Describe en detalle cómo configurar una regla de prevención de pérdida de datos (DLP) para una directiva de seguridad seleccionada.

Antes de empezar

Para configurar una directiva de seguridad, primero los usuarios deben haber creado una directiva de seguridad. Para obtener instrucciones específicas sobre la manera de crear una directiva de seguridad, consulte Crear una directiva de seguridad.

Pasos de configuración

Para configurar una regla de DLP, realice los siguientes pasos:
  1. Desplácese hasta Cloud Web Security > Configurar (Configure) > Directivas de seguridad (Security Policies).
  2. Seleccione una directiva de seguridad para configurar la regla de DLP y haga clic en la pestaña DLP.
  3. En la pestaña DLP de la pantalla Directivas de seguridad (Security Policies), haga clic en + AGREGAR REGLA (+ ADD RULE).

    Adición de una regla de DLP a la directiva de seguridad.

    Se mostrará la pantalla Seleccionar origen (Select Source).

  4. En la pantalla Seleccionar origen (Select Source), seleccione la casilla de verificación Todos los grupos de usuarios (All Users Groups) para aplicar la regla a todos los usuarios y grupos, o anule la selección de esa casilla para especificar usuarios y grupos. De forma predeterminada, se selecciona Todos los grupos de usuarios (All Users Groups) para el origen.
    La primera opción para configurar es Origen (Source). De forma predeterminada, esta opción está establecida en Todos los grupos de usuarios (All User Groups).
    Nota: Todos los grupos de usuarios (All Users Groups) es la única opción para los clientes que no tienen un proveedor de identidad (IdP) como Workspace ONE o Azure Active Directory (AD) configurado para Cloud Web Security.
    Nota: Cloud Web Security debe configurarse con un proveedor de identidad (IdP) como Workspace ONE o Azure Active Directory (AD) para que usuarios y grupos específicos funcionen.

    Haga clic en Siguiente (Next) en la pantalla Seleccionar tipo de contenido (Select Content Type).

  5. En la pantalla Seleccionar tipo de contenido (Select Content Type), los usuarios pueden configurar los tipos de contenido que se activan mediante la función de inspección de DLP. Existen tres parámetros que se pueden configurar para el tipo de contenido:
    Pantalla predeterminada para seleccionar tipo de contenido, que muestra las opciones de inspección de entrada de texto, inspección de carga de archivos con tamaño máximo y selección de tipos de archivos.
    1. Elija si la regla de DLP debe Inspeccionar entrada de texto (Inspect Text Input) o no. El valor predeterminado para este archivo es Desactivado (Off). Cuando se cambia a Activado (On), la entrada de texto del usuario pasará por la inspección de DLP cuando se soliciten envíos de red.
      Nota: La entrada de texto es como una publicación de formulario o un mensaje de texto. La entrada de texto es diferente de un archivo de texto, que es un .txt real adjunto a una carga.
    2. Tamaño de archivo máximo (Maximum File Size) permite a los usuarios elegir si deben inspeccionar las cargas de archivos mediante la definición de un tamaño máximo de archivo que se va a inspeccionar. La configuración predeterminada de esta opción es 50 megabytes (MB), y los usuarios pueden configurar un valor de tamaño máximo de archivo tanto de forma numérica como por unidades de almacenamiento: bytes (B), kilobytes (KB), megabytes (MB) o gigabytes (GB). Si el tamaño del archivo cargado es mayor que el valor de Tamaño de archivo máximo (Maximum File Size) configurado, la DLP no inspecciona el archivo y se permite su paso.
      Nota: El valor numérico de Tamaño de archivo máximo (Maximum File Size) se puede configurar como un número entre 1 y 1000 en Orchestrator. El número 0 no es válido para este campo.
      Importante: Si bien es posible configurar valores extremadamente pequeños y grandes, la DLP tiene un límite de tamaño de archivo máximo de 5 GB. Incluso si los usuarios configuran un valor mayor; ese valor no se respetará más allá de los 5 GB. La DLP también tiene tamaños de contenido mínimos admitidos, como se indica a continuación:
      Tabla 1. Tamaños mínimos de contenido admitidos
      Entrada de usuario Entrada de archivo
      1024 bytes 5120 bytes
    3. Seleccionar tipos de archivos (Select File Types) permite al usuario elegir tipos de archivo específicos para inspeccionar. La configuración predeterminada es inspeccionar todos lo Todos los tipos compatibles (All Supported Files), 36 tipos de en total. Si los usuarios desactivan todos los Tipos de archivos compatibles (Supported File Types), verán un menú completo de los 36 tipos de archivo organizados por 11 categorías:
      • Archivos y paquetes comprimidos (Archives and Compressed Packages) (9): 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
      • Calendario (Calendar) (1): invitación a una reunión de ICS
      • Aplicaciones de ingeniería (Engineering Applications) (2): AutoCAD, Visio
      • Multimedia (2): archivos de audio, archivos de vídeo
      • Documentos varios (Miscellaneous Documents) (1): RTF
      • Otros archivos y documentos (Other Files and Documents) (1): otros archivos y documentos de tipos desconocidos
      • Herramientas de presentación (Presentation Tools) (2): presentación de OpenOffice, PowerPoint
      • Productividad (Productivity) (2): Microsoft One Note, Microsoft Project
      • Scripts y ejecutables (Scripts and Executables) (6): ejecutable de Android, JAR, ejecutable de Linux, ejecutable de Mac, archivos de script basados en texto
      • Hojas de cálculo (Spreadsheets) (3): CSV, Excel, hoja de cálculo de OpenOffice
      • Procesadores de texto (Word Processors) (7): Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
    Los usuarios pueden seleccionar varios o todos los Tipos de archivo (File Types) en una categoría de archivo. Si el número de Tipos de archivo (File Types) seleccionado es menor que todos los Tipos de archivo (File Types) disponibles para esa categoría, el nombre de la categoría de archivo se mostrará en azul y visualizará cuántos Tipos de archivo (File Types) se seleccionaron del total disponible.
    Configurar tipos de archivo seleccionando algunos tipos de archivo, pero no todos, para una categoría. En este caso solo se seleccionan algunos de los archivos y paquetes comprimidos.

    Si los usuarios desean seleccionar todos los Tipos de archivo (File Types) para esa categoría, pueden hacer clic en el cuadro de selección superior y se seleccionan todos los Tipos de archivo (File Types). Una vez hecho esto, el encabezado de categoría se vuelve de color verde y muestra todos los Tipos de archivo (File Types) que se han seleccionado para esa categoría.

    Configurar tipos de archivo seleccionando todos los tipos de archivo para esa categoría. En este caso, se seleccionan todos los archivos y paquetes comprimidos.

    Después de seleccionar los ajustes de tipos de contenido de DLP para la regla, haga clic en Siguiente (Next). Se mostrará la pantalla Seleccionar destinos (Select Destinations).

  6. En la pantalla Seleccionar destinos (Select Destinations), los usuarios pueden especificar los dominios o categorías para los que debe realizarse la inspección de DLP. El ajuste predeterminado es Todos los dominios y las categorías (All Domains and Categories), lo que significa que la DLP inspecciona todos los Dominios (Domains) y todas las 84 Categorías (Categories).
    Configuración predeterminada para seleccionar dominio.

    Si los usuarios desactivan la casilla para Todos los dominios y las categorías (All Domains and Categories), se pedirá a los usuarios que configuren Dominios (Domains) o Categorías (Categories).

    En el campo Dominios (Domains), los usuarios pueden especificar nombres de dominio completos (FQDN), direcciones IP o rangos de IP que activarán una alerta de auditor. Los usuarios pueden introducir una combinación de FQDN, direcciones IP y rangos de IP.
    Configurar los dominios, incluidos los FQDN, las direcciones IP y los rangos de direcciones IP.

    En el campo Categorías (Categories), los usuarios pueden elegir entre un máximo de 84 categorías distintas para las que un archivo puede coincidir y requerir una inspección de DLP. Los usuarios también pueden seleccionar todas las categorías a la vez haciendo clic en la casilla de verificación de la parte superior izquierda.

    Eliminar categorías específicas en la sección Categorías (Categories).

    Después de seleccionar el destino de DLP para la regla, haga clic en Siguiente (Next). Se mostrará la pantalla Seleccionar diccionarios (Select Dictionaries).

  7. En la sección Seleccionar diccionarios (Select Dictionaries), los usuarios deben elegir al menos uno o varios diccionarios para asociarlos con la regla. Los diccionarios pueden ser personalizados y predefinidos o una combinación de personalizados y predefinidos. Se evalúan todos los diccionarios seleccionados y se realiza la acción en función de los criterios especificados en los diccionarios respectivos.
    Seleccionar diccionarios con explicaciones para varias opciones de configuración de visualización.

    Hay más de 340 diccionarios predefinidos para elegir, además de los diccionarios personalizados que el usuario puede crear, los usuarios deben limitar sus opciones de diccionario mediante uno o más filtros ubicados en la parte superior de cada columna. En este ejemplo, el usuario filtra por diccionarios que coinciden con el término de categoría "HIPAA" para vincularse con el diccionario personalizado que ya crearon.

    Filtrar para diccionarios mediante el término de búsqueda de categorías HIPAA.

    Después de seleccionar los diccionarios de DLP que se aplicarán a la regla, haga clic en Siguiente (Next). Se mostrará la pantalla Seleccionar acción (Select Action).

  8. En la pantalla Seleccionar acción (Select Action), el usuario puede decidir qué acción se debe realizar cuando se cumplen los criterios definidos. La acción se puede establecer en Bloquear (Block), Registro (Log) o Omitir inspección (Skip Inspection). Los ajustes predeterminados para Seleccionar acción (Select Action) son Bloquear (Block) sin ningún Correo electrónico de auditoría (Audit Email) enviado y HTTP and HTTPS activado en Protocolos que se deben inspeccionar (Protocols to Inspect).
    Pantalla predeterminada para Seleccionar acción (Select Action) cuando se cumplen los criterios de una regla. La pantalla muestra las opciones de la acción, que son Bloquear (Bloquear), Registro (Log) u Omitir inspección (Skip Inspection).

    Si los usuarios activan Enviar correo electrónico de auditoría (Send Audit Email) en Sí (Yes), los usuarios también deberán seleccionar los Perfiles de auditor (Auditor Profile(s)) que recibirán el correo electrónico de auditoría. En este caso, el usuario elige el perfil de auditor configurado anteriormente en la sección Auditores (Auditors).

    La pantalla muestra el usuario alternando la opción Enviar correo electrónico de auditoría (Send Audit Email) y configurando un perfil de auditor.

    Después de configurar la acción que se realizará para la regla, haga clic en Siguiente (Next).

  9. En la pantalla Introducir Nombre/Etiquetas/Descripción (Enter Name / Tags / Description), el usuario debe configurar un Nombre (Name) único para la regla de DLP. El usuario también puede configurar las opciones de Etiquetas (Tags), Notificación (Notification) y Motivo (Reason) para la regla.
    Configurar un nombre y una descripción para la regla de DLP.
  10. Haga clic en Finalizar (Finish). Se crea una regla de DLP que aparece en la sección de reglas de DLP para la directiva de seguridad.
  11. Haga clic en Publicar (Publish) para que la regla de DLP surta efecto en esta directiva de seguridad.
    Nota: La regla de DLP tarda aproximadamente cinco minutos en surtir efecto a partir del momento en que los usuarios la publican. Después de publicar la directiva de seguridad, los usuarios pueden Aplicar la directiva de seguridad.
    Confirmar la regla de DLP se rellena en la pantalla principal de la regla de DLP; a continuación, haga clic en Publicar (Publish) para que la regla surta efecto.

    Después de la publicación, una regla de DLP se puede editar y volver a publicar según sea necesario de la misma manera en que se creó por primera vez.

Para obtener más información sobre la configuración empresarial de DLP, consulte Prevención de pérdida de datos.