Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Articles techniques ID:
KB84085
Date de la dernière modification : 2022-07-11 12:48:04 Etc/GMT
Environnement
McAfee Data Loss Prevention (DLP) Endpoint 11.x
Synthèse
Cet article présente une liste consolidée des questions et réponses fréquentes. Cet article est destiné aux nouveaux utilisateurs du produit, mais peut être utilisé par tous les utilisateurs.
Mises à jour récentes de cet article
Date
Mise à jour
14 février 2022
Ajout d’un nouveau contenu dans la section FAQ sur la compatibilité "".
Cliquez pour développer la section à afficher :
Quels types d’options de configuration et de licence DLP Endpoint sont-ils disponibles ?
DLP Endpoint est disponible dans deux configurations :
Device Control
DLP Endpoint (version complète DLP EndPoint)
Chaque configuration est disponible avec deux options de licence :
version d’évaluation de 90-jour
Licence illimitée
L’installation par défaut est une licence de 90 jour pour McAfee Device Control. Lors de l’installation, la configuration de McAfee Device Control est activée. La mise à niveau de la clé de licence dans paramètres DLP dans la console ePO passe à la configuration complète.
Quelles sont les fonctionnalités incluses dans DLP Endpoint?
Une licence DLP Endpoint complète dispose de toutes les fonctionnalités d’une licence Device Control. En outre, le logiciel complet DLP Endpoint inclut les éléments suivants :
Protection universelle qui protège contre les fuites de données grâce à l’ensemble le plus large de canaux de fuite de données. Par exemple, les équipements amovibles, les e-mails (y compris les pièces jointes), les publications Web, l’impression et le système de fichiers.
Protection permanente des données en fonction du contenu, qui protège contre les fuites de données, quel que soit le format dans lequel les données sont stockées ou manipulées. Elle met en œuvre les prévention des fuites de données sans perturber les activités utilisateur légitimes.
Protection à la connexion, qui empêche la transmission de données confidentielles depuis les postes de travail et les ordinateurs portables, qu’ils soient ou non connectés au réseau de l’entreprise.
Quelles sont les licences disponibles pour DLP ?
DLP est un suite de produits, chacun d’eux protégeant différents types de données de votre réseau. Types de licence disponibles :
Data Loss Prevention Endpoint-inspecte et contrôle le contenu et les actions de l’utilisateur sur les postes clients.
Device Control-contrôle l’utilisation des supports amovibles sur les postes clients.
Data Loss Prevention Discover-analyse les référentiels de fichiers afin d’identifier et de protéger les données confidentielles.
Data Loss Prevention Prevent-fonctionne avec votre serveur Web proxy ou MTA pour protéger le trafic Web et de messagerie.
Remarque : Data Loss Prevention Prevent pour l’E-mail mobile n’est plus pris en charge. Ce produit est utilisé pour fonctionner avec MobileIron pour surveiller Microsoft Exchange ActiveSync ou Microsoft Office 365 ActiveSync demandes
Toutes les licences sont dotées de versions d’évaluation et de versions perpétuelles. Les versions d’évaluation utilisent une clé de licence de 90 jour.
Où puis-je trouver ma clé de licence ? Le texte de la clé de licence se trouve sur la page téléchargements de produits , sous la section "notes" et sur la page Gestionnaire de logiciels EPO, sous la description du produit.
Si vous disposez d’une version d’évaluation package mais que vous ne disposez pas du fichier texte, contactez votre représentant commercial ou l’ingénieur commercial pour obtenir de l’aide sur le téléchargement du logiciel.
Combien de temps la licence reste active-t-elle ?
La licence d’évaluation reste active pendant 90 jours avant d’arriver à expiration. Après 90 jours, vos stratégies ne sont pas appliquées. Les licences perpétuelles n’expirent pas.
Où puis-je trouver des recommandations de meilleures pratiques ou des livres blancs pour utiliser Data Loss Prevention ?
Qu’est-ce qu’un analyseur et un indexeur ?
Les analyseurs et les indexeurs sont des applications qui itèrent les fichiers à des fins d’analyse, telles que :
Logiciel antivirus
Applications de sauvegarde
Recherche Windows
Les indexeurs et les analyseurs analysent le disque dur et accèdent à un grand nombre de fichiers. Lorsqu’un analyseur/indexeur accède à des fichiers marqués, l'agent DLP Endpoint charge toutes les empreintes du contenu marqué dans la mémoire. Pour qu’ils ne chargent pas ces souvenirs dans le système, les indexeurs et les analyseurs doivent être configurés pour utiliser une stratégie d’application approuvée. Ce paramètre est considéré comme une meilleure pratique dans la configuration de DLP Endpoint. Cela s’explique par le fait qu’il n’est pas nécessaire que les Agent de terminal DLP effectuent le suivi de tous les fichiers. Cela améliore également considérablement les performances du système.
Comment configurer une stratégie stratégie d’application approuvée ? Les stratégies d’application sont définies dans la page modèle d’application de la Gestionnaire de stratégies DLP, définitions. Utilisez les modèles prédéfinis, ou créez vos propres modèles personnalisés.
Remarque : Vous ne pouvez pas modifier les stratégies dans les modèles intégrés. Vous pouvez créer des remplacements dans la page stratégie DLP, paramètres, stratégie d’application . Vous pouvez créer et supprimer autant de remplacements que nécessaire pour tester et affiner la stratégie.
Modifiez la stratégie selon vos besoins pour optimiser les performances. Par exemple, le niveau élevé d’observation qu’un éditeur application reçoit ne correspond pas au traitement fréquent du logiciel de sauvegarde. La baisse des performances est élevée et le risque d’une fuite de données d’un tel application est faible. Nous vous déconseillons donc d’utiliser la stratégie approuvée avec ces applications. Vous pouvez également créer plusieurs modèles pour une même application et lui affecter plusieurs stratégies. Pour obtenir des résultats différents dans différents contextes, utilisez les différents modèles dans différentes classifications et règles. Soyez vigilant lors de l'affectation de ces modèles aux jeux de règles afin d'éviter tout éventuel conflit. DLP résout les conflits potentiels en fonction de la hiérarchie suivante : archiver, trusted, explorer, editor . Les applications de type Editeur sont donc celles qui possèdent le classement le plus faible. Si un application est un éditeur d’un modèle et tout autre élément d’un autre modèle du même jeu de règles, DLP ne traite pas le application en tant qu’éditeur. Pour obtenir des informations plus détaillées, reportez-vous au Guide produit de Data Loss Prevention 11.4.x.
Les analyseurs et les indexeurs influent-ils sur le fonctionnement du marquage ?
Lors de l’accès à un fichier, l'agent DLP Endpoint analyse le contenu, puis crée et stocke ses empreintes dans la mémoire (RAM).
Les marqueurs DLP Endpoint fonctionnent-ils sur l’ensemble du fichier ou du contenu du fichier ?
Au niveau du système de fichiers, les marqueurs DLP Endpoint sont stockés dans les attributs de fichier étendus (EA) ou autres flux de données (ADS) d’un fichier. Lors de l’accès à un fichier balisé, l'agent DLP Endpoint effectue le suivi des transformations de données. De plus, il conserve la classification du contenu confidentiel du fichier marqué de manière permanente, quelle que soit son utilisation.
Les marqueurs fonctionnent sur le contenu. Ainsi, si un fichier entier contient uniquement une partie du contenu balisé, par exemple le contenu copié à partir d’un autre document, seule cette partie est marquée. Seule cette partie est marquée, même si le marquage manuel indique que le fichier est marqué. Avec la configuration agent par défaut, au moins deux segments, ou environ 350 caractères non répétitifs, sont nécessaires pour identifier et effectuer le suivi du contenu marqué. Pour plus d’informations, voir KB53436-détails sur le plus petit ensemble de données déclenchant une réaction Data Loss Prevention.
Comment le marquage se propage-t-il d’un fichier à un autre ?
Les marqueurs fonctionnent pratiquement de la même manière que les signatures et sont générés de la même manière que les hachages d’empreintes. Ces signatures permettent d’identifier si le contenu du fichier correspond au contenu signature d’origine.
Lors de l’accès à un fichier balisé, les signatures de contenu marquées sont chargées en mémoire (RAM). A partir de là, si un utilisateur accède à un autre fichier et le modifie pour qu’il contienne le même contenu dans le fichier balisé, le nouveau fichier est marqué lors de son enregistrement. Le résultat est similaire, que vous ayez ou non copié un fichier vers un nouveau document ou un document existant. Seule la partie pertinente du fichier est marquée.
Comment puis-je copier le contenu d’un fichier et le coller dans un corps d’e-mail ou dans un formulaire de navigateur Web ?
Lors de l’accès à un fichier balisé, les signatures de contenu marquées sont chargées en mémoire (RAM). A partir de cette étape, toutes les actions relatives aux règles de protection s’appliquent à ce contenu. Si une règle de protection de la messagerie est configurée pour bloquer le marqueur, le contenu copié à partir d’un fichier marqué est bloqué. La même condition s’applique aux règles de protection de la publication Web.
Comment le marqueur est-il stocké sur le système de fichiers ?
La technologie de marqueurs fonctionne avec la fonctionnalité NTFS (New Technology File System) de l’hôte. Contrairement au système FAT32 (File Allocation Table), NTFS dispose d’un espace d’allocation supplémentaire pour les fichiers à stocker. Ce fait permet à la technologie de marquage de fonctionner de manière indépendante sur les propriétés de fichier. La méthode de secours pour FAT32 est ADS et ODB $ (FAT32). Pour les systèmes de fichiers qui ne prennent pas en charge EA ou ADS, DLP Endpoint stocke les informations de marqueur sous forme de métafichier sur le disque. Les fichiers de métadonnées sont stockés dans un dossier masqué appelé ODB $. DLP Endpoint agent crée automatiquement ce dossier.
Remarque : Etant donné que le marqueur n’est pas stocké directement dans les propriétés du fichier ou du fichier, le contenu n’est pas affecté lorsqu’un fichier est marqué.
Est-il possible de perdre un marqueur s’il est téléchargé via Web post ou transféré via FTP ?
Le fichier chargé n’est pas marqué. Le chargement via Web post ou FTP concerne uniquement le contenu du fichier, et non les informations supplémentaires dans le système de fichiers. Si des règles de protection réseau ou Web sont configurées, le chargement ou le transfert de fichiers peut être surveillé ou empêché.
Si j’accède à un fichier qui n’est pas marqué mais que le contenu correspond au contenu marqué, est-il marqué ?
Bien qu’aucun contenu ne soit copié à partir d’FILE_1 marqués vers FILE_2, FILE_2 est toujours marqué lors de son enregistrement. Elle est marquée, car le contenu correspond aux signatures de marqueurs stockées en mémoire lors de l’accès à FILE_1. Cette méthode est similaire à une technologie de concordance de signature, dans laquelle le fichier de fin ressemble au contenu du fichier d’empreintes.
Comment les marqueurs en mémoire peuvent-ils être supprimés ?
Les marqueurs stockés en mémoire sont supprimés lorsque l’utilisateur se déconnecte ou redémarre le système.
La réinitialisation d’un marqueur supprime-t-il les marqueurs de l’attribut étendu du fichier ? Oui. Si un marqueur a été réinitialisé, l’identification (GUID) du marqueur est modifiée. Lorsque le agent dispose de la stratégie la plus récente et qu’il détecte une identification de marqueur qu’il ne reconnaît pas, le marqueur est supprimé des attributs étendus lors de l’enregistrement du fichier.
Comment la liste d’autorisation complète-t-elle un marqueur ?
Le contenu de la liste d’autorisation ne peut pas être marqué. Normalement, la liste d’autorisation est utile pour les contenus courants tels que la clause de non-responsabilité ou les modèles d’entreprise standard.
La liste d’autorisation affecte-t-elle déjà des fichiers marqués précédemment sur le terminal utilisateur ?
Il fonctionne sur les fichiers récemment marqués et marqués avant que la liste d’autorisation ne soit configurée. Tant que la partie du contenu se trouve dans la liste d’autorisation, les règles de protection ne sont pas appliquées au contenu.
Comment le marquage DLP Endpoint fonctionne-t-il avec un logiciel de compression ?
Si un fichier balisé est compressé, l’archive qui en résulte est également marquée. L’administrateur doit s’assurer que l’archiveur application est configuré pour utiliser la stratégie de application archiveur . Support technique a inclus dans DLP Endpoint la stratégie application de certaines applications d’archivage populaires, telles que les WinZip.
L’équipement de stockage de masse UAS (USB Attached SCSI) est-il pris en charge dans la liste d’autorisation ? Non. DLP ne lit pas l’équipement s’il est introuvable dans le Manager de l' équipement. DLP bloque SCSI au niveau de la carte, de sorte qu’il n’est pas pris en charge dans la liste d’autorisation. Pour plus d’informations, voir KB91074-comment bloquer un équipement de stockage de masse UAS (USB Attached SCSI).
Quelles sont les langues prises en charge ?
Pour plus d’informations sur la prise en charge des langues localisées, consultez la section "langues prises en charge" de la notes de publication DLP Endpoint.
Comment puis-je installer DLP Endpoint ?
Téléchargez les extension DLP Endpoint à partir du site de téléchargement de produits.
Notre logiciel produit, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site de téléchargement de produits.
Quelles applications DLP Endpoint sont installées dans ePO ?
Les applications DLP Endpoint suivantes sont installées dans ePO :
Console de stratégies DLP Endpoint
Evénements opérationnels DLP Gestionnaire d’incidents et DLP
Analyseur d’événements DLP
Paramètres DLP
DLP Endpoint et contenu de l’aide
Est-il nécessaire d’installer McAfee Agent ? Oui. Pour ajouter la protection contre les fuites de données, vous devez également déployer les plug-in DLP Endpoint pour McAfee Agent. Vous pouvez installer le plug-in à l’aide de l’infrastructure ePO.
Comment installer le logiciel client DLP Endpoint extension, le logiciel client DLP Endpoint ?
Les instructions sont fournies dans la section "installer McAfee DLP Endpoint logiciel" du Guide d’installation de DLP Endpoint applicable à votre version.
Comment installer manuellement le logiciel client DLP Endpoint ?
Pour installer manuellement le logiciel client DLP Endpoint, procédez comme suit :
Procédez à l’extraction McAfeeDLP EndpointndpointXXLicensed.zip dans un dossier temporaire.
Accédez aux éléments suivants dans le dossier temporaire :
\TAG_AGENT_X_X_XXX_XXX\Signed_Packageoù x_x est le numéro de version du produit et XXX_XXX le numéro de la mise à jour et du Build.
Exemple :\TAG_AGENT_11_1_400_00\Signed_Package
Exécuter DLPAgentInstaller.yy.exe (où yy est x86 ou x64).
Comment désinstaller manuellement DLP Endpoint du client ?
Le logiciel client DLP Endpoint est protégé contre les suppressions non autorisées. La suppression manuelle est disponible à l’aide de l’option Microsoft Windows Ajouter ou supprimer des programmes . Cette méthode nécessite une clé de demande d’authentification/réponse, qui est obtenue auprès de l’administrateur DLP Endpoint.
Suivez la procédure ci-dessous pour désactiver l’invite de demande d’authentification/réponse dans la stratégie DLP :
Connectez-vous à la console ePO.
Cliquez sur menu, protection des données, stratégie DLP.
Cliquez sur configuration de l'agent, modifier la configuration globale des agent.
Cliquez sur l’onglet Configuration avancée .
Sélectionnez chacune des entrées suivantes et configurez-les si nécessaire pour activer ou désactiver la clé demande d’authentification/réponse. Cliquez ensuite sur OK:
Show challenge-response on upgrade Show challenge-response on uninstall
Cliquez sur appliquer pour enregistrer les modifications. Pour plus d’informations, reportez-vous au Guide d’installation de DLP Endpoint pour votre version.
Quel est l’objectif de la gestionnaire de stratégies DLP Endpoint ?
La console de Gestionnaire de stratégies DLP Endpoint permet aux administrateurs de définir et de mettre en œuvre leur stratégie de sécurité des informations d’entreprise. La Gestionnaire de stratégies permet de créer la stratégie de sécurité et d’administrer les composants DLP Endpoint. Vous pouvez y accéder dans ePO.
Est-il possible de sauvegarder et d’enregistrer les stratégies ? Vous pouvez enregistrer des stratégies en tant que sauvegarde en allant dans le menu EPO, paramètres DLP, Backup and Restore onglet. Sélectionnez sauvegarder dans un fichier. Cette fonction est utile pour la sauvegarde de la stratégie DLP. Il crée un fichier nommé, dlpConfig.backup .
Il contient des définitions, des classifications et des stratégies DLP.
Pour restaurer des stratégies à l’aide de cette sauvegarde ou d’une sauvegarde à partir d’un autre serveur EPO, accédez à menu, DLP Settings, Backup and Restore onglet. Accédez à emplacement de fichier de sauvegarde et cliquez sur restaurer à partir d’un fichier.
Remarque : La version de l’extension DLP doit être supérieure à la version importée.
Comment supprimer les messages de redémarrage après l’installation de DLP Endpoint ? Avant DLP 11.0.5 , un redémarrage était nécessaire sur le poste client lors de la mise à niveau du produit. Cependant, les redémarrages ne sont plus nécessaires après la mise à niveau de DLP vers les versions ultérieures 11.0.5. , mais il est conseillé de toujours mettre à niveau DLP vers la dernière version disponible.
Comment exécuter plusieurs versions de DLP Endpoint en même temps (clients, extensions ou les deux) ?
Vous pouvez gérer plusieurs versions de client DLP Endpoint à l’aide de la dernière version de la extension ePO Endpoint ePO. Configurez l’option mode de rétrocompatibilité dans la stratégie DLP Endpoint comme suit :
Connectez-vous à la console ePO.
Cliquez sur menu, protection des données, paramètres DLP.
Cliquez sur la liste déroulante en regard de rétrocompatibilité et sélectionnez la version la plus élevée disponible de DLP et versions ultérieures.
Cliquez sur Enregistrer dans le coin inférieur droit.
Remarque : Vous ne pouvez installer qu’un seul extension DLP Endpoint par serveur ePO.
Est-il possible de modifier ou de personnaliser l'appliance serveur NDLP ? Non. Elle. Certains clients cherchent à voir si des modifications peuvent être appliquées au niveau du système d’exploitation dans le cadre de la mise en œuvre de la sécurité. Par exemple, SCD 12.
Elle est similaire à l’application d’une couche de sécurité au niveau du système d’exploitation pour prévenir les risques et l’impact, contre les menaces.
SERVEUR NDLP ne fournit aucune prise en charge pour de telles modifications.
REMARQUES :
McAfee Linux se (MLOS) est utilisé, qui est une variante renforcée de RHEL ou CentOS, et aucune autre modification n’est autorisée.
Les appliances Data Loss Prevention (DLP prévention et DLP Monitor) ne sont pas conçues pour prendre en charge l’installation d’un logiciel tiers. L’installation d’un logiciel tiers peut perturber la fonction de celui-ci.
Qu’est-ce qu’McAfee Device Control ?
McAfee Device Control empêche l’utilisation non autorisée des périphériques de stockage amovibles. McAfee Device Control offre une protection permanente du contenu qui :
Contrôle les données qui peuvent être copiées sur les équipements amovibles
Bloque complètement les équipements
Convertit les équipements en lecture seule
Bloque les applications qui s’exécutent à partir de périphériques amovibles
Quelles sont les listes d’autorisation des types que DLP Endpoint utilise -t-il ?
DLP Endpoint utilise quatre types de liste d’autorisation :
Application : autorisation requise pour les applications telles que le logiciel de chiffrement. Les définitions des applications de liste d’autorisation peuvent être créées pour exempter les applications des règles de blocage.
Contenu : contient des fichiers texte qui définissent le contenu (généralement du texte réutilisable) qui n’est pas marqué et restreint. Son but est d’améliorer l’efficacité du processus de marquage en ignorant le contenu qui n’a pas besoin d’être protégé.
Les équipements plug and Plays sont automatiquement exclus de la gestion des équipements, car certains équipements plug-and-Play ne gèrent pas correctement la gestion des équipements.
Imprimantes -empêcher l’impression de données confidentielles. DLP Endpoint remplace le pilote d’imprimante d’origine par un pilote proxy qui intercepte les opérations d’impression et les transmet au pilote d’origine.
Quel type de chiffrement est pris en charge par DLP Endpoint ?
DLP Endpoint prend en charge le chiffrement de l’une des façons suivantes :
Fournit des définitions d’équipement intégrées qui reconnaissent DLP Endpoint pour les périphériques de média amovibles et le contenu chiffré avec le logiciel File and Removable Media Protection (FRP).
Intègre les définitions d’équipement intégrées de FRP pour autoriser la création de règles d’équipement qui autorisent l’enregistrement du contenu chiffré uniquement sur les équipements.
Prend en charge les règles de découverte du système dans le fichier pour la protection de la gestion des droits Adobe LiveCycle et Microsoft.
Fournit des règles de filtrage en fonction de l’état de chiffrement d’un document (chiffré/non chiffré).
Fournit un filtrage lors de la découverte du système de fichiers, de la découverte du stockage des e-mails et de la plupart des règles de protection par Adobe LiveCycle ou Microsoft protection des droits de gestion des droits.
Fournit le chiffrement à la demande.
Que se passe-t-il lorsqu’un agent détermine qu’une stratégie violation s’est produite ?
Le agent génère un événement et l’envoie à l’analyseur d’événements ePO. Les administrateurs EPO peuvent alors afficher ces événements dans DLP Gestionnaire d’incidents dans EPO. Pour afficher la liste des incidents, accédez à menu, protection des données et incident DLP gestionnaire d’incidents.
Qu’est-ce que les preuves et où sont-elles stockées ?
Une preuve est une copie des données à l’origine de la publication d’un événement de sécurité dans le Gestionnaire d’incidents DLP. DLP Endpoint stocke les preuves dans un emplacement temporaire sur le client entre les intervalles de communication agent-serveur. Lorsque McAfee Agent transmet des informations au serveur, le dossier est purgé. De plus, les preuves sont stockées dans le dossier de preuves du serveur. Vous pouvez spécifier la taille et l'âge maximum du stockage de preuves locales lorsque l'ordinateur est hors ligne.
Conditions requises pour le stockage de preuves
L’activation du stockage de preuves est la condition par défaut pour DLP. Si vous ne souhaitez pas enregistrer les preuves, vous pouvez désactiver le service de preuve pour améliorer les performances. Les éléments suivants sont nécessaires ou définis comme paramètres par défaut lors de la configuration du logiciel :
Dossier de stockage de preuves : la création d’un dossier de stockage de preuves réseau et la spécification du chemin d’accès UNC au dossier sont des conditions requises pour l’application d’une stratégie à ePO. Spécifiez le chemin d’accès par défaut dans la page Paramètres DLP → général.
Service de copie de preuve : le chemin d’accès UNC par défaut est copié dans les pages service de copie de preuve du catalogue de stratégies. Pour DLP Discover, DLP prévention et DLP Monitor, la page service de copie de preuve se trouve dans la configuration du serveur. Pour McAfee DLP Endpoint, elle est dans les configurations des clients Windows et Mac OS X. Vous pouvez spécifier différents dossiers de stockage de preuves dans les configurations.
Remarque: Si votre appliance DLP se trouve dans un zone démilitarisée, vous pouvez spécifier un serveur de preuves à l’extérieur de votre pare-feu. Spécifiez-la dans la page général du catalogue de stratégies DLP Gestion des appliances.
Service de génération de rapports : pour DLP Endpoint pour Windows, vous devez également activer les options service de génération de rapports et service de copie de preuve pour activer la collecte de preuves. Activez les options sur la page modes et modules de fonctionnement de la configuration client.
Comment ePolicy Orchestrator (ePO) génère-t-il l’État Agent de DLP Endpoint dans le tableau de bord ?
Le statut Agent de DLP Endpoint dans le tableau de bord n’est pas généré en temps réel. L’état de la Agent est un État représentatif général des agents lorsque la tâche de génération de rapports des propriétés DLP ma est exécutée. Par défaut, cette tâche est exécutée une fois par jour. Cette tâche copie les Propriétés DLP ma des tables ePO dans les tables de génération de rapports DLP Endpoint. Les Propriétés DLP ma sont récupérées à partir de McAfee Agent lorsque les postes clients envoient leurs propriétés lors d’un appel de communication avec le serveur agent. Par défaut, la communication se produit toutes les 60 minutes.
Dans le tableau de bord ePO, j’ai remarqué que certains PC signalaient le statut Agent DLP Endpoint suivant : Agent s’exécute (au moins une session utilisateur n’est pas protégée). Dois-je m’occuper ?
En règle générale, le statut affiché est normal et il n’y a aucune cause d’inquiétude. DLP Endpoint prend en charge plusieurs sessions. Par défaut, DLP Endpoint protège uniquement la session utilisateur connectée. Voici quelques scénarios possibles lorsque cet État est visible :
L’utilisateur s’est déconnecté du système. Etant donné que la communication agent-serveur peut se produire après la déconnexion de l’utilisateur, DLP Endpoint signale l’État Agent pour la session utilisateur déconnectée, car agent n’est pas en cours d’exécution. Au niveau du système, l'agent DLP Endpoint est toujours en cours d’exécution.
L’utilisateur s’est déconnecté du système, mais un application est toujours en cours d’exécution sous cet ID d’utilisateur.
Le tableau de bord n’est pas généré en temps réel et s’appuie sur la communication agent-serveur.
Dans le tableau de bord ePO, j’ai remarqué qu’il existe certains systèmes signalant l’État Agent de DLP Endpoint suivant : Agent-aucune stratégie. Que dois-je faire ?
Vérifiez le système à partir du Arborescence des systèmes ePO. Vous pouvez effectuer un appel de réactivation Agent pour récupérer les dernières propriétés. Sous Data Loss Prevention Endpoint, vous pouvez voir le statut le plus récent. Si l’État est agent sans stratégie, il se peut que la stratégie ne s’applique pas à l’agent pour l’une des raisons suivantes :
La Agent est installée ou mise à niveau et redémarrée, mais elle n’a pas reçu la stratégie la plus récente. Pour corriger ce problème, effectuez un appel de réactivation Agent.
Après une mise à niveau, la stratégie n’est pas mise à jour correctement. Pour vous assurer que les stratégies sont mises à niveau, ouvrez et réenregistrez les stratégies DLP et la configuration Agent.
L'agent peut être plus ancien ou plus récent que l’extension DLP Endpoint dans ePO. Si la Agent est plus ancienne, assurez-vous que la compatibilité avec les versions antérieures est configurée pour prendre en charge les Agent plus anciens. Si la Agent est plus récente, mettez à niveau l’extension DLP Endpoint.
Comment vérifier l’État Agent de DLP Endpoint à partir du Registre ?
L’état de l'agent DLP peut être déterminé en allant au-dessous de la clé de Registre sur le terminal :
Pour une session utilisateur connectée, vérifiez la clé de Registre suivante :
La liste ci-dessous répertorie les valeurs et descriptions possibles :
Actif/État
Etat Agent de DLP Endpoint
Description du problème
0
Utilisateur déconnecté
L'utilisateur est déconnecté. Cet État est principalement destiné à la compatibilité avec les agents antérieurs à la version. 9.3.
1
Agent est en cours d’exécution
L'agent est en cours d’exécution.
2
Echec de l'initialisation des pilotes de l'agent
Le pilote n’est pas installé correctement, le pilote n’est pas chargé ou DLP Endpoint n’est pas en cours d’exécution.
Si DLP Endpoint ne se charge pas, il tente de réparer les pilotes ou le registre. en cas d’échec, il définit cette clé.
3
Agent installé, en attente de redémarrage
L'agent installé nécessite un redémarrage. Cet État ne s’affiche qu’après l’installation.
4
Agent en cours d’exécution, mais aucune stratégie
L'agent est en cours d’exécution ( fcag processus en cours d’exécution, mais aucune mise en œuvre de stratégie n’a encore été effectuée). L’ordinateur a redémarré après l’installation de DLP Endpoint, mais il n’a pas encore reçu la stratégie.
5
Echec de l'installation de l'agent
Si le programme d’installation échoue, il écrit dans le registre.
6
Agent supprimé
DLP Endpoint crée un événement pour McAfee Agent à envoyer à la base de données. Seule la tâche de génération de rapports CMA peut lire cette plug-in. Etant donné que le plug-in DLP n’existe plus, il n’existe aucun moyen pour DLP Endpoint de communiquer ce fait à ePO.
7
Agent n’est pas en cours d’exécution
L'agent n’est pas en cours d’exécution.
8
Agent s’exécutant en mode DLP complet
L'agent s’exécute en mode DLP total.
9
Agent en cours d’exécution dans RS + Device Control
L'agent s’exécute en mode de stockage amovible et de contrôle des équipements.
10
Agent s’exécutant dans le contrôle des équipements uniquement
L'agent est en cours d’exécution en mode Device Control.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.