinienzuweisung" der Online-Hilfe für McAfee ePolicy Orchestrator
beschrieben.
Siehe auch
Arbeiten mit McAfee DLP Prevent-Richtlinien auf Seite 83
Ersetzen des Standardzertifikats
Wenn Ihre E-Mail-Gateway-Einstellungen das selbstsignierte Standardzertifikat nicht akzeptieren,
können Sie das Zertifikat für TLS durch ein anderes signiertes Zertifikat ersetzen.
Die folgenden Zertifikatsformate für PKI-signierte Zertifikate werden unterstützt:
•
PKCS#12(.p12/.pfx)
•
PEM-kodierte Kettenzertifikate
Führen Sie die folgenden Schritte aus, um ein PKI-signiertes Zertifikat zu installieren.
262
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Wartung und Fehlerbehebung in McAfee DLP Prevent
Fehlermeldungen
14
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Melden Sie sich über die Befehlszeile bei der Appliance an.
2
Aktivieren Sie SSH (sofern nicht bereits aktiviert).
3
Kopieren Sie das Zertifikat auf die Appliance:
•
Verwenden Sie ein Dienstprogramm wie WinSCP, um ein unverschlüsseltes Zertifikat in das
Verzeichnis /home/admin/upload/cert zu kopieren. Das Zertifikat wird automatisch installiert.
•
Geben Sie in der Appliance-Shell den folgenden Befehl ein, um ein verschlüsseltes Zertifikat an
einem Speicherort zu installieren, auf den der Benutzer Schreibzugriff hat (außer /home/admin/
upload/cert).
/opt/NETAwss/mgmt/import_ssl_cert "--file" <verschlüsseltes_Zertifikat> --passphrase
<Passphrase>
4
Wählen Sie in McAfee ePO Richtlinienkatalog | Produkt | DLP Prevent-Server | E-Mail-Einstellungen aus, und
aktivieren Sie TLS.
Wenn das Zertifikat nicht installiert werden kann, wird ein ausführlicher Grund dafür im
Syslog-Protokoll angegeben, und im Ereignisprotokoll des McAfee ePO-Clients wird eine
Kurzbeschreibung angegeben.
Siehe auch
McAfee DLP Prevent-Ereignisse auf Seite 241
Verwenden von Syslog mit McAfee DLP Prevent auf Seite 243
Fehlermeldungen
Wenn die Appliance nicht ordnungsgemäß konfiguriert ist, versucht sie, das Problem zu ermitteln, und
sendet eine temporäre oder dauerhafte Fehlermeldung.
Der in Klammern eingeschlossene Text in der Fehlermeldung liefert zusätzliche Informationen zum
Problem. Einige Fehlermeldungen leiten die Antwort vom Smart-Host weiter, sodass die Antwort von
McAfee DLP Prevent die IP-Adresse enthält, die durch "x.x.x.x" angegeben wird.
Beispiel: 442 192.168.0.1: Verbindung verweigert gibt an, dass der Smart-Host mit der
Adresse 192.168.0.1 die SMTP-Verbindung nicht akzeptiert hat.
Tabelle 14-3 Temporäre Fehlermeldungen
Text
Ursache
Empfohlene Maßnahme
451 (The system has not been Die Ersteinrichtung wurde nicht
registered with an ePO server) vollständig durchgeführt.
(Das System ist nicht bei
einem ePO-Server registriert.)
Registrieren Sie die Appliance
mithilfe der Option Graphical
Configuration Wizard (Assistent für
die grafische Konfiguration) in
der Appliance-Konsole bei einem
McAfee ePO-Server.
451 (No DNS servers have
been configured) (Es wurden
keine DNS-Server
konfiguriert.)
Konfigurieren Sie für Allgemeine
Appliance in der Kategorie
Allgemein mindestens einen
DNS-Server.
McAfee Data Loss Prevention 10.0.100
In der von McAfee ePO
angewendeten Konfiguration sind
keine DNS-Server angegeben.
Produkthandbuch
263
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
Fehlermeldungen
Tabelle 14-3 Temporäre Fehlermeldungen (Fortsetzung)
Text
Ursache
Empfohlene Maßnahme
451 (No Smart Host has been
configured) (Es ist kein
Smart-Host konfiguriert.)
In der von McAfee ePO
angewendeten Konfiguration ist
kein Smart-Host angegeben.
Konfigurieren Sie in der
Richtlinienkategorie
E-Mail-Einstellungen einen
Smart-Host.
451 (Policy OPG file not found
in configured location) (Die
OPG-Richtliniendatei wurde im
konfigurierten Speicherort
nicht gefunden.)
Die von McAfee ePO angewendete
Konfiguration war nicht
vollständig.
• Vergewissern Sie sich, dass
die Data Loss
Prevention-Erweiterung
installiert ist.
• Konfigurieren Sie eine Data Loss
Prevention-Richtlinie.
• Wenden Sie sich an den für
Sie zuständigen Mitarbeiter
des technischen Supports. Die
OPG-Konfigurationsdatei muss
mit der OPG-Richtliniendatei
angewendet werden.
451 (Configuration OPG file
not found in configured
location) (Die
OPG-Konfigurationsdatei
wurde im konfigurierten
Speicherort nicht gefunden.)
Die von McAfee ePO angewendete
Konfiguration war nicht
vollständig.
• Vergewissern Sie sich, dass
die Data Loss
Prevention-Erweiterung
installiert ist.
• Konfigurieren Sie eine Data Loss
Prevention-Richtlinie.
• Wenden Sie sich an den für
Sie zuständigen Mitarbeiter
des technischen Supports. Die
OPG-Konfigurationsdatei muss
mit der OPG-Richtliniendatei
angewendet werden.
451 (LDAP server
configuration missing) (Es ist
keine
LDAP-Server-Konfiguration
vorhanden.)
Dieser Fehler tritt auf, wenn die
beiden folgenden Bedingungen
erfüllt sind:
• McAfee DLP Prevent enthält eine
Regel, die einen Absender als
Mitglied einer
LDAP-Benutzergruppe angibt.
Vergewissern Sie sich, dass der
LDAP-Server in der
Richtlinienkategorie Benutzer und
Gruppen ausgewählt ist.
• McAfee DLP Prevent ist nicht für
das Empfangen von
Gruppeninformationen vom
LDAP-Server konfiguriert, der
die betreffende Benutzergruppe
enthält.
264
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Wartung und Fehlerbehebung in McAfee DLP Prevent
Fehlermeldungen
14
Tabelle 14-3 Temporäre Fehlermeldungen (Fortsetzung)
Text
Ursache
Empfohlene Maßnahme
451 (Error resolving sender
based policy) (Fehler beim
Auflösen der
Absender-Richtlinie)
Eine Richtlinie enthält
LDAP-Absenderbedingungen, die
Informationen können jedoch aus
folgenden Gründen nicht vom
LDAP-Server abgerufen werden:
Überprüfen Sie, ob der
LDAP-Server verfügbar ist.
• McAfee DLP Prevent und der
LDAP-Server wurden nicht
synchronisiert.
• Der LDAP-Server reagiert nicht.
442 x.x.x.x: Verbindung
abgelehnt
McAfee DLP Prevent konnte keine
Verbindung mit dem Smart-Host
herstellen, um die Nachricht zu
senden, oder die Verbindung mit
dem Smart-Host wurde während
der Kommunikation verworfen.
Überprüfen Sie, ob der
Smart-Host E-Mail empfangen
kann.
Tabelle 14-4 Dauerhafte Fehlermeldungen
Fehler
Ursache
Aktion
550 Host / domain is not
permitted (Host/Domäne ist
nicht zulässig)
McAfee DLP Prevent hat die
Verbindung vom Quell-MTA
abgelehnt.
Vergewissern Sie sich, dass der
MTA in der Richtlinienkategorie
E-Mail-Einstellungen in der Liste der
zulässigen Hosts enthalten ist.
550 x.x.x.x: Denied by policy.
TLS conversation required
(Durch Richtlinie verweigert.
TLS-Kommunikation
erforderlich.)
Der Smart-Host hat einen
STARTTLS-Befehl nicht
akzeptiert, McAfee DLP Prevent
ist jedoch so konfiguriert, dass
E-Mails immer über eine
TLS-Verbindung gesendet
werden.
Überprüfen Sie die
TLS-Konfiguration auf dem Host.
Tabelle 14-5 ICAP-Fehlermeldungen
Fehler
Ursache
500 (LDAP server configuration Dieser Fehler tritt auf, wenn die beiden
missing) (Es ist keine
folgenden Bedingungen erfüllt sind:
LDAP-Server-Konfiguration
• McAfee DLP Prevent enthält eine Regel,
vorhanden.)
die einen Endbenutzer als Mitglied einer
LDAP-Benutzergruppe angibt.
Aktion
Vergewissern Sie sich,
dass der LDAP-Server
in der
Richtlinienkategorie
Benutzer und Gruppen
ausgewählt ist.
• McAfee DLP Prevent ist nicht für das
Empfangen von Gruppeninformationen
vom LDAP-Server konfiguriert, der die
betreffende Benutzergruppe enthält.
500 (Error resolving end-user
based policy) (Fehler beim
Auflösen der
Endbenutzerrichtlinie)
Eine Richtlinie enthält
Überprüfen Sie, ob der
LDAP-Absenderbedingungen, die
LDAP-Server verfügbar
Informationen können jedoch aus
ist.
folgenden Gründen nicht vom LDAP-Server
abgerufen werden:
• McAfee DLP Prevent und der
LDAP-Server wurden nicht
synchronisiert.
• Der LDAP-Server reagiert nicht.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
265
14
Wartung und Fehlerbehebung in McAfee DLP Prevent
Erstellen eines Minimum-Eskalations-Berichts (MER)
Erstellen eines Minimum-Eskalations-Berichts (MER)
Erstellen Sie einen Minimum-Eskalations-Bericht, um dem McAfee-Support die erforderlichen
Informationen zum Diagnostizieren eines Problems mit McAfee DLP Prevent zu übermitteln.
Der Minimum-Eskalations-Bericht ist über die URL eines McAfee DLP Prevent-Servers verfügbar. Es
können bis zu fünf Berichte gleichzeitig vorhanden sein; jeder wird jeweils nach 24 Stunden gelöscht.
Das Erstellen eines Minimum-Eskalations-Berichts kann einige Minuten dauern, und die Datei kann
eine Größe von mehreren Megabytes haben.
Gelegentlich kann die Berichtserstellung auch länger dauern.
Der Bericht enthält Informationen wie Hardware-Protokolle, Software-Versionen, Datenträger- und
Arbeitsspeicherauslastung, Netzwerk- und Systeminformationen, geöffnete Dateien, aktive Prozesse,
IPC, Binärdateien, Berichte, Rescue-Images und Systemtests.
Der Bericht enthält weder Details zu Nachweisen noch hervorgehobene Übereinstimmungen.
Bewährte Methode: Geben Sie beim Erstellen eines Minimum-Eskalations-Berichts ein Kennwort an,
um den Bericht zu sichern. Denken Sie beim Senden des Berichts an den McAfee-Support daran, das
Kennwort beizufügen.
Vorgehensweise
Klicken Sie auf ? oder Hilfe, um Details zu Produktfunktionen und -nutzung sowie empfohlene
Vorgehensweisen anzuzeigen.
1
Melden Sie sich mit Administrator-Anmeldeinformationen bei der Appliance an.
Daraufhin öffnet sich das Hauptmenü der Konsole.
2
Wählen Sie mithilfe des Abwärtspfeils Generate MER aus.
3
Geben Sie ein Kennwort ein, mit dem der McAfee-Support den MER öffnen kann, und wechseln Sie
mithilfe der Pfeiltaste in das Feld zum Bestätigen des Kennworts.
4
Drücken Sie die EINGABETASTE, um den Bericht zu erstellen.
Wenn der Bericht fertiggestellt wurde, erhalten Sie eine Benachrichtigung mit der URL (https://
<APPLIANCE>:10443/mer), unter der Sie den Bericht herunterladen können.
5
Navigieren Sie zu dieser URL, und wählen Sie den Minimum-Eskalations-Bericht aus, den Sie
herunterladen möchten.
Es können bis zu fünf Berichte gleichzeitig vorhanden sein. Wenn ein weiterer Bericht generiert
wird, wird der älteste Bericht gelöscht.
6
Befolgen Sie die Anweisungen des McAfee-Supports, um den Bericht zu senden.
Falls Sie ein Kennwort festgelegt haben, denken Sie daran, dieses beizufügen.
266
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
A
Glossar
Tabelle A-1
McAfee DLP-Fachbegriffe
Begriff
Definition
Produkte
Aktion
Der Vorgang, den die Regel ausführt, wenn Inhalte
der Definition in der Regel entsprechen. Gängige
Beispiele für Aktionen sind Blockieren,
Verschlüsseln und Isolieren.
Alle
Crawling
Abrufen von Dateien und Daten aus Repositorys,
Dateisystemen und E-Mails.
• McAfee DLP
Endpoint
(Erkennung)
• McAfee DLP
Discover
Klassifizierung
Ein Verfahren, das die Identifizierung und
Verfolgung vertraulicher Inhalte und Dateien
ermöglicht. Dieses kann Inhaltsklassifizierungen,
Inhaltsfingerabdrücke, registrierte Dokumente und
Text in der Whitelist umfassen.
Alle
Inhaltsklassifizierung
Ein Verfahren, mit dem vertrauliche Inhalte anhand
von Datenbedingungen (z. B. Textmuster und
Wörterbücher) sowie von Dateibedingungen (z. B.
Dokumenteigenschaften und Dateierweiterungen)
erkannt werden.
Alle
Inhalts-Fingerprinting
Ein Verfahren zum Klassifizieren und Verfolgen
McAfee DLP
vertraulicher Inhalte.
Endpoint for
Inhalts-Fingerprinting-Kriterien geben
Windows
Anwendungen oder Speicherorte an und können
zudem Daten- und Dateibedingungen enthalten.
Die Fingerabdrucksignaturen bleiben beim Kopieren
oder Verschieben vertraulicher Inhalte mit diesen
verbunden.
Datenvektor
Eine Definition des Inhaltsstatus oder der
Inhaltsverwendung. McAfee DLP schützt
vertrauliche Daten, wenn diese gespeichert sind
(ruhende Daten), wenn sie verwendet werden
(verwendete Daten) und wenn sie übertragen
werden (bewegte Daten).
Alle
Definition
Eine Konfigurationskomponente, die Bestandteil
einer Klassifizierung oder McAfee DLP
Discover-Scan-Richtlinie ist.
Alle
Geräteklasse
Eine Gruppe von Geräten, die ähnliche Merkmale
• Device Control
aufweisen und auf eine ähnliche Art und Weise
verwaltet werden können. Geräteklassen gelten nur • McAfee DLP
für Windows-Computer. Sie können den Status
Endpoint for
Verwaltet, Nicht verwaltet oder In der Whitelist
Windows
aufweisen.
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
267
A
Glossar
Tabelle A-1
McAfee DLP-Fachbegriffe (Fortsetzung)
Begriff
Definition
Produkte
Erkennungs-Server
Der Windows-Server, auf dem die McAfee DLP
Discover-Software installiert ist.
McAfee DLP
Discover
Sie können mehrere Erkennungs-Server im
Netzwerk installieren.
Dateiinformationen
Eine Definition, die den Namen, den Besitzer, die
Größe, die Erweiterung sowie das Erstellungs-,
Änderungs- und Zugriffsdatum einer Datei
enthalten kann.
Alle Produkte
Sie können Dateiinformationsdefinitionen in Filtern
verwenden, um Dateien in Scans einzuschließen
bzw. aus Scans auszuschließen.
Fingerprinting
Ein Verfahren zur Textextrahierung, bei dem ein
• McAfee DLP
Dokument mithilfe eines Algorithmus
Endpoint for
Bit-Zeichenfolgen oder Signaturen zugeordnet wird.
Windows
Es wird zum Erstellen registrierter Dokumente und
für das Inhalts-Fingerprinting verwendet.
• McAfee DLP
Prevent
Verwaltete Geräte
Dieser Geräteklassenstatus bedeutet, dass die
Geräte dieser Klasse von Device Control verwaltet
werden.
• Device Control
Übereinstimmende
Zeichenfolge
Der gefundene Inhalt, der mit einer Regel
übereinstimmt.
Alle Produkte
MTA
Message Transfer Agent
(Nachrichtenübertragungsagent)
McAfee DLP
Prevent
Pfad
Ein UNC-Name, eine IP-Adresse oder eine
Web-Adresse.
• McAfee DLP
Endpoint
(Erkennung)
• McAfee DLP
Endpoint
• McAfee DLP
Discover
• McAfee DLP
Prevent
Richtlinie
Ein Satz von Definitionen, Klassifizierungen und
Alle Produkte
Regeln, die definieren, auf welche Weise die McAfee
DLP-Software Daten schützt.
Prüfer für unkenntlich
gemachte Daten
Personen mit dieser Rolle können in den Konsolen
Alle Produkte
DLP-Vorfallsmanager und DLP-Vorgänge angezeigte
vertrauliche Informationen unkenntlich machen, um
die nicht autorisierte Ansicht zu verhindern.
Registrierte Dokumente Vorab gescannte Dateien aus bestimmten
Repositorys. Es werden Signaturen der Dateien an
alle verwalteten Endpunkt-Computer verteilt,
anhand derer aus diesen Dateien kopierte Inhalte
verfolgt und klassifiziert werden.
268
McAfee Data Loss Prevention 10.0.100
• McAfee DLP
Endpoint for
Windows
• McAfee DLP
Prevent
Produkthandbuch
Glossar
Tabelle A-1
A
McAfee DLP-Fachbegriffe (Fortsetzung)
Begriff
Definition
Produkte
Repository
Ein Ordner, Server oder Konto mit freigegebenen
Dateien.
• McAfee DLP
Endpoint
(Erkennung)
Die Repository-Definition enthält die Pfade und
Anmeldeinformationen zum Scannen der Daten.
• McAfee DLP
Discover
Regel
Definiert die Aktion, die durchgeführt werden soll,
wenn ein Benutzer versucht, vertrauliche Daten zu
übertragen bzw. zu senden.
Alle Produkte
Regelsatz
Eine Kombination mehrerer Regeln.
Alle Produkte
Planer
Eine Definition, die die Scan-Details und den
Planungstyp angibt, z. B. täglich, wöchentlich,
monatlich, einmal oder sofort.
• McAfee DLP
Endpoint
(Erkennung)
• McAfee DLP
Discover
Strategie
Anwendungen werden in McAfee DLP Endpoint in
McAfee DLP
vier als Strategien bezeichnete Kategorien
Endpoint
untergliedert, die bestimmen, wie die Software mit
verschiedenen Anwendungen arbeitet. Dies sind
(mit abnehmender Sicherheit) die Strategien Editor,
Explorer, Vertrauenswürdig und
Archivierungsprogramm.
Nicht verwaltete Geräte Dieser Geräteklassenstatus bedeutet, dass die
Geräte dieser Klasse nicht von Device Control
verwaltet werden. Einige Endpunkt-Computer
nutzen Geräte, bei denen Kompatibilitätsprobleme
mit den McAfee DLP Endpoint-Gerätetreibern
auftreten. Um operative Probleme zu vermeiden,
werden diese Geräte auf "Nicht verwaltet"
festgelegt.
• Device Control
In der Whitelist
befindliche Geräte
Device Control
McAfee DLP
Endpoint for
Windows
McAfee Data Loss Prevention 10.0.100
Dieser Geräteklassenstatus bedeutet, dass Device
Control nicht versucht, die Geräte in dieser Klasse
zu verwalten. Beispiele sind batteriebetriebene
Geräte und Prozessoren.
• McAfee DLP
Endpoint for
Windows
Produkthandbuch
269
A
Glossar
270
McAfee Data Loss Prevention 10.0.100
Produkthandbuch
Index
A
Cloud-Schutzregeln 152
Abfrage/Antwort 190
Abstand 118
Abwärtskompatibilität 46
Active Directory-Server 87
Agenten reaktivieren 51
Agentenkonfiguration
Mac OS-Unterstützung 66
Allgemeine Appliance-Verwaltung 91
Anmeldeinformationen 201
Anti-Relay-Einstellungen 85
Anwendungsdefinitionen
Strategie 122
Anwendungsvorlagen
Informationen 127
Ausnahmen von Regeln 168
Authentifizierungs-Server 87
B
Bandbreite 196
Behebungs-Scans
Beschreibung 195
Konfigurieren 208
Benachrichtigungen, ePolicy Orchestrator 238
Benutzerbenachrichtigung anpassen 163
Benutzersitzungen 108
Berechtigungssätze 77
Appliance-Verwaltung 81
McAfee DLP Prevent 81
Berechtigungssätze definieren 78
Berechtigungssätze, Systemstrukturfilterung 75
Beschränkung 196
Bewährte Methoden 31, 44, 47, 75, 101, 103, 174
Boldon James 143
Boldon James, Integration 142
Box 152
C
Chrome, unterstützte Versionen 156
Citrix XenApp-Geräteregeln 108
Client-Dienst-Watchdog 63
Client-Konfiguration 63
Systemstruktur 62
McAfee Data Loss Prevention 10.0.100
D
Dashboards, Berichtsoptionen 238
Dateierweiterungen
Definitionen 127
Dateizugriff
Regeln, Informationen 108
Daten
Bewegte Daten 121
Klassifizieren 125
Datenzusammenfassung 240
Definitionen
Anmeldeinformationen 201
Dateierweiterung 127
Dateiinformationen 200
Dokumenteigenschaften 127
Für Scans 200
McAfee DLP Discover 198
Netzwerk 120
Planer 205
Registrierte Dokumente 132
Repositorys 202, 203
Textmuster 126
Web-Ziel 121
Wörterbücher 125
Definitionen für Regeln 148
Denial-of-Service-Angriff
vermeiden 84
Diagnose-Tool 251, 253
DLP Discover 186
DLP Endpoint
Einchecken in McAfee ePO 48
DLP Prevent
Anti-Relay 85
Benutzerbenachrichtigungen 163
Denial-of-Service-Angriff vermeiden 84
E-Mail-Schutz 20
LDAP-Server 87
McAfee Logon Collector 87, 90
mit McAfee Web Gateway 93
Regelreaktionen 154
Richtlinie
LDAP-Server auswählen 89
Produkthandbuch
271
Index
DLP Prevent (Fortsetzung)
Round-Robin-Zustellung 85
Standardzertifikat ersetzen 262
TLS aktivieren 86
und McAfee Email Gateway 91
Web-Schutz 21
Zeitlimiteinstellungen 84
zulässige Hosts 85
zusätzliche MTAs konfigurieren 84
DLP Prevent for Mobile Email, Installation 58
DLP Prevent-Server-Richtlinie 83
DLP-Daten klassifizieren 126
DLP-Einstellungen 44
DLP-Ereignisverwaltung 218
Reaktion auf Ereignisse 217
DLP-Regeln
Gerät 32
Klassifizierung 31
Erweiterte Muster
Erstellen 141
DLP-Richtlinienkonsole installieren 42
DLP-Richtlinienregeln
Schutz 32
Dokumentation
Produktspezifisch, suchen 10
Typografische Konventionen und Symbole 9
Zielgruppe dieses Handbuchs 9
Dokumenteigenschaften, Definitionen 127
Dropbox 152
Druckerschutzregeln 120
Durch Benutzer gestartete Scans 185
G
E
E-Mail 120
mobil 21
Netzwerk 20
E-Mail-Adressen
Erstellen 149
E-Mail-Adresslisten 153
E-Mail-Klassifizierung 143
E-Mail-Schutzregeln 153
Eingebettete Tags 128, 130
Einschränkungen 196
Endgeräterkennung 185
Endpoint-Konsole 15–17
ePO-Benachrichtigungen 238
ePO-Berichte 238
Ereignisanalyse 15
Ereignisse
Überwachung 217
Ereignisverwaltung 218
Erkennung
Beschreibung 186
Einrichtung 189
Erstellen einer Dateisystem-Erkennungsregel 188
Erkennungsregeln für Endgeräte 168
272
McAfee Data Loss Prevention 10.0.100
F
Fälle
Aktualisieren 230
Audit-Protokolle 229
Benachrichtigungen senden 230
Beschriftungen 231
Erstellen 228
Informationen 228
Kommentare hinzufügen 230
Löschen 232
Vorfälle zuweisen 229
Filter 200
Netzwerkdefinitionen 120
Fingerprinting-Kriterien 136
Geräte
Listen, Plug-and-Definitionen hinzufügen 103
Geräte-GUID 100
Geräte-Regeln
Info 108
Gerätedefinitionen 101
Wechselspeicher 104
Geräteeigenschaften 105
Geräteklassen 99
Geräteregeln 168
Definition 32
Google Chrome, unterstützte Versionen 156
GoogleDrive 152
GUID, Siehe Geräte-GUID
H
Handbuch, Informationen 9
Handler
Cloud-Schutz 152
Hervorheben von Übereinstimmungen, Ereignisse 72
I
Inhalts-Fingerprinting
Kriterien 118
Inhalts-Fingerprinting-Kriterien 31
Inhaltsklassifizierung
Kriterien 118
Installation 49
Internes Installations-Image 259
Inventar-Scans
Beschreibung 194
Konfigurieren 206
Produkthandbuch
Index
J
JAWS-Unterstützung 16
K
Kennzeichnung 117
Informationen 118
Klassifizierung 117
E-Mail 143
Kriterien 134
Manuell 128
Klassifizierung, manuell 137
Klassifizierungen 133
Beschreibung 117
Klassifizierungs-Scans
Beschreibung 194
Konfigurieren 207
Netzwerkdefinitionen
Adressbereich 148
Beschreibung 120
Port-Bereich 148
Nicht unterstützte Chrome-Versionen 151
O
OLAP 211
OneDrive 152
Online-/Offline-Betrieb 15
OpenLDAP-Server 87
Operative Ereignisse 218
OS X-Unterstützung 17, 101
OST-Dateien 120
P
Klassifizierungsregeln 31
Komponenten, Data Loss Prevention (Diagramm) 26
Konventionen und Symbole in diesem Handbuch 9
Konvertierung 47
Planer 205
Platzhalter 163
Platzhalter in E-Mail-Adressdefinitionen 153
Plug-and Play-Geräte
Whitelist-Definition erstellen 103
L
PST-Dateien 120
LDAP 89
Q
M
Manuelle Klassifizierung 131, 137
Manuelle Klassifizierung, Persistenz 118
McAfee Agent 27
Quarantäne
Wiederherstellen von Dateien oder E-Mail-Elementen 190
R
McAfee DLP Prevent
Einrichtungs-Assistent 57, 258
Installation 53
MTA-Server, Anforderungen 27
serielle Konsole 56
McAfee Email Gateway
mit McAfee DLP Prevent 91
McAfee ePO-Funktionen 95
McAfee Logon Collector 87
McAfee ServicePortal, Zugriff 10
McAfee Web Gateway
mit McAfee DLP Prevent 93
Migration 47
Reaktionen 164
Rechteverwaltung 68, 70
Regeldefinitionen 148
Regeln 150
Ausnahmen 168
Beschreibung 199
Citrix XenApp 108
Cloud-Schutz 152
E-Mail-Schutz 153
erstellen 168
für Behebungs-Scans 205
Reaktionen 164
Regeln mit Nachweisspeicherung 73
Mobile E-Mail 21
MTAs
weitere hinzufügen 84
Regelreaktionen 154
Regelsätze
Beschreibung 147
Erstellen 168
N
Registrierte Dokumente 31, 132
Repositorys 202, 203
Richtlinie konfigurieren 200
Richtlinien
Definition 32
DLP Prevent 83
Nachweis
Ereignisse auf Endgeräten 217
Speicher für verschlüsselten Inhalt 71
Nachweisordner 74
Nachweisspeicherung 72
Netzwerk-E-Mail 20
McAfee Data Loss Prevention 10.0.100
Richtlinien optimieren 253
Richtlinienkatalog 62
RMM 257, 258
Produkthandbuch
273
Index
Rollen und Berechtigungen 74
Rollenbasierte Zugriffskontrolle 78
Rollup-Berichte 238
Round-Robin-Nachrichtenzustellung 85
Ruhende Daten 186
Unternehmensbezogene Begründung anpassen 163
Unterstützung von OS X 97, 108–110, 117, 121, 127, 151, 156
Upgrade 49
URL-Listen
Erstellen 142
S
V
Scans
Anmeldeinformationen 201
Behebung 195, 208
Ergebnisse 211
Inventar 194, 206
Klassifizierung 194, 207
Planer 205
Repositorys 202, 203
Typen 19
Schutzregeln 168
Definition 32
Selbsthilfe für Benutzer 185
Server-Tasks 47, 233
Server-Tasks, Zusammenfassung 240
Validierungsalgorithmen 126
Verwaltungs-Port verbinden 55
Vorfall-Tasks 218, 233
Vorfälle
Aktualisieren 225
Ansichten 222
Beschriftungen 227
Details 224
Filtern 221, 223
Sortieren 221
Vorfalls-Manager 218
ServicePortal, Quellen für Produktinformationen 10
Speicherort, Klassifizierung anhand 121
Standard-Ports 36
Strategie, Siehe Anwendungsdefinitionen
Syncplicity 152
T
Tasks für operative Ereignisse 233
Technischer Support, Produktdokumentation finden 10
Text in der Whitelist 135
Textextrahierung 121
Textmuster
Beschreibung 126
TIE-Unterstützung 151
Titus, Integration 142
TLS
aktivieren 86
Transport Layer Security
siehe TLS 86
TrueCrypt-Geräteregeln 108
U
Überwachung 218
Unkenntlichmachung 75
274
McAfee Data Loss Prevention 10.0.100
W
Watchdog-Dienst 63
Web-Schutz-Authentifizierung 87
Web-Schutzregeln 156
Web-Ziele
Beschreibung 121
Whitelists 32
Plug-and-Play-Definitionen erstellen 103
Wörterbücher
Beschreibung 125
Einträge importieren 140
Erstellen 140
X
X-RCIS-Aktions-Header 154
Z
Zeitlimit-Strategie, Web-Veröffentlichungen 156
Zeitlimiteinstellungen 84
Zertifikate 262
Zuweisungsgruppen
Definition 32
Zwischenablage
Microsoft Office 152
Zwischenablage-Schutzregeln 152
Produkthandbuch
0A15

McAfee Endpoint Security for Mac‍

McAfee Endpoint Security for Mac

Netzwerkleistung und Sicherheit

McAfee Endpoint Security for Mac 10.2.1 Versionsinformationen

McAfee Data Exchange Layer 2.2.0

Infografik Threats Report Mai 2016 - Info-Point

McAfee Endpoint Security for Mac 10.2.0 Versionshinweise

Enterprise Mobile Management

In 10 Schritten zur Internetsicherheit für die ganze Familie

McAFEE SAFEKEY INSTALLIEREN