GUIDE DE MIGRATION DE MCAFEE DATA LOSS PREVENTION PREVENT 11.1.X - RÉVISION C

 
Révision C

Guide de Migration de McAfee Data Loss
Prevention Prevent 11.1.x
COPYRIGHT
Copyright © 2019 McAfee LLC

ATTRIBUTIONS DE MARQUES COMMERCIALES
McAfee et le logo McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS,
McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sont des marques commerciales de McAfee LLC ou de ses filiales aux Etats-Unis et dans
d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

INFORMATIONS DE LICENCE
Accord de licence
AVIS À TOUS LES UTILISATEURS : LISEZ ATTENTIVEMENT L'ACCORD JURIDIQUE CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE. IL DÉFINIT LES CONDITIONS
GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS IGNOREZ LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, REPORTEZ-VOUS AUX DOCUMENTS
COMMERCIAUX ET AUTRES DOCUMENTS D'OCTROI DE LICENCE, OU AU BON DE COMMANDE, QUI ACCOMPAGNENT VOTRE PACKAGE LOGICIEL OU QUI VOUS ONT
ÉTÉ TRANSMIS SÉPARÉMENT DANS LE CADRE DE VOTRE ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER INCLUS SUR LE CD DU PRODUIT OU D'UN FICHIER
DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ÊTES PAS D'ACCORD AVEC CERTAINS TERMES DE CET
ACCORD, N'INSTALLEZ PAS LE LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE
REMBOURSEMENT INTÉGRAL.

2                    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Sommaire

        1      Introduction                                                                                                      5
               Présentation de la migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
               Workflow de migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

        2      Configuration des composants système                                                                             9
               Enregistrer un serveur LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
               Création de définitions d'utilisateur final . . . . . . . . . . . . . . . . . . . . . . . . . . 10
               Utilisateurs, groupes et ensembles d’autorisations . . . . . . . . . . . . . . . . . . . . . . 11
                        Créer un utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
                        Créer un ensemble d'autorisations . . . . . . . . . . . . . . . . . . . . . . . . . 12
                        Créer un ensemble d’autorisations McAfee DLP . . . . . . . . . . . . . . . . . . . . 12
               Ajouter un serveur de preuve pour stocker des incidents . . . . . . . . . . . . . . . . . . . . 12

        3      Recherche de données capturées                                                                                   15
               Différences entre les fonctionnalités de recherche de capture . . . . . . . . . . . . . . . . . . 16

        4      Classification de contenu confidentiel                                                                           19
               Créer une classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                         19
               Création de critères de classification . . . . . . . . . . . . . . . . . . . . . . . . . . .                     20
               Créer des propriétés de document . . . . . . . . . . . . . . . . . . . . . . . . . . . .                         20
               Chargement de documents enregistrés . . . . . . . . . . . . . . . . . . . . . . . . . .                          20
               Des concepts aux définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                         21
                       Définitions de dictionnaire . . . . . . . . . . . . . . . . . . . . . . . . . . . .                      22
                       Définitions de modèle avancé . . . . . . . . . . . . . . . . . . . . . . . . . . .                       24
                       Création d'une définition de classification générale . . . . . . . . . . . . . . . . . . .               26

        5      Protection avec des règles, jeux de règles et stratégies                                                         27
               Réactions et définitions de règles McAfee DLP Prevent . . . . . . . . . . . . . . . . . . . . .                  28
               Création d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                           28
               Création d'un jeu de règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                        29
               Création d'une définition de liste d'adresses e-mail . . . . . . . . . . . . . . . . . . . . . .                 30
               Création d’une définition de liste d’URL . . . . . . . . . . . . . . . . . . . . . . . . . .                     30
               Créer une stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                          31
               Affecter une stratégie à une appliance . . . . . . . . . . . . . . . . . . . . . . . . . . .                     31
               Scénario d'utilisation - Bloquer les messages sortants qui comportent du contenu confidentiel, sauf s'ils sont
               envoyés à un domaine spécifié . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                          32
               Cas d’utilisation : localiser les violations de droits de propriété intellectuelle . . . . . . . . . . . . .     33

        6      Surveillance et génération de rapports                                                                           35
               Incidents et cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                           35
                       Tri et filtrage des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . .                    36
                       Affichage des détails relatifs à un incident . . . . . . . . . . . . . . . . . . . . . .                 37
                       Mise à jour d’un incident unique . . . . . . . . . . . . . . . . . . . . . . . . . .                     37
                       Mettre à jour plusieurs incidents . . . . . . . . . . . . . . . . . . . . . . . . . .                    38
                       Créer des notifications par e-mail . . . . . . . . . . . . . . . . . . . . . . . . .                     38

  Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                   3
Sommaire

                   Créer des cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                         39
                   Affecter un réviseur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                        39
                   Afficher les informations d’un cas . . . . . . . . . . . . . . . . . . . . . . . . .                    40
                   Mettre à jour les cas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                       40
                    Affecter des incidents à un cas . . . . . . . . . . . . . . . . . . . . . . . . . .                    41
                    Cas d’utilisation : rechercher des violations de stratégie par utilisateur . . . . . . . . . . . .     41
                    Cas d’utilisation : rechercher des incidents à haut risque . . . . . . . . . . . . . . . . .           42
                    Cas d’utilisation : définir des propriétés pour les incidents . . . . . . . . . . . . . . . .          42
                    Cas d’utilisation : filtrer des incidents par date, destination et utilisateur . . . . . . . . . . .   43
                    Affecter des autorisations d’affichage d’incident aux utilisateurs dans Active Directory . . . . . .   43
                    Affecter des autorisations d’affichage de gestion des cas à un utilisateur . . . . . . . . . . .       44
           Surveillance de l'état et de l'intégrité du système . . . . . . . . . . . . . . . . . . . . . . .               44
                    Tableaux de bord McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . . . . .                      44
                    Tableaux de bord des appliances McAfee DLP . . . . . . . . . . . . . . . . . . . . .                   45
                    Evénements d’appliances McAfee DLP . . . . . . . . . . . . . . . . . . . . . . . .                     45

    7      Dépannage et maintenance                                                                                        49
           Conseils de dépannage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                           49
           Gestion avec la console de l’appliance McAfee DLP . . . . . . . . . . . . . . . . . . . . . .                   52
           Accès à la console de l’appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                     53
           Remplacement du certificat par défaut . . . . . . . . . . . . . . . . . . . . . . . . . .                       53
           Messages d'erreur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                           54
           Sauvegardes de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                        57
                   Sauvegardes de configuration d'appliance McAfee DLP . . . . . . . . . . . . . . . . .                   57

           Index                                                                                                           59

4       Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
1            Introduction

                                                                                                      ®
             Ce guide de migration fournit des informations qui vous aident à migrer de McAfee Network Data Loss
                                                                                                  ®                 ®
             Prevention (McAfee Network DLP) 9.3.x vers les versions gérées par McAfee ePolicy Orchestrator
                       ®     ™
             (McAfee ePO ) .
                                 ®
             Il aborde McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) 10.0.100 et versions ultérieures et fournit
             des informations pour vous aider à installer et prendre en main la nouvelle version. Pour des informations
             détaillées, reportez-vous au guide d’installation ou aux informations de configuration du guide produit.

             Sommaire
                 Présentation de la migration
                 Workflow de migration

Présentation de la migration
             Il n’existe aucune mise à niveau automatique pour migrer de McAfee Network DLP 9.3.x vers McAfee DLP 10.x
             et versions ultérieures. Ce guide vous aide à configurer les dernières versions de McAfee DLP avec des
             paramètres qui ont un comportement similaire à votre configuration de McAfee Network DLP 9.3.x.

             Différences entre les versions
             L’architecture produit des versions 9.3.x, 10.x et ultérieures étant différente, les paramètres et données de
             configuration de McAfee DLP Manager ne peuvent donc pas migrer directement vers les outils McAfee DLP
             dans McAfee ePO et doivent donc être créés à nouveau.

             •   Noms de produits : la version 9.3.x du produit s’appelait McAfee Network Data Loss Prevention (McAfee
                 Network DLP). Avec la version 10.x et les versions ultérieures, la partie Network du nom du produit a été
                 supprimée pour devenir McAfee Data Loss Prevention.

             •   Gestion de produit : dans la version 10.x et les versions ultérieures, les produits sont gérés avec McAfee
                 ePO. Les paramètres de configuration, les règles, les concepts et les stratégies que vous utilisiez dans
                 McAfee DLP Manager doivent être recréés dans McAfee ePO.

             •   Différences de termes : la plupart des fonctionnalités de McAfee DLP ont le même nom que dans McAfee
                 Network DLP 9.3.x, à quelques exceptions près.

                  Termes utilisés dans McAfee Network Termes utilisés dans McAfee DLP 10.x et versions ultérieures
                  DLP 9.3.x
                  Concept                                          • Définition de dictionnaire
                                                                   • Définitions de modèle avancé (expression régulière)

                  Règle d’action                                   Réaction
                  Modèle                                           • Classification
                                                                   • Définition

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                          5
1   Introduction
    Présentation de la migration

         Termes utilisés dans McAfee Network Termes utilisés dans McAfee DLP 10.x et versions ultérieures
         DLP 9.3.x
         Stratégie                                       Jeu de règles
         Programme de validation                         Algorithme
         Groupe                                          Ensemble d’autorisations

    •   Incidents et cas : les incidents et les cas dans McAfee DLP Manager ne peuvent pas être migrés vers les
        outils McAfee DLP 10.x et versions ultérieures.

                     Vous pouvez laisser McAfee DLP Manager disponible jusqu'à ce que les incidents et cas ne soient plus
                     nécessaires, ou jusqu'à ce que McAfee Network DLP 9.3.x ne soit plus pris en charge.

    Fonctionnalité non prise en charge
    La création de définitions à l'aide des paramètres suivants n'est pas prise en charge :
    •   Nombre de lignes depuis le début

    •   Pourcentage de correspondance

    •   Nombre d'octets depuis le début

    Fonctionnalité nouvellement prise en charge
    La fonctionnalité Capture DLP est prise en charge à partir de McAfee DLP Prevent 11.1.x. Vous pouvez choisir
    d'utiliser la fonctionnalité Capture DLP, le cas échéant. Capture DLP demande de l'espace disque
    supplémentaire pour héberger les données capturées.

                La fonctionnalité Capture DLP est également prise en charge dans la version 9.3.x.

    Configuration de Capture DLP
    Les données capturées sont stockées sur un disque sur une appliance physique ou virtuelle, ou sur un
    équipement de stockage externe.

    Type                     Description du stockage de capture
    d'appliance
    Appliance                Les données capturées sont stockées dans la McAfee DLP Capture Storage Array, qui est un
    DLP 6600                 équipement de stockage externe et qui peut stocker jusqu'à 16 To de données.

                                     Chaque appliance DLP 6600 sur laquelle vous souhaitez activer Capture DLP doit être
                                     connectée à une McAfee DLP Capture Storage Array dédiée pour stocker les données
                                     capturées.

    Appliance                L'appliance DLP 5500 contient des disques qui peuvent héberger 10 To de données
    DLP 5500                 capturées.
    Appliance                Le disque dur de capture requis est créé lors du déploiement d'une appliance. Choisissez
    virtuelle                une option de déploiement prédéfinie qui prend en charge la création d'un disque dur de
                             capture.
                             L'ajout d'un disque de capture à une appliance virtuelle existante n'est pas pris en charge.
                             Déployez une appliance virtuelle de remplacement en utilisant une option de déploiement
                             prédéfinie qui déploie un disque de stockage de capture.

                Si Capture DLP est activé sur une appliance, vous pouvez ressentir un impact sur les performances lorsque
                l'appliance copie des données pendant l'analyse des données.

    Pour plus d'informations concernant le paramétrage de l'appliance DLP 6600 et de la McAfee DLP Capture
    Storage Array pour l'exécution de la fonctionnalité Capture DLP, consultez le Guide Matériel de McAfee Data Loss
    Prevention Prevent.

6   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Introduction
                                                                                                   Workflow de migration                   1

             Migration des appliances
             Vous devez effectuer une installation complète du logiciel pour migrer de la version 9.3.x vers la version 11.1.x.

                         Avant de commencer à installer la nouvelle version, faites une sauvegarde complète de la configuration de votre
                         installation actuelle afin de pouvoir y revenir si nécessaire.

             McAfee Network DLP 9.3.x ne prend pas en charge de mise à niveau, vous devez réinstaller le logiciel de
             l'appliance depuis un CD ou un périphérique USB. Si vous avez un modèle d'appliance DLP 6600 ou DLP 5500,
             vous pouvez installer de nouvelles versions de McAfee DLP Prevent. Le modèle d'appliance DLP 4400 n'est pas
             pris en charge par McAfee DLP Prevent 11.1.x.

             Les machines McAfee DLP Manager peuvent être reconfigurées après avoir installé McAfee DLP Prevent 10.x
             sur vos appliances existantes. Pour obtenir des informations, consultez le document traitant de la création
             d'une nouvelle image d'une appliance McAfee Network DLP sur le site de téléchargement McAfee.

             Pour la première migration d’appliances virtuelles McAfee Network DLP 9.3.x, vous devez utiliser un nouveau
             fichier .ova McAfee DLP Prevent 10.x (ou version ultérieure). Le fichier .ova est disponible sur le site de
             téléchargement McAfee.

             Si vous souhaitez mettre à niveau ultérieurement le logiciel sur une appliance virtuelle, vous pouvez utiliser le
             fichier .iso.

                         Si vous migrez de la version 9.3.x vers McAfee DLP Prevent 11.1.x, les données capturées précédemment seront
                         supprimées lors de la migration.

             Pour obtenir des informations sur l'installation et la mise à niveau du logiciel sur une appliance physique ou
             virtuelle, consultez le Guide d'Installation de McAfee Data Loss Prevention Prevent 11.1.x.

Workflow de migration
             Utilisez le diagramme de workflow pour installer l’appliance, puis recréez vos paramètres de configuration, vos
             règles, vos stratégies et vos paramètres de gestion des incidents et des cas à l’aide des outils dans McAfee ePO.

             Scénarios d’installation

              De...                             Pour...                    Consultez…
              McAfee Network DLP 9.3.x          McAfee DLP 11.x            Informations sur le site de téléchargement au sujet de
              physique                          physique                   la création d’une nouvelle image de votre appliance
                                                                           McAfee Network DLP.
              McAfee Network DLP 9.3.x          McAfee DLP 11.x virtuel Informations dans le guide d'installation.
              physique
              McAfee Network DLP 9.3.x          McAfee DLP 11.x virtuel Informations dans le guide d'installation.
              virtuel

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                       7
1   Introduction
    Workflow de migration

    Scénario : utilisation de la gestion des incidents unifiée et des cas ou de McAfee DLP Manager
    Suivez les étapes décrites dans cet organigramme de workflow si :

    •   Vos incidents et cas existants sont déjà disponibles dans McAfee ePO.

    •   Vous utilisez McAfee DLP Manager pour gérer les incidents et les cas.
        Les incidents et les cas dans McAfee DLP Manager ne peuvent pas être migrés vers les outils McAfee
        DLP 10.x et versions ultérieures.

               McAfee Network DLP 9.3.x clients et McAfee DLP Endpoint 9.4 clients qui ont choisi de conserver leur McAfee DLP
               Manager zone permettre garder à disposition jusqu'à ce que les incidents et les cas ne sont plus nécessaires ou
               jusqu'à ce que McAfee Network DLP 9.3.4 n’est plus pris en charge.

8   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
2            Configuration des composants système

             Gérez vos appliances McAfee DLP, enregistrez les serveurs LDAP, définissez les autorisations et groupes
             d’utilisateurs, et spécifiez les serveurs de preuve dans McAfee ePO.
             Les appliances sont gérées grâce à une nouvelle fonctionnalité McAfee DLP dans McAfee ePO intitulée Gestion
             des appliances, où vous pouvez afficher l’état d’intégrité du système pour toutes vos appliancesMcAfee DLP.

             Sommaire
                 Enregistrer un serveur LDAP
                 Création de définitions d'utilisateur final
                 Utilisateurs, groupes et ensembles d’autorisations
                 Ajouter un serveur de preuve pour stocker des incidents

Enregistrer un serveur LDAP
             Vous devez disposer d'un serveur LDAP enregistré pour utiliser les règles d'affectation de stratégie, pour activer
             l'affectation dynamique des ensembles d'autorisations et pour activer la connexion des utilisateurs
             Active Directory.

             Procédure

             1   Sélectionnez Menu | Configuration | Serveurs enregistrés, puis cliquez sur Nouveau serveur.

             2   Sélectionnez Serveur LDAP dans le menu Type de serveur, puis indiquez un nom unique et une description
                 facultative et cliquez sur Suivant.

             3   Sélectionnez un serveur OpenLDAP ou Active Directory dans la liste Type de serveur LDAP.

             4   Indiquez un nom de domaine ou un nom de serveur spécifique.
                 Utilisez des noms de domaine DNS (par exemple domaineinterne.com), ou des noms de domaine
                 complets ou des adresses IP pour les serveurs (par exemple serveur1.domaineinterne.com ou
                 192.168.75.101). Les serveurs OpenLDAP peuvent utiliser des noms de serveur uniquement. Ils ne
                 peuvent pas être spécifiés par domaine.

             5   Précisez s’il faut utiliser le catalogue global (non disponible pour les serveurs OpenLDAP).
                 Sélectionnez-le seulement si le domaine enregistré est le parent de domaines locaux uniquement, afin
                 d'éviter le trafic réseau potentiel qui peut avoir un impact sur les performances.

             6   Si vous n’utilisez pas le catalogue global, indiquez s’il faut rechercher des références.
                 La recherche de références peut générer un trafic réseau non local.

             7   Indiquez si l'option Utiliser SSL doit être activée pour communiquer avec ce serveur.

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                          9
2         Configuration des composants système
          Création de définitions d'utilisateur final

          8   Si vous configurez un serveur OpenLDAP, entrez le port.

          9   Entrez un nom d’utilisateur et un mot de passe pour un compte administrateur sur le serveur.
              •    Serveurs Active Directory : utilisez le format domaine\nom d’utilisateur

              •    Serveurs OpenLDAP : utilisez le format cn=Utilisateur, dc=domaine, dc=com

          10 Entrez un nom de site pour le serveur, cliquez sur Tester la connexion pour vérifier la connexion, puis cliquez
             sur Enregistrer pour terminer l’enregistrement.

Création de définitions d'utilisateur final
          McAfee DLP accède aux serveurs Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) pour
          créer des définitions d'utilisateur final.
          Les groupes d'utilisateurs finaux sont utilisés pour les affectations et les autorisations d'administrateur, ainsi
          que dans les règles d'équipement et de protection. Ils peuvent être constitués d'utilisateurs, de groupes
          d'utilisateurs ou d'unités organisationnelles (Organizational Unit - OU), permettant à l'administrateur de choisir
          un modèle approprié. Les entreprises organisées sur un modèle OU peuvent continuer à utiliser ce modèle, et
          les autres peuvent utiliser au besoin des groupes ou des utilisateurs individuels.

          Les objets LDAP peuvent être identifiés par leur nom ou ID de sécurité (SID). Les SID sont plus sûrs et les
          autorisations peuvent être maintenues, même si les comptes sont renommés. D'autre part, ils sont stockés au
          format hexadécimal et doivent être décodés pour les convertir en un format lisible.

          Procédure

          1   Dans McAfee ePO, sélectionnez Menu | Protection des données | Gestionnaire de stratégies DLP.

          2   Cliquez sur l'onglet Définitions.

          3   Sélectionnez Source/Destination | Groupe d'utilisateurs finaux, puis Actions | Nouveau.

          4   Sur la page Nouveau groupe d'utilisateurs, saisissez un nom unique et une description (facultatif).

          5   Sélectionnez la méthode d'identification des objets (SID ou nom).

          6   Cliquez sur l'un des boutons Ajouter (Ajouter des utilisateurs, Ajouter des groupes, Ajouter une unité organisationnelle).
              La fenêtre de sélection affiche le type d'informations sélectionné.
              L'affichage peut prendre quelques secondes si la liste est longue. Si aucune information n'apparaît,
              sélectionnez Conteneur et enfants dans la liste déroulante Prédéfinir.

          7   Sélectionnez les noms et cliquez sur OK pour les ajouter à la définition.
              Répétez l'opération en fonction des besoins pour ajouter des utilisateurs, des groupes ou des utilisateurs
              organisationnels.

          8   Cliquez sur Enregistrer.

10        Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Configuration des composants système
                                                                            Utilisateurs, groupes et ensembles d’autorisations             2

Utilisateurs, groupes et ensembles d’autorisations
             Les groupes dans McAfee DLP Manager sont dénommés ensembles d’autorisations dans McAfee ePO.

             La création d’utilisateurs et de groupes dans McAfee ePO est gérée dans les sections Utilisateurs et Ensembles
             d’autorisations. Vous pouvez également créer des groupes d’utilisateurs LDAP dans le Gestionnaire de stratégies DLP
             de McAfee ePO .

                         Créez des ensembles d’autorisations, des utilisateurs et des groupes spécifiques à McAfee DLP. Créez différents
                         rôles en affectant différentes autorisations d’administrateur et de réviseur pour les différents modules McAfee
                         DLP dans McAfee ePO.

             Droits d’administrateur dans McAfee ePO
             Lorsque vous installez McAfee ePO, un compte administrateur est créé automatiquement. Les administrateurs
             disposent d’autorisations en écriture et en lecture, ainsi que de droits sur toutes les opérations. Par défaut, le
             nom d’utilisateur pour ce compte est admin. Si la valeur par défaut est modifiée pendant l’installation, ce
             compte est nommé en conséquence.

             Vous pouvez créer des comptes administrateur supplémentaires pour les utilisateurs qui requièrent des droits
             d’administrateur.

             Les droits d’administrateur comprennent :
             •   la création, la modification et la suppression de sites sources et de secours

             •   la modification de paramètres serveur

             •   l’ajout et la suppression de comptes utilisateur

             •   l’ajout, la suppression et l’affectation d’ensembles d’autorisations

             •   l’importation d’événements dans les bases de données McAfee ePO et la limitation du nombre
                 d’événements stockés

             Créer un utilisateur
             Les utilisateurs locaux dans McAfee Network DLP 9.3.x sont dénommés utilisateurs dans McAfee ePO.

             Procédure

             1   Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Utilisateurs.

             2   Cliquez sur Nouvel utilisateur et saisissez un nom d’utilisateur.

             3   Indiquez si vous souhaitez activer ou désactiver l’état de connexion de ce compte.

                             Désactivez le compte si vous configurez un utilisateur qui n’a pas encore commencé à travailler dans
                             l’entreprise.

             4   Sélectionnez une méthode d’authentification pour ce compte et fournissez les informations d’identification
                 requises.
                 •   Authentification Windows

                 •   Authentification par certificat

             5   (Facultatif) Spécifiez le nom complet de l’utilisateur, son adresse e-mail, son numéro de téléphone et une
                 description dans la zone de texte Remarques.

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                       11
2        Configuration des composants système
         Ajouter un serveur de preuve pour stocker des incidents

         6   Définissez l'utilisateur comme un administrateur ou sélectionnez les ensembles d'autorisations appropriés.

         7   Cliquez sur Enregistrer pour revenir à l’onglet Utilisateurs.

         Le nouvel utilisateur apparaît dans la liste Utilisateurs sur la page Gestion des utilisateurs.

         Créer un ensemble d'autorisations
         Un ensemble d’autorisations dans McAfee DLP équivaut à un groupe local dans McAfee Network DLP 9.3.x.

         Procédure

         1   Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

         2   Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour en créer un.

         3   Entrez un nom, sélectionnez les utilisateurs à ajouter, puis cliquez sur Enregistrer.

         4   Cliquez sur Enregistrer.

         Créer un ensemble d’autorisations McAfee DLP
         Les ensembles d’autorisations définissent différents rôles d’administrateur et de réviseur dans le logiciel McAfee
         DLP.

         Procédure

         1   Dans McAfee ePO, sélectionnez Menu | Gestion des utilisateurs | Ensembles d'autorisations.

         2   Sélectionnez un ensemble d'autorisations prédéfini, cliquez sur Nouvel ensemble d'autorisations pour créer un
             ensemble d'autorisations, ou sur Importer pour en importer un.

         3   Dans la section Data Loss Prevention, cliquez sur Modifier.
             a   Dans le volet gauche, sélectionnez un module de protection des données.
                 Les options Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être activées
                 séparément. D'autres options permettent de créer automatiquement des groupes prédéfinis.

             b   Modifiez les options et remplacez des autorisations selon vos besoins.
                 Le Catalogue de stratégies n'a pas d'options à modifier. Si vous affectez le Catalogue de stratégies à un
                 ensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupe Catalogue de
                 stratégies.

             c   Cliquez sur Enregistrer.

Ajouter un serveur de preuve pour stocker des incidents
         Certains incidents disposent d’éléments de preuve qui leur sont associés. Vous pouvez stocker les preuves sur
         un serveur de preuve.

                 Avant de commencer
                 Le serveur de preuve doit être un partage CIFS avec des autorisations en lecture/écriture.

12       Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Configuration des composants système
                                                                   Ajouter un serveur de preuve pour stocker des incidents   2

         Procédure

         1   Dans McAfee ePO, sélectionnez Menu | Paramètres DLP | Général.

         2   Entrez le chemin d’accès au serveur de preuve dans Stockage de preuves par défaut pour enregistrer les
             paramètres et activer le logiciel.
             Ce doit être un chemin réseau, c’est-à-dire de type \\[serveur]\[partage].

         3   Indiquez le nom d’utilisateur et le mot de passe pour accéder au serveur, puis cliquez sur Enregistrer.

Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                             13
2    Configuration des composants système
     Ajouter un serveur de preuve pour stocker des incidents

14   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
3            Recherche de données capturées

             Une fois activée, la fonctionnalité DLP Capture vous permet de stocker des données d'e-mail, web et réseau
             analysées par vos appliances McAfee DLP Prevent ou McAfee DLP Monitor. Vous pouvez faire une recherche
             ultérieurement dans les données capturées pour identifier un événement de fuite de données qui a été
             manqué lors de l'analyse des données en temps réel ou les utiliser pour optimiser les règles et les paramètres
             de classification pour réduire les faux positifs sans affecter l'analyse des données en temps réel.

             Vous pouvez créer des jeux de données qui concentrent la recherche sur les propriétés spécifiées pour réduire la
             quantité de données qui seront recherchées sur chaque appliance, pour obtenir un nombre moindre et plus
             ciblé de résultats.

             Vous pouvez créer un incident McAfee DLP à partir d'un résultat de recherche, puis ajouter l'incident à un cas
             nouveau ou existant. Toutes les preuves associées aux résultats de recherche peuvent également être ajoutées
             à l'incident.

             Données et stockage de preuves
             Les données capturées sont stockées sur un disque sur une appliance physique ou virtuelle, ou sur un
             équipement de stockage externe. Les données sont stockées sur un disque qui est chiffré à l'aide d'une clé de
             chiffrement générée de manière aléatoire. Pour récupérer les données chiffrées, vous pouvez le déverrouiller à
             l'aide du mot de passe administrateur. Si vous modifiez le mot de passe administrateur, la clé de déverrouillage
             est également mise à jour. Si vous mettez à niveau depuis une version antérieure, la clé de déverrouillage est
             une valeur par défaut. Vous verrez une alerte dans le tableau de bord Gestion des appliances jusqu'à ce que vous
             modifiiez le mot de passe. Pour sécuriser les données chiffrées, changez le mot de passe administrateur à l'aide
             de la console de l'appliance.

             Un événement capturé est stocké sur l'appliance avec ses preuves. Lorsqu'un résultat est créé, les preuves
             associées sont copiées dans le partage de stockage de preuves.

             Conservation des données
             Par défaut, les données capturées sont automatiquement supprimées du stockage après 28 jours pour éviter
             de remplir l'espace disque, mais vous pouvez modifier cette limite si vous le souhaitez. Si le stockage de
             données capturées s'approche de la capacité maximale avant que la limite spécifiée ne soit atteinte, certains
             des plus anciens éléments capturés sont supprimés automatiquement afin de fournir suffisamment d'espace
             pour le nouveau contenu à capturer.

             Lorsque la fonctionnalité DLP Capture démarre une tâche de recherche, elle rassemble les éléments qui seront
             analysés dans la recherche. Si certains de ces éléments sont anciens et doivent être supprimés lorsqu'une
             recherche est en cours pour libérer de l'espace de stockage, ces éléments supprimés ne sont pas analysés mais
             la recherche continue.

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                         15
3        Recherche de données capturées
         Différences entre les fonctionnalités de recherche de capture

         Utilisateurs et autorisations
         La possibilité d'ajuster les règles ou les données capturées de recherche n'est pas automatiquement disponible
         pour tous les utilisateurs McAfee DLP. Indiquez qui peut utiliser la fonctionnalité dans l'ensemble
         d'autorisations Data Loss Prevention. Contrairement aux versions antérieures de McAfee DLP qui pouvait capturer
         du contenu, cette version permet à plusieurs personnes de configurer et d'exécuter des recherches en même
         temps.

Différences entre les fonctionnalités de recherche de capture
         La fonctionnalité de recherche DLP Capture diffère entre les versions 9.3.x et 11.1.x. Familiarisez-vous avec les
         différences avant de créer ou d'exécuter une recherche.

          Fonctionnalité de recherche de capture                     Fonctionnalité de recherche de capture McAfee DLP 11.1.x
          McAfee Network DLP 9.3.x
          Les recherches sont exécutées à partir de                  Les recherches sont exécutées à partir de la console McAfee
          McAfee DLP Manager.                                        ePO.
          Les types de recherche sont appelés                        Les types de recherche sont appelés Analyse contextuelle et
          Recherche de base et Recherche avancée.                    Réglage de la règle.
                                                                     Si elles sont configurées avec les paramètres appropriés, les
                                                                     recherches Analyse contextuelle et Réglage de la règle renvoient les
                                                                     mêmes résultats que la version 9.3.x.
                                                                     Les définitions sont listées sous DLP Capture et vous pouvez
                                                                     utiliser ces définitions pour créer des recherches. Certaines
                                                                     propriétés possèdent des définitions intégrées. Vous pouvez
                                                                     créer de nouvelles définitions en fonction des besoins de votre
                                                                     recherche.

          Vous pouvez choisir les équipements sur                    Les jeux de données fournissent diverses propriétés pour décider
          lesquels la recherche peut être exécutée en                si la recherche doit être lancée sur une appliance spécifique ou
          utilisant Recherche avancée.                               sur toutes les appliances.
          Vous ne pouvez pas supprimer plusieurs                     Permet de supprimer plusieurs recherches à la fois.
          recherches à la fois. Chaque recherche doit
          être supprimée individuellement.
          Vous ne pouvez pas exporter la synthèse des Vous permet d'exporter la synthèse des résultats des
          résultats des recherches à partir de la page recherches à partir de la page Listes de recherches. Lorsque vous
          Liste de recherches.                         exportez la synthèse des résultats, un fichier .zip est créé, qui
                                                       contient un résumé et des informations détaillées sur la
                                                       recherche sélectionnée. Pour exporter la synthèse des
                                                       résultats, utilisez l'option Exporter synthèse des résultats.
          Vous pouvez exporter les résultats de                      Comme dans la version 9.3.x, vous pouvez exporter les
          recherche sélectionnés et ses détails dans                 résultats de recherche sélectionnés et ses détails dans un
          un fichier .pdf, .csv ou .html à partir de la              fichier .csv à partir de la page Résultats de la recherche, mais vous
          page Résultats de la recherche.                            pouvez également envoyer par e-mail le fichier .zip aux
                                                                     destinataires requis.

          Utilisez l'option Grouper par | IP d'équipement à          Vous pouvez voir les résultats de recherche de chaque
          partir de Résultats totaux pour voir les                   appliance pour une recherche particulière dans la page Liste
          résultats de recherche de chaque appliance.                d'appliances.

16       Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Recherche de données capturées
                                                                   Différences entre les fonctionnalités de recherche de capture            3

          Fonctionnalité de recherche de capture                   Fonctionnalité de recherche de capture McAfee DLP 11.1.x
          McAfee Network DLP 9.3.x
          Vous devez cloner une recherche pour                     Permet de relancer la même recherche plusieurs fois. Utilisez
          relancer la même recherche. Utilisez l'option            l'option Exécuter pour relancer une recherche. L'option Dupliquer
          Cloner la recherche pour créer une réplique              peut être utilisée pour créer une réplique d'une recherche.
          d'une recherche.
                                                                             Relancer des recherches supprime les résultats existants. Il
                                                                             est conseillé de relancer des recherches uniquement lorsque
                                                                             les résultats précédents ne sont pas nécessaires. Vous
                                                                             pouvez dupliquer la recherche et lancer la recherche à la
                                                                             place.

          Vous ne pouvez pas sélectionner et lancer                Permet de sélectionner et de lancer plusieurs recherches
          simultanément plusieurs recherches.                      simultanément. McAfee DLP 11.1.x autorise également
          Chaque recherche doit être lancée                        plusieurs utilisateurs à configurer et lancer des recherches en
          individuellement.                                        même temps.
          Dans la page Résultats de la recherche, il n'y a         La liste déroulante Recherche dans la page Résultats de la recherche
          pas de liste déroulante Recherche pour                   vous permet de sélectionner et d'afficher les résultats de
          sélectionner et afficher les résultats de                recherche requis sans revenir à la page Listes de recherches pour
          recherche pour une recherche spécifique. Il              sélectionner la recherche.
          est nécessaire de revenir à la page Liste de
          recherches pour sélectionner la recherche
          pour laquelle vous souhaitez consulter les
          résultats de recherche.

         Pour plus d'informations sur la fonctionnalité DLP Capture, consultez le Guide Produit de McAfee Data Loss
         Prevention 11.1.x.

Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                            17
3    Recherche de données capturées
     Différences entre les fonctionnalités de recherche de capture

18   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
4            Classification de contenu confidentiel

             Le contenu est défini à l’aide de classifications McAfee ePO.
             Les classifications utilisées pour McAfee DLP Prevent peuvent contenir des combinaisons de définitions,
             propriétés de document et documents enregistrés.

             La classification de contenu est configurée à deux endroits dans McAfee ePO.

             •   Menu | Classification | Définitions | Dictionnaire : créer des définitions sur la base de mots clés.

             •   Menu | Classification | Définitions | Modèle avancé : créer des définitions sur la base d'une expression régulière.

             Vous pouvez associer les définitions prédéfinies en l’état pour créer des règles, ou créer des doublons des
             règles prédéfinies et les personnaliser.

             Sommaire
                 Créer une classification
                 Création de critères de classification
                 Créer des propriétés de document
                 Chargement de documents enregistrés
                 Des concepts aux définitions

Créer une classification
             Les règles de protection des données et de découverte requièrent des définitions de classification dans leur
             configuration.

             Procédure

             1   Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

             2   Cliquez sur Nouvelle classification.

             3   Indiquez un nom et éventuellement une description.

             4   Cliquez sur OK.

             5   Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou des documents enregistrés à la
                 classification, en cliquant sur Modifier pour le composant respectif.

             6   Ajoutez des critères de classification de contenu ou des critères d'empreintes de contenu à l'aide du contrôle
                 Actions.

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                   19
4         Classification de contenu confidentiel
          Création de critères de classification

Création de critères de classification
          Appliquez des critères de classification à des fichiers en fonction de leur contenu et de leurs propriétés.
          Les critères de classification de contenu sont créés à partir des définitions de fichiers et de données. Si une
          définition nécessaire n'existe pas, vous pouvez la créer lors de la définition des critères.

          Procédure

          1   Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

          2   Sélectionnez la classification à laquelle vous souhaitez ajouter les critères, puis sélectionnez Actions |
              Nouveaux critères de classification de contenu.

          3   Entrez le nom.

          4   Sélectionnez des propriétés et configurez les entrées de comparaison et de valeur.
              •   Pour supprimer une propriété, cliquez sur
Classification de contenu confidentiel
                                                                                               Des concepts aux définitions          4

             Procédure

             1     Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

             2     Cliquez sur l’onglet Enregistrer des documents.

             3     Cliquez sur Chargement du fichier.

             4     Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l’ancien fichier doit être remplacé
                   par le nouveau. Sélectionnez ensuite une classification.
                   L’option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez un fichier .zip.

             5     Cliquez sur OK.

                   Le fichier est chargé et traité, et des statistiques sont affichées sur la page.

             6     Cliquez sur Créer un package lorsque la liste des fichiers est complète.
                   Lorsque les fichiers sont effacés, supprimez-les de la liste et créez un package pour appliquer les
                   modifications.

             7     Vous pouvez créer un package ne contenant que les documents enregistrés ou ceux inclus dans la liste
                   blanche en laissant une liste vide.

             Un package de signatures contenant l’ensemble des documents enregistrés et des documents inclus dans la
             liste blanche est chargé dans la base de données McAfee ePO pour être distribué sur les ordinateurs clients.
             McAfee DLP Prevent peut accéder à la base de données McAfee ePO pour utiliser des documents enregistrés
             dans les définitions de règles.

Des concepts aux définitions
             McAfee Network DLP 9.3.x utilise des concepts basés sur des expressions McAfee pour créer des critères de
             classification. Un concept peut contenir des mots clés ou des expressions régulières (regex).
             Dans McAfee DLP Prevent 10.x et versions ultérieures, les concepts deviennent des définitions. McAfee DLP 10.x
             et versions ultérieures utilise les expressions de syntaxe de Google RE2 pour élaborer des définitions.

             McAfee Network DLP 9.3.x contenait des concepts prédéfinis (tels qu’une sélection de numéros de carte
             bancaire, HIPAA et jeux d’argent) qui correspondent aux définitions disponibles dans McAfee DLP Prevent 10.x
             et versions ultérieures. Pour ceux qui ne correspondent pas, vous devez les créer manuellement.

             Pour obtenir une fonctionnalité similaire avec McAfee DLP Prevent 10.x et versions ultérieures, créez des
             définitions séparées pour les définitions de dictionnaire (mots clés) et les définitions de modèle avancé (expressions
             régulières).

             Tableau 4-1 Expressions régulières
              Expression DLP 9.3.x                                                        DLP 10.x et versions ultérieures
              \s              N’importe quel caractère [\ \f \n \r \t < > ;]              Espace
              \w              N’importe quel caractère alphanumérique suivi d’un          N’importe quel caractère
                              trait de soulignement                                       alphanumérique suivi d’un trait de
                                                                                          soulignement
              .                                                                           N’importe quel caractère
              \D              N’importe quel caractère non numérique
              \c              N’importe quel caractère alphabétique [A–Z] ou [a–z]

    Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                                 21
4    Classification de contenu confidentiel
     Des concepts aux définitions

     Tableau 4-1 Expressions régulières (suite)
     Expression DLP 9.3.x                                                       DLP 10.x et versions ultérieures
     \i              Sensibilité à la casse désactivée
     $                                                                          Fin d’une chaîne
     ^                                                                          Début d’une chaîne

     Pour plus d’informations sur Google RE2, consultez https://support.google.com/a/answer/1371417?hl=en.

                Avant de commencer à créer des définitions dans McAfee DLP Prevent 10.x et versions ultérieures, examinez vos
                paramètres de concept existants pour vous assurer qu’ils correspondent toujours à vos besoins, et qu’ils
                fournissent les résultats escomptés.

     Définitions de dictionnaire
     Un dictionnaire est un ensemble de mots ou d’expressions clés. Chaque entrée d’un dictionnaire se voit affecter
     un score.
     Les critères de classification de contenu et d’empreintes de contenu utilisent des dictionnaires spécifiés pour
     classer un document lorsqu’un seuil prédéfini (le score total) a été dépassé, c’est-à-dire si suffisamment de mots
     du dictionnaire s’affichent dans le document. Les scores affectés peuvent être négatifs ou positifs ; vous pouvez
     ainsi rechercher des mots ou des expressions associés à d'autres mots ou expressions.

     Le score affecté constitue la différence entre un dictionnaire et une chaîne de définition de mot clé.
     •    Une classification de mot clé marque toujours le document si l’expression est présente.

     •    Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir un seuil
          lorsque vous appliquez la définition, ce qui rend la classification relative. Le seuil peut aller jusqu’à 1 000.
          Vous pouvez également choisir comment les correspondances sont comptées : Compter les occurrences
          multiples incrémente le total à chaque correspondance, Compter chaque chaîne correspondante une seule fois
          compte combien d’entrées du dictionnaire donnent une correspondance dans le document.

     Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, qui contiennent des termes couramment
     utilisés dans les secteurs de la santé, de la banque, de la finance et autres. Vous pouvez également créer vos
     propres dictionnaires et les modifier manuellement, ou copier et coller à partir d’autres documents.

     Limitations
     L’utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont sauvegardés au format Unicode
     (UTF-8) et peuvent donc être écrits dans toutes les langues. Les descriptions suivantes s’appliquent aux
     dictionnaires écrits en anglais. De manière générale, elles s’appliquent également aux autres langues, mais des
     problèmes imprévus peuvent survenir pour certaines d’entre elles.

     La recherche de correspondance par dictionnaire présente les caractéristiques suivantes :

     •    Elle n’est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sont elles-mêmes. Les
          dictionnaires intégrés, qui ont été créés avant l’ajout de cette fonctionnalité, ne sont pas sensibles à la casse.

     •    En option, elle peut rechercher des sous-chaînes ou des expressions complètes.

     •    Elle peut rechercher des expressions comportant des espaces.

     Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des mots courts, qui
     risquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme « chat » marquerait les
     mots « rachat » et « chatterton ». Pour éviter ces faux positifs, utilisez l’option de recherche de
     correspondances par mots entiers ou employez des expressions improbables d’un point de vue statistique (SIP)
     pour obtenir les meilleurs résultats. Les entrées similaires sont une autre source de faux positifs. Par exemple,
     dans une liste de maladies HIPAA, « maladie » et « maladie cœliaque » apparaissent comme des entrées

22   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Classification de contenu confidentiel
                                                                                             Des concepts aux définitions      4

         séparées. Si la seconde expression apparaît dans un document et que la recherche de sous-chaînes
         correspondantes est spécifiée, on obtient deux occurrences (une pour chaque entrée), ce qui fausse le score
         total.

         Créer ou importer une définition de dictionnaire
         Un dictionnaire est un ensemble de mots ou d’expressions clés. Chaque entrée d’un dictionnaire se voit affecter
         un score. Les scores permettent d’affiner les définitions de règles.
         Vous pouvez créer une définition de dictionnaire en important un fichier dictionnaire au format CSV. Vous
         pouvez également importer des éléments avec un script contenant des appels d’API REST. L’administrateur
         exécutant le script doit être un utilisateur valide de McAfee ePO ayant les autorisations d’exécuter les actions
         invoquées par les API dans les Ensembles d’autorisations de McAfee ePO.

                     Les fichiers CSV de dictionnaire peuvent utiliser des colonnes multiples. Exportez un dictionnaire pour
                     comprendre comment les colonnes sont remplies avant de créer un fichier à importer.

         Procédure

         1   Dans McAfee ePO, sélectionnez Menu | Protection des données | Classification.

         2   Cliquez sur l’onglet Définitions.

         3   Dans le volet gauche, cliquez sur Dictionnaire.

         4   Sélectionnez Actions | Nouveau.

         5   Indiquez un nom et éventuellement une description.

         6   Ajoutez des entrées au dictionnaire.
             Pour importer des entrées, procédez comme suit :
             a   Cliquez sur Importer des entrées.

             b   Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d’un autre document.
                 La fenêtre textuelle est limitée à 20 000 lignes de 50 caractères par ligne.

             c   Cliquez sur OK.
                 Toutes les entrées ont un score par défaut de 1.

             d   Si nécessaire, mettez à jour le score par défaut de 1 en cliquant sur le bouton Modifier correspondant à
                 l’entrée.

             e   Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.
                 Les colonnes Débute par et Se termine par permettent d’entrer des correspondances de sous-chaînes.

             Pour créer manuellement des entrées, procédez comme suit :
             a   Entrez l’expression et le score.

             b   Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins.

             c   Cliquez sur Ajouter.

         7   Cliquez sur Enregistrer.

Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x                                                               23
4    Classification de contenu confidentiel
     Des concepts aux définitions

     Créer une définition de dictionnaire basée sur un mot- lé
     Créez une définition de dictionnaire basée sur un mot-clé en minuscules et ajoutez-la à une classification.

     Procédure
     1   Dans McAfee ePO, accédez à Classification | Définitions | Dictionnaire et cliquez sur Action | Nouveau.

     2   Donnez à la définition de dictionnaire un nom et une description facultative, puis cliquez sur Action | Ajouter.

     3   Dans Expression, saisissez le mot sécurité, puis définissez le Score sur 1 et sélectionnez Sensible à la casse
         pour mettre en correspondance le mot clé uniquement lorsqu’il est en minuscules.

     4   Cliquez sur Ajouter, puis cliquez sur Enregistrer.

     5   Sélectionnez Classification | Nouvelle classification. Donnez un nom à la classification, ajoutez une description
         facultative et cliquez sur OK.

     6   Sélectionnez la classification nouvellement créée, puis cliquez sur Action | Nouveau critère de classification de
         contenu.

     7   Sélectionnez le dictionnaire et utilisez la comparaison (OU/ET/NON).

     8   Cliquez sur (…) et sélectionnez la définition de dictionnaire que vous venez de créer, donnez-lui un seuil de
         10 et cliquez sur OK.

     9   Affectez la classification à une règle pour déclencher la classification.

     Définitions de modèle avancé
     Les modèles avancés utilisent des expressions régulières (Regex) qui permettent de détecter des modèles
     complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes de crédit. Les définitions
     utilisent la syntaxe d'expression régulière Google RE2.
     Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions de dictionnaire. Elles
     peuvent également contenir un programme de validation facultatif, c’est-à-dire un algorithme utilisé pour tester
     des expressions régulières. L'utilisation du programme de validation adapté peut réduire de façon significative
     les risques de faux positifs. La définition peut contenir une section Expressions ignorées pour réduire
     davantage les risques de faux positifs. Les expressions ignorées peuvent être des expressions régulières ou des
     mots clés. Vous pouvez importer plusieurs mots-clés pour accélérer la création des expressions.

     Pour garantir la conformité avec les réglementations gouvernementales et simplifier la détection des
     informations personnelles, plus de vingt nouvelles définitions de modèle avancé ont été ajoutées à la version
     actuelle. De plus, de nombreux nouveaux algorithmes de validation ont été ajoutés.

                Lorsque vous travaillez avec d'anciens produits McAfee DLP, le fait de procéder à l'évaluation d'un modèle avancé
                avec une expression régulière peut entraîner un faux positif. Si l'ancien produit McAfee DLP ne prend pas en
                charge le nouvel algorithme de validation, l'algorithme de validation est ignoré. Si l'expression régulière
                correspond mais la valeur n'est pas valide d'après l'algorithme de validation, la correspondance positive qui est
                signalée est un faux positif.

     Lorsque vous définissez un modèle avancé, vous pouvez choisir comment les correspondances sont comptées :
     Compter les occurrences multiples incrémente le total à chaque correspondance, Compter chaque chaîne correspondante
     une seule fois compte combien de modèles définis donnent une correspondance exacte dans le document.

     Les modèles avancés signalent le texte sensible. Les résultats obtenus à l'aide des modèles de texte sensible
     sont mis en surbrillance.

                Si un modèle détecté et un modèle ignoré sont spécifiés, le modèle ignoré est prioritaire. Vous pouvez ainsi
                spécifier une règle générale et y ajouter des exceptions sans devoir la réécrire.

24   Guide de Migration de McAfee Data Loss Prevention Prevent 11.1.x
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler