Instrucciones para la creación de políticas de endpoint

Symantec Data Loss Prevention
usa una arquitectura de detección de dos niveles para analizar la actividad en los endpoints. La detección ocurre directamente en los agentes DLP o en los servidores de endpoints, como sea necesario. Los servidores de endpoints pueden realizar todo tipo de detección, como coincidencia de datos exactos (EDM), coincidencia de documentos indizados (IDM) y coincidencia de grupo de directorios (DGM). Los agentes pueden realizar coincidencia de contenido descrito (DCM) y coincidencia de documentos indizados (IDM).
Symantec Data Loss Prevention
puede detectar localmente en las palabras clave, las expresiones regulares y los identificadores de datos. Debe enviar el contenido de entrada al servidor de endpoints para detectar huellas digitales de datos exactos o huellas digitales de documentos indizados.
Los agentes que se ejecutan en los endpoints de Mac solo pueden realizar la detección de IDM y DCM.
La detección de dos niveles tiene implicaciones para los tipos de reglas de detección y de respuesta que se pueden combinar en una política y usar en equipos de endpoints. Además, tiene implicaciones para la optimización del uso de sistema y el rendimiento de
Symantec Data Loss Prevention
en equipos de endpoints. A medida que cree políticas que se aplican a equipos de endpoints, se recomienda tener en cuenta las pautas siguientes.
No cree una política que combine una regla de detección del servidor con una regla de respuesta de
Endpoint Prevent
. Por ejemplo, no combine una regla de EDM o DGM con una regla de respuesta de bloqueo de endpoint o de notificación a endpoint. Si una regla de detección del servidor activa una regla de repuesta de
Endpoint Prevent
,
Symantec Data Loss Prevention
no puede ejecutar la regla de respuesta de
Endpoint Prevent
y el sistema muestra un mensaje de error.
Cuando cree una política de endpoint que incluya una regla de detección del servidor, combine esa regla de detección con una regla de detección del agente en una regla compuesta. Esta práctica le ayuda a
Symantec Data Loss Prevention
a realizar la detección en el endpoint sin enviar contenido al servidor de endpoints.
Symantec Data Loss Prevention
ahorra ancho de banda de red y mejora el rendimiento realizando la detección en el endpoint.
Por ejemplo, puede asociar una regla de detección de EDM con una regla de detección de palabra clave en una regla compuesta. En una regla compuesta, todas las condiciones se deben cumplir antes de que
Symantec Data Loss Prevention
registre una coincidencia. Por el contrario, si una condición no se cumple,
Symantec Data Loss Prevention
determina que no hay ninguna coincidencia sin tener que comprobar la segunda condición. Por ejemplo, para registrar una coincidencia el contenido debe cumplir la primera condición Y el resto de las condiciones en la misma regla. Cuando configura la regla compuesta de esta manera, el Agente DLP comprueba primero el contenido de la entrada frente a la regla de agente. Si no hay coincidencia,
Symantec Data Loss Prevention
no necesita enviar el contenido al servidor de endpoints. Sin embargo, si crea una regla compuesta que implique una política de EDM o DCM, el contenido aún se envía al servidor de endpoints.
Antes de combinar una regla de detección del servidor (por ejemplo, una regla de EDM) con la regla de respuesta Todos: Limitar retención de datos de incidentes que conserva los archivos originales para incidentes de endpoint, considere las implicaciones de ancho de banda de la conservación de archivos originales. Cuando envía datos a un servidor de endpoints para su análisis, el agente DLP envía datos binarios o de texto en función de los requisitos de la política. Siempre que es posible, los Agentes DLP envían texto para reducir el uso de ancho de banda. De forma predeterminada,
Symantec Data Loss Prevention
desecha archivos originales para incidentes de endpoint. Si una regla de respuesta conserva los archivos originales para los incidentes de endpoint, los Agentes DLP deben enviar datos binarios al servidor de endpoints. En este caso, asegúrese de que la red pueda controlar el tráfico creciente entre los Agentes DLP y los servidores de endpoints sin degradar el rendimiento.
Combine las reglas de detección del agente (por ejemplo, DCM) con un regla de respuesta de
Endpoint Prevent
en la misma política.
Symantec Data Loss Prevention
solamente puede ejecutar una regla de respuesta de
Endpoint Prevent
cuando una regla de detección del Agente Symantec DLP activa la respuesta.
En la tabla Reglas de detección y reglas de respuesta incompatibles, se enumeran las reglas de detección y de respuesta que no se pueden combinar.
Reglas de detección y reglas de respuesta incompatibles
No combine estas reglas de detección basadas en servidor
con estas reglas de respuesta de
Endpoint Prevent
.
  • El contenido coincide con datos exactos (EDM)
  • El remitente/usuario coincide con el directorio (DGM perfilada)
  • El destinatario coincide con el directorio (DGM perfilada)
  • Endpoint: Bloquear
  • Endpoint: Notificar
  • Endpoint: Cancelado por el usuario