Configurar los Sensores DLP

Para detectar los datos que coinciden con categorías específicas de contenidos, puede crear DLP Sensors. Puede aplicar un DLP Sensor a una o más políticas para monitorizar o garantizar el cumplimiento de su organización a las políticas de seguridad de la información. Cada DLP Sensor contiene reglas, acciones y ajustes.

Cuando comience a utilizar por primera vez el servicio de Data Loss Prevention, le recomendamos configurar el DLP Sensor para permitir contenido que coincida con las reglas de control de contenido seleccionadas, y enviar un mensaje de registro cuando se detecta una violación de DLP. Esto le permite monitorizar la actividad en su red antes de que configure el DLP para descartar, bloquear o poner en cuarentena el contenido que coincida con las reglas configuradas en el DLP sensor. Para más información, consulte Monitorizar la Actividad de DLP.

DLP y el Desempeño de Dispositivo

Cuando está habilitado, el servicio de Data Loss Prevention agrega mayor carga para el escaneo y consume memoria adicional en su aplicación. Algunas reglas de DLP hacen un uso intensivo de recursos. Si habilita muchos sensores y reglas, el funcionamiento del dispositivo podría verse notablemente afectado. Cada DLP Sensor requiere espacio adicional en la memoria, y el número de las reglas de DLP que se configuran en cada sensor también afecta la cantidad de memoria usada por el dispositivo. Seleccione solo aquellas reglas que sean adecuadas para su región y el uso que sea relevante para su industria. Esto también ayudará a minimizar cualquier falso positivo potencial.

En XTM 25/26, WatchGuard le recomienda utilizar no más de uno o dos sensores, y que cada sensor no contenga más de 6 reglas de DLP.

Reglas

Para cada sensor, seleccione cuál de los controles de contenido predefinidos o reglas personalizadas habilitar. Una regla de control de contenido es un conjunto de condiciones que describe el contenido que la regla puede identificar en un archivo. Las reglas de control de contenido se basan en el conjunto de firmas de DLP, y se actualizan con el tiempo a medida que las firmas de DLP se actualizan. Las reglas personalizadas son reglas que usted crea para buscar frases específicas para su organización.

Cada regla de control de contenido tiene cuatro propiedades.

Nombre

Para cada regla, el nombre de la regla describe brevemente el tipo de datos que esta identifica. Algunas reglas buscan un solo tipo de datos, tales como números de teléfono, o números de seguro social. Otras reglas buscan una combinación de datos relacionados, tales como números de tarjeta de crédito cerca de información personalmente identificable.

Región

Cada regla aplica a una región específica. Algunos tipos de datos son solamente aplicables a una región específica. Otros tipos de datos tienen un formato distinto en regiones diferentes. Por ejemplo, hay varias reglas para obtener una licencia de conducir para diferentes regiones. Si una regla puede identificar el tipo de datos especificado para múltiples regiones, la región se establece en Global. Puede filtrar las reglas listadas por región.

Categoría

Para cada regla, la categoría describe qué tipo general de datos puede identificar la regla.

Cantidad

La regla de control de contenido tiene un valor de cantidad asociado, que es una medida del número ponderado de coincidencias que una regla debe encontrar en un objeto escaneado para activar una violación de DLP. Puede buscar los valores de cantidad para cada regla en el Portal de Seguridad de WatchGuard.

Para más información, consulte Buscar Reglas de DLP en el Portal de Seguridad.

No puede modificar la cantidad predeterminada de coincidencias para las reglas de DLP en su configuración.

Acciones

En cada sensor usted define las acciones que se tomarán si el sensor detecta el contenido que coincide con las reglas habilitadas en el sensor. Especifique una acción a tomar para el contenido detectado en el tráfico de correo electrónico, y otra acción a tomar para el contenido detectado en el tráfico que no es de correo electrónico.

Acciones para el tráfico de correo electrónico:

  • Permitir — Permite el correo electrónico
  • Bloquear — Bloquea el adjunto de correo electrónico. El usuario no puede abrir fácilmente un archivo bloqueado. Solo el administrador puede desbloquear el archivo.
  • Eliminar — Elimina el adjunto y envía el resto del mensaje al destinatario. Substituye el adjunto eliminado con un deny message configurado en el proxy SMTP.
  • Cuarentena — Envía el mensaje original al Quarantine Server. Elimina la parte del mensaje (cuerpo del mensaje o archivo adjunto) que activó la violación de DLP y envía el mensaje modificado al destinatario. El mensaje eliminado es sustituido con el deny message configurado en el proxy SMTP. Si no se puede contactar al Quarantine Server, el mensaje se rechaza temporalmente.
  • Denegar — Deniega la solicitud específica y descarta la conexión. Se envía una notificación al origen del contenido.
  • Descartar — Deniega la solicitud específica y descarta la conexión. No se envía una notificación al origen del contenido.
  • Bloquear — Deniega la solicitud, descarta la conexión y agrega la dirección IP del remitente a la lista de Sitios Bloqueados.

Los destinatarios no pueden ver o manipular los mensajes en cuarentena debido a una violación de DLP. Sólo el administrator puede manipular los mensajes puestos en cuarentena por el DLP. Para más información, consulte Administrar los Mensajes en Cuarentena.

Acciones para el tráfico que no es de correo electrónico:

  • Permitir — Permite la conexión
  • Descartar — Deniega la solicitud específica y descarta la conexión. No se envía información al origen del contenido.
  • Bloquear — Deniega la solicitud, descarta la conexión y agrega la dirección IP de origen del contenido a la lista de Sitios Bloqueados.

De forma predeterminada, un DLP sensor contiene una acción de DLP, que se aplica al contenido escaneado de todos los orígenes y destinos. Puede configurar acciones múltiples para el mismo DLP sensor. Esto le permite configurar diversas acciones basadas en el origen o el destino del tráfico. Para cada acción, también puede configurar si genera un mensaje de registro y envía una alarma cuando el sensor detecta el contenido que coincide con las reglas habilitadas en el sensor.

Ajustes

En los ajustes de DLP, puede establecer el límite de escaneo y configurar las acciones que se van a tomar si el contenido no se puede escanear por alguna de estas razones:

  • el contenido excede el límite de escaneo
  • ocurre un error de escaneo
  • el contenido está protegido por una contraseña

Para cada una de estas tres condiciones, puede establecer diferentes acciones para el contenido detectado en el tráfico de correo electrónico y que no es de correo electrónico.

Tipos de Sensor

DLP incluye dos tipos de sensor: sensores incorporados y sensores definidos por el usuario. Los sensores incorporados habilitan las reglas de contenido relacionadas con el cumplimiento de HIPAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud de Estados Unidos) y los estándares de seguridad de información del PCI (Industria de Tarjetas de Pago). Los sensores incorporados se configuran para permitir todo el tráfico y crear un mensaje de registro cada vez que detecten contenido que coincida con las reglas de control de contenido. Los sensores incorporados no bloquean ningún contenido, incluso si el contenido no puede ser escaneado.

Los dos sensores incorporados son:

  • HIPAA Audit Sensor — Detecta contenido relacionado con el cumplimiento de los estándares de seguridad de HIPAA
  • PCI Audit Sensor — Detecta contenido relacionado con el cumplimiento de los estándares de seguridad de PCI

No puede editar ni borrar los sensores incorporados, pero puede clonarlos, y editar el clon.

Cualquier sensor que cree es un sensor definido por el usuario. Para crear un sensor definido por el usuario, puede clonar un sensor existente o agregar uno nuevo. Cuando configura un sensor, selecciona el control de contenido y las reglas, acciones y ajustes personalizados que tienen sentido para su organización.

Agregar un Sensor

Cuando agrega un DLP Sensor, el Data Loss Prevention Wizard le ayuda a crear el sensor, y lo aplica a las políticas de proxy. El asistente muestra diferentes pantallas dependiendo de si usted ya tiene políticas de proxy en su configuración. Si no las tiene, el asistente lo ayuda a crear una o más políticas de proxy.

Para agregar un DLP sensor:

  1. Seleccione Servicios de Suscripción > Data Loss Prevention.
    Aparece el cuadro de diálogo Data Loss Prevention.
  2. En la pestaña Sensores, haga clic en Agregar.
    Se inicia el Data Loss Prevention Wizard.

Screen shot of the Data Loss Prevention Wizard Welcome page
DLP Sensor Wizard en Fireware Web UI

Screen shot of the Data Loss Prevention Wizard welcome dialog box
DLP Sensor Wizard en Policy Manager

  1. En el cuadro de texto Nombre, edite el nombre del sensor.
  2. (Opcional) En el cuadro de texto Descripción, ingrese una nueva descripción para este sensor.
  3. Haga clic en Siguiente.
    Aparece una lista de las políticas de proxy FTP, SMTP, HTTP y HTTPS configuradas. Si su configuración no incluye políticas que admiten DLP, el asistente se salta este paso.

Screen shot of the Data Loss Prevention Wizard, Policies page
Políticas de DLP en Fireware Web UI

Screen shot of the Data Loss Prevention Wizard policies dialog box
Políticas de DLP en Policy Manager

  1. Para habilitar Data Loss Prevention para una política, marque la casilla de selección adyacente a cualquier política que todavía no tenga habilitado el Data Loss Prevention.
  2. Haga clic en Siguiente.
    Si su configuración todavía no incluye una política de proxy HTTP, FTP o SMTP, el asistente le pregunta si desea crear nuevas políticas de proxy. Si su configuración ya incluye todos los tipos de políticas de proxy admitidas por el DLP, el asistente omite este paso.

Screen shot of the Data Loss Prevention Wizard, Create new policies page
DLP crea nuevas políticas en Fireware Web UI

Screen shot of the Data Loss Prevention Wizard create new proxy policies step
DLP crea nuevas políticas en Policy Manager

  1. Marque la casilla de selección adyacente a cada política que desea que el asistente cree. No puede usar el asistente para agregar una política de proxy de un tipo que ya existe.
  2. Haga clic en Siguiente.
    Aparece la lista de las reglas de control de contenido.

Screen shot of the Data Loss Prevention wizard, Rules page
Reglas de DLP en Fireware Web UI


Reglas de DLP en Policy Manager

  1. En la lista de reglas, marque la casilla de selección para cada regla de control de contenido o regla personalizada que desee habilitar para este sensor.
    Existen varias maneras en que puede cambiar la vista de la lista para encontrar las reglas que desea habilitar:
    • Para filtrar la lista, de la lista desplegable Filtrar Por, seleccione Todas las reglas de control de contenido para mostrar la lista completa, o Reglas configuradas para mostrar solamente las reglas configuradas para este sensor.
    • Para buscar las reglas para una región en particular, seleccione la región de la lista desplegable Región.
    • Para buscar una regla que contenga texto específico en la descripción de Nombre, Región o Categoría, ingrese el texto en el cuadro de texto Buscar.
    • Haga clic en el encabezado de una columna para ordenar la lista por el contenido de esa columna.
  1. Haga clic en Siguiente.
    Aparece la configuración de Acciones.

Screen shot of the Data Loss Prevention Wizard, Actions page
Acciones de DLP en Fireware Web UI

Screen shot of the Data Loss Prevention Wizard actions settings
Acciones de DLP en Policy Manager

  1. De la lista desplegable Cuando el contenido se detecta en el correo electrónico, seleccione la acción a tomar cuando el contenido de un mensaje de correo electrónico coincida con las reglas habilitadas en este sensor.
  2. De la lista desplegable Cuando el contenido se detecta en tráfico que no es de correo electrónico, seleccione la acción a tomar cuando el contenido del tráfico que no es de correo electrónico coincida con las reglas habilitadas en este sensor.
  3. Para activar una alarma cuando este sensor detecte ese contenido, marque la casilla de selección Alarma.
  4. Para crear mensajes de registro cuando este sensor detecte ese contenido, marque la casilla de selección Registro.
  5. Haga clic en Siguiente.
  6. Para cerrar el asistente, haga clic en Finalizar.
    El nuevo sensor aparece en la pestaña Sensores en el cuadro de diálogo Data Loss Prevention.

Clonar un Sensor

Para hacer una copia de un sensor existente, debe clonarlo. Esto crea otro sensor creado por el usuario que usted puede editar.

Para clonar un sensor:

  1. Seleccione el sensor que desea copiar.
  2. Haga clic en Clonar.
  3. Edite el sensor como se describe en las siguientes secciones.

Editar un Sensor

Puede editar cualquiera de los sensores creados por el usuario. Para editar un sensor:

  1. Seleccione Servicios de Suscripción > Data Loss Prevention.

    Aparece el cuadro de diálogo Data Loss Prevention.
  2. En la pestaña Sensores, seleccione un sensor definido por el usuario, y haga clic en Editar.
    Aparece el cuadro de diálogo Editar Sensor de Data Loss Prevention.

Screen shot of the Data Loss Prevention, Rules tab
Propiedades del DLP sensor en Fireware Web UI

Screen shot of the Edit Data Loss Prevention Sensor dialog box, Rules tab
Propiedades del DLP sensor en Policy Manager

  1. En la pestaña Reglas, marque la casilla de selección para cada regla de control de contenido o personalizada que desea habilitar para este sensor.
    O desmarque la casilla de selección para deshabilitar una regla habilitada.
    Para cambiar la vista de lista para encontrar las reglas para habilitar:
    • Para filtrar la lista, desde la lista desplegable Filtrar Por, seleccione Todas las reglas de control del contenido para mostrar la lista completa, o Reglas habilitadas para mostrar solamente las reglas habilitadas para este sensor.
    • Para buscar las reglas para una región en particular, seleccione la región de la lista desplegable Región.
    • Para buscar una regla que contenga texto específico en la descripción de Nombre, Región o Categoría, ingrese el texto en el cuadro de texto Buscar.
    • Haga clic en el encabezado de una columna para ordenar la lista por el contenido de esa columna.
  2. Edite las acciones y los ajustes del sensor como se describe en las siguientes secciones.

Agregar o Editar Acciones del Sensor

La primera acción en un sensor nuevo se aplica a todo el tráfico desde cualquier origen hacia cualquier destino. Cuando edita y agrega acciones del sensor, puede agregar acciones múltiples, cada una de las cuales se aplican al tráfico de diversos orígenes hacia diferentes destinos. Para cada acción, puede establecer el origen y el destino para uno de estos tipos:

  • IP del Host — Una dirección IP única
  • IP de la Red — Una subred de IP de la red
  • Dirección de correo electrónico — Una dirección de correo electrónico, tal como [email protected], o *@ejemplo.com
  • Usuario autenticado — El nombre de usuario de un usuario autenticado
  • URL — Cualquier URL
  • Cualquiera — Cualquier origen o destino. Un origen o un destino de tipo Cualquiera aparece como * en la lista de Acciones

Para agregar o editar acciones cuando edita un sensor:

  1. Seleccione la pestaña Acciones.
    Aparece la lista de acciones habilitadas para este sensor.

Screen shot of the Edit Data Loss Prevention, Actions tab
Acciones de DLP en Fireware Web UI

Screen shot of the Edit Data Loss Prevention Sensor dialog box, Actions tab
Acciones de DLP en Policy Manager

  1. Para agregar una nueva acción, haga clic en Agregar.
    O, para editar una acción existente, seleccione la acción y haga clic en Editar.

Screen shot of the Add Sensor Action Properties dialog box
Propiedades de Acción del DLP Sensor en Fireware Web UI

Screen shot of the DLP Sensor Action dialog box
Propiedades de Acción del DLP Sensor en Policy Manager

  1. De la lista desplegable Origen, seleccione el tipo de dirección de origen para definir esta acción.
  2. Si selecciona un origen que no sea Cualquiera, ingrese la dirección de origen en el cuadro de texto adyacente a la lista desplegable Origen.
  3. De la lista desplegable Destino, seleccione el tipo de dirección de destino a definir para esta acción.
  4. Si selecciona un destino que no sea Cualquiera, ingrese la dirección de destino en el cuadro de texto adyacente a la lista desplegable Destino.
  5. De la lista desplegable Cuando el contenido se detecta en el correo electrónico, seleccione la acción a tomar cuando el contenido de un mensaje de correo electrónico coincida con las reglas habilitadas en este sensor.
  6. De la lista desplegable Cuando el contenido se detecta en tráfico que no es de correo electrónico, seleccione la acción a tomar cuando el contenido del tráfico que no es de correo electrónico coincida con las reglas habilitadas en este sensor.
  7. Para activar una alarma cuando este sensor detecte contenido coincidente, marque la casilla de selección Alarma.
  8. Para crear mensajes de registro cuando este sensor detecte contenido coincidente, marque la casilla de selección Registro.
  9. Haga clic en Aceptar.
    La nueva acción aparece en la pestaña Acciones para el sensor.

Reordenar las Acciones del Sensor

Si agrega más de una acción a un DLP Sensor, DLP usa las acciones en orden de prioridad de manera descendente. Si agrega acciones múltiples para el sensor, asegúrese de que la acción que se aplica a un origen o destino más específico aparezca más arriba de la lista que una acción que se aplique a un origen y destino menos específico. Por ejemplo, si usa la acción de DLP que se aplica al tráfico de cualquier origen para cualquier destino, asegúrese de que cualquier otra acción que agregue esté ubicada más alto en la lista.

Para cambiar el orden de las acciones en un DLP Sensor:

  1. Seleccione la pestaña Acciones.
  2. Haga clic en el Origen o Destino de la acción que desea mover.
  3. Haga clic en Arriba o Abajo para mover la regla seleccionada hacia arriba o abajo de la lista.

Ajustar la Configuración de Escaneo del Sensor

En cada DLP Sensor definido por el usuario, puede cambiar la configuración que controlan la manera en que el DLP escanea el contenido, y qué acción tomar si el contenido no se puede escanear. Para configurar los ajustes de escaneo, seleccione la pestaña Configuración.

Para más información sobre estas configuraciones, consulte Ajustar la Configuración de Escaneo de DLP.

Eliminar un Sensor

Para eliminar un sensor:

  1. Seleccione Servicios de Suscripción > Data Loss Prevention.
  2. Seleccione el sensor que desea eliminar.
  3. Haga clic en Eliminar.

No podrá eliminar los sensores incorporados, o un sensor que utilizado por una política.

Ver También

Acerca de Data Loss Prevention