Uso de reglas de destino de la política

Las reglas de destino de la política permiten especificar cuándo un dispositivo o un grupo de dispositivos debe usar una política específica. Cada regla de destino de la política tiene un conjunto de condiciones. Si las condiciones coinciden, el dispositivo aplica de forma automática la política asociada. La función es similar al reconocimiento de ubicación en Symantec Endpoint Protection Manager.
Políticas y dispositivos admitidos
El destino de la política se admite para las siguientes políticas de la nube:
  • Protección contra software malicioso
  • Firewall
  • Control de dispositivos
  • Prevención de intrusiones
  • Sistema
  • Lista de aceptación
  • Lista de denegación
  • Mitigación de puntos vulnerables de memoria (MEM)
  • Redirección de tráfico
  • Detection and Response (EDR)
  • Aislamiento de comportamiento
El destino de la política solo surte efecto para los dispositivos habilitados para la nube administrados por la nube. El destino de la política no surte efecto para los dispositivos administrados de forma híbrida. Además, el destino de la política se aplica solamente a las políticas de la nube y no a las políticas de Symantec Endpoint Protection Manager (SEP 14) que están disponibles en la nube.
Reglas de destino de la política
Es posible aplicar una política a un grupo de dispositivos según un conjunto de condiciones que se incluyan en una regla de destino de la política.Cuando se crea una política y se aplica a un grupo de dispositivos, se selecciona una regla de destino de la política para usarla.
De forma predeterminada, dos reglas de destino de la política están disponibles:
  • Regla de cuarentena que se aplica automáticamente a cualquier dispositivo en cuarentena.
  • Regla predeterminada sin condiciones.
Las políticas predeterminadas se asignan automáticamente a la regla de destino de la política predeterminada.
Es posible crear más reglas de destino de la política y especificar condiciones tales como la dirección IP del usuario o del equipo.
Es posible usar las reglas de destino de la política para que el destino de varias políticas del mismo tipo sea el mismo grupo de dispositivos según un conjunto de condiciones. Por ejemplo, es posible que se desee dirigir una política de Protección contra software malicioso a un grupo de dispositivos para la mayoría de los usuarios, pero un subconjunto de usuarios requiere una política aparte de Protección contra software malicioso. Es posible aplicar dos políticas diferentes de Protección contra software malicioso a este mismo grupo de dispositivos, uno con la regla de destino predeterminada y el otro con una regla de destino del usuario.
El orden de las reglas en la lista indica la prioridad. Sin embargo, cualquier regla que se aplique actualmente tiene prioridad sobre otra coincidencia.
Es posible usar el destino de la política para realizar un seguimiento de la ubicación actual de un grupo de dispositivos incluso si la ubicación no requiere un cambio de políticas. Aplique por lo menos una política con una regla de destino de la política asociada al grupo.
Para crear una regla de destino de la política
  1. En la página
    Políticas
    , en la ficha
    Reglas de destino de la política
    , seleccione
    Agregar
    .
  2. En la página
    Agregar regla de destino de la política
    , escriba un nombre para la regla. Es posible también escribir una descripción.
  3. Junto a
    Condiciones de destino de la política
    , seleccione
    Agregar
    .
  4. Seleccione el
    Tipo de condición
    , tal como
    Usuarios
    o
    Dirección IP del equipo
    .
  5. Especifique un valor para la condición.Por ejemplo, para los usuarios, se escribe un nombre de usuario o un nombre de grupo de usuarios.
  6. Seleccione
    Crear
    .
  7. La regla ahora está disponible para el destino de la política. Cuando se activa esta regla, una política asociada se aplica al usuario, al grupo o a cualquier condición que se haya especificado.
Condiciones de destino de la política
Las condiciones de la regla de destino de la política no tienen precedencia. Las condiciones del primer nivel pueden usar el operador lógico AND u OR. El segundo nivel de las condiciones solo puede usar OR.
Algunas condiciones pueden ser positivas o negativas. Por ejemplo, un dispositivo coincide porque usa una dirección IP dentro de un intervalo de direcciones IP especificado o tiene una clave de registro determinada. En otra condición, un dispositivo coincide porque no usa una dirección IP dentro de un intervalo especificado.
Tipo de condición
Descripción
Dirección IP del equipo
Es posible especificar los siguientes tipos de condiciones de la dirección IP del dispositivo: Dirección IP, Intervalo IP, Dirección de subred o Grupo de hosts y sus valores.
IPv4 o IPv6 se admiten para la Dirección IP, el Intervalo IP o la Dirección de subred.
Con la opción
Grupo de hosts
como
Tipo de dirección
, la regla de destino omite cualquier host de DNS, dominio de DNS o dirección MAC configurado para el grupo de hosts. La regla solo respeta los grupos de hosts configurados con la dirección IP, el intervalo de direcciones IP o la subred de IP.
Usuarios
Esta condición coincide con el nombre del usuario o del grupo de usuarios. Tenga cuidado si configura un comodín en el campo
Nombre de usuario/grupo
. Es posible que se encuentre que un usuario activa inesperadamente la regla debido al nombre de grupo de usuarios.
Por ejemplo: Se define una condición que contiene
Adminis*
. Es posible que espere que solamente los nombres de usuario que comienzan con
Adminis
activen la regla. Pero cualquier nombre de usuario del dominio activa la regla porque el nombre del grupo de administradores del dominio coincide con la condición.
Solicitud de ICMP
Se pueden especificar los siguientes tipos de condiciones de la solicitud ICMP: Dirección IP, Nombre del host o Grupo de hosts y sus valores. IPv4 o IPv6 se admite para Dirección IP.
Clave de registro
Esta condición coincide cuando el registro del dispositivo tiene una configuración igual o no igual a la clave de registro, al nombre de la clave de registro o al valor del registro especificados.
Búsqueda DNS
Esta condición coincide cuando un dispositivo resuelve o no el nombre de host y el tipo de IP especificados.
Dirección del servidor DHCP
Se pueden especificar los siguientes tipos de criterio: Dirección IP, Intervalo IP, Dirección de subred, Grupo de hosts o Dirección MAC, así como sus valores.
IPv4 o IPv6 se admiten para la Dirección IP, el Intervalo IP o la Dirección de subred.
Descripción de NIC
Esta condición coincide cuando un dispositivo tiene una tarjeta de interfaz de red (NIC) que coincide o no con la descripción.
Conexión a la nube
Esta condición coincide cuando un dispositivo está conectado o no conectado a la nube.
Conexión por DHCP: Sufijo DNS
Esta condición coincide si el dispositivo usa o no los sufijos DNS especificados.
Módulo de plataforma de confianza
Se pueden especificar los siguientes tipos de módulo de plataforma de confianza (TPM):
  • Cualquier token TPM
  • Token TPM de IBM
  • Token TPM de HP
SSID inalámbrico
Esta condición coincide si el dispositivo usa o no los SSID especificados.
Notificación de usuario del cambio de regla de destino
Los cambios realizados en el grupo de dispositivos pueden activar una regla de destino de la política diferente. Estos cambios se llaman cambios de ubicación. Es posible configurar una notificación para que aparezca en el dispositivo del usuario cuando un cambio de ubicación active una regla diferente.
En
Configuración de regla
, active
Notificación de cambio de regla de destino de la política
. En
Mensaje de notificación
, escriba el texto para el mensaje que aparece en el dispositivo del usuario. Es posible especificar cuántas veces Symantec Endpoint Security comprueba la coincidencia de reglas.