guia de produto do mcafee web gateway cloud service · a plataforma de serviço de nuvem consiste...

Guia de produto do McAfee Web GatewayCloud Service

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de produto do McAfee Web Gateway Cloud Service

Conteúdo

1 Visão geral do produto 5Visão geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Recursos principais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Como funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Gerenciamento de políticas 9Modelo de política global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Usando o Navegador de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Configuração de política de recurso para a área de recurso . . . . . . . . . . . . . . . . 10Exibição e edição da política de recurso . . . . . . . . . . . . . . . . . . . . . . . 11Tipos de regras nas políticas de recursos . . . . . . . . . . . . . . . . . . . . . . . 12Uso de exceções para criar regras complexas . . . . . . . . . . . . . . . . . . . . . 17Painel Catálogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Como usar uma lista de opções para preencher uma lista . . . . . . . . . . . . . . . . 18

Download e instalação dos certificados SSL nos sistemas clientes . . . . . . . . . . . . . . . . . 18Integração com o McAfee Skyhigh Security Cloud . . . . . . . . . . . . . . . . . . . . . . . 19

Visão geral da integração . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Configuração da integração . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Criação de uma conta de usuário do Enterprise Connector para um locatário não-SAML . . . . . 20Adição de grupos de serviço às políticas da Proteção de acesso . . . . . . . . . . . . . . . 21

Uso de listas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Como trabalhar com as listas mantidas pela McAfee . . . . . . . . . . . . . . . . . . 22Colocar na lista branca os aplicativos em nuvem populares . . . . . . . . . . . . . . . . 22Como trabalhar com faixas de IP do servidor . . . . . . . . . . . . . . . . . . . . . 22Como trabalhar com listas de URLs . . . . . . . . . . . . . . . . . . . . . . . . . 25Como trabalhar com grupos de usuários . . . . . . . . . . . . . . . . . . . . . . . 28

Uso de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Adicionar uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Criação de regra importando uma lista de URLs . . . . . . . . . . . . . . . . . . . . 31Criar uma regra usando exceções . . . . . . . . . . . . . . . . . . . . . . . . . 32Ativação ou desativação de uma regra . . . . . . . . . . . . . . . . . . . . . . . . 33Alteração dos detalhes da regra . . . . . . . . . . . . . . . . . . . . . . . . . . 33Adicionar uma ação a uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . 34Alterar uma ação para uma ação principal . . . . . . . . . . . . . . . . . . . . . . 34Remover uma ação de uma regra . . . . . . . . . . . . . . . . . . . . . . . . . 35Reordenar regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Excluir uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Uso de políticas de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Edição dos detalhes da política . . . . . . . . . . . . . . . . . . . . . . . . . . 36Criação de uma página de bloqueio . . . . . . . . . . . . . . . . . . . . . . . . 37Editar uma página de bloqueio . . . . . . . . . . . . . . . . . . . . . . . . . . 38Exclusão de uma página de bloqueio . . . . . . . . . . . . . . . . . . . . . . . . 39Atribuir uma página de bloqueio a uma política . . . . . . . . . . . . . . . . . . . . 39Criar uma lista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Editar uma lista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Guia de produto do McAfee Web Gateway Cloud Service 3

Excluir uma lista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Alterar a política atribuída . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Exibição e manutenção das ações de usuário . . . . . . . . . . . . . . . . . . . . . . . . 42Exportação dos logs de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Condições de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

3 Autenticação 45Decisões de autenticação e política . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Como funciona o processo de autenticação . . . . . . . . . . . . . . . . . . . . . . . . . 46Autenticação da faixa de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Ativar autenticação da faixa de IP . . . . . . . . . . . . . . . . . . . . . . . . . 48Configuração de uma faixa de endereços IP . . . . . . . . . . . . . . . . . . . . . . 48Importar uma lista de faixas de endereços IP . . . . . . . . . . . . . . . . . . . . . 48Exportar uma lista de faixas de endereços IP . . . . . . . . . . . . . . . . . . . . . 49

Autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Benefícios da autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . . 49Autenticação SAML — etapas de alto nível . . . . . . . . . . . . . . . . . . . . . . 50Visão geral da configuração de SAML . . . . . . . . . . . . . . . . . . . . . . . . 51Requisitos para configurar a autenticação SAML . . . . . . . . . . . . . . . . . . . . 52Configurar a autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . . . 52Configurações da autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . 53

Autenticação site a site IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Configurando uma autenticação site a site IPsec . . . . . . . . . . . . . . . . . . . . 55Considerações ao configurar o site a site IPsec . . . . . . . . . . . . . . . . . . . . 55Ativação da autenticação site a site IPsec . . . . . . . . . . . . . . . . . . . . . . . 56Adicionar um local de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Configurações de site a site IPsec . . . . . . . . . . . . . . . . . . . . . . . . . 57Alteração das configurações de site a site IPsec . . . . . . . . . . . . . . . . . . . . 57Adição de autenticação SAML ao IPsec site a site . . . . . . . . . . . . . . . . . . . . 57Configuração das regras de política para o tráfego de VPN IPsec . . . . . . . . . . . . . . 58

4 Geração de relatórios 61Geração de relatórios no local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Configure McAfee WGCS como uma origem de log para Content Security Reporter . . . . . . . 61Como usar sua própria solução de geração de relatórios no local . . . . . . . . . . . . . . 62

Conteúdo


1 Visão geral do produto

Conteúdo Visão geral Recursos principais Como funciona

Visão geralO McAfee

®

Web Gateway Cloud Service (McAfee®

WGCS) é um serviço de nuvem empresarial globalmentedisponível que fornece proteção na Web abrangente por meio da varredura minuciosa de conteúdo e daintegração com outras tecnologias de segurança na Web da McAfee.

O serviço de proteção na Web protege sua organização contra ameaças à segurança que surgem quando osusuários da organização acessam a Web. O serviço:

• Varre e filtra o tráfego da Web entre os usuários de sua organização e a nuvem.

• Bloqueia o tráfego que não é permitido pela política configurada por você.

• Protege os usuários que trabalham dentro ou fora da rede, por exemplo, os usuários que trabalham em umcybercafé ou hotel

Usando este serviço, você pode impedir ameaças sofisticadas, implementar política de uso da Internet da suaorganização e impulsionar a produtividade. Por exemplo, você pode controlar o acesso a sites de upload dearquivos. Por meio de centenas de categorias de conteúdo da Web, aplicativos e tipos de mídias, você tem umcontrole refinado do uso da Web, dentro e fora da rede.

Plataforma de serviços em nuvem

Como um serviço que é executado em uma plataforma de nuvem, o McAfee WGCS é gerenciado 24 horas pordia, 7 dias por semana por uma equipe de especialistas em segurança da McAfee. Você adquire uma assinaturado serviço, sem necessidade de instalação de hardware ou software.

A plataforma de serviço de nuvem consiste em nós distribuídos globalmente e chamados de pontos de presença(PoP). O Global Routing Manager (GRM) é um serviço DNS responsável pelo roteamento de tráfego inteligente,compartilhamento de carga e failover. O GRM roteia o tráfego para o melhor ponto de presença disponível.

Plataforma de gerenciamento

O serviço de nuvem é gerenciado na plataforma McAfee®

ePolicy Orchestrator®

Cloud (McAfee®

ePO™

Cloud)usando um console de gerenciamento. O serviço pode ser distribuído com ou sem o McAfee

®

Client Proxy.

O software Client Proxy é:

1


• Instalado nos pontos de extremidade em sua organização identifica o local. Ele redireciona solicitações daWeb para o McAfee WGCS quando os usuários da organização estão trabalhando fora da rede.

• Gerenciado no servidor McAfee® ePolicy Orchestrator® (McAfee® ePO™) ou na plataforma do McAfee ePOCloud. O McAfee WGCS pode ser integrado ao Client Proxy, seja o software gerenciado por versões no localou na nuvem do McAfee ePO.

Os Pontos de extremidade gerenciados são os computadores cliente ou do usuário em sua organização que sãogerenciados com o McAfee ePO ou o McAfee ePO Cloud.

Recursos principaisUsando tecnologias de segurança na Web da McAfee, o McAfee WGCS fornece estes importantes recursos desegurança:

• Filtragem de URL — Utilizando listas brancas, listas negras e categorias de reputação com base nos níveisde risco determinados pelo McAfee® Global Threat Intelligence™ (McAfee GTI)

• Varredura SSL — Incluindo descriptografia completa e inspeção de conteúdo

• Filtragem da Web:• Filtragem de conteúdo da Web usando o Filtro de categorias da Web

• Filtragem de aplicativo Web usando a Proteção de acesso

• Filtragem de tipo de mídia usando o Filtro de tipo de mídia

• Filtragem antimalware — Bloqueia malware em linha e usando a tecnologia de emulação tradicional decomportamento e antivírus

• Área restrita da nuvem — Análise estática de arquivos desconhecidos combinado com análisecomportamental em um ambiente de área restrita da nuvem

A integração deste recurso com o McAfee WGCS exige uma assinatura do McAfee®

Cloud Threat Detection(McAfee

®

CTD).

• Autenticação SAML, de faixa de IP e site a site IPsec — Autenticação de usuários que solicitam o acesso ànuvem

• Geração de relatórios — Visão geral da produtividade, atividade na Web, da imposição de política na Web eda segurança na Web

Tecnologias de segurança na Web da McAfee

O McAfee WGCS usa as informações e a inteligência fornecidas pelos componentes e pelas tecnologias desegurança na Web comprovados da McAfee. Esses componentes e essas tecnologias atualizam dinamicamenteo serviço de nuvem à medida que as informações de segurança na Web e a inteligência são alteradas. Eles sãototalmente integrados ao serviço. É necessário um mínimo de configurações na interface do usuário.

1 Visão geral do produtoRecursos principais


• McAfee GTI — Avalia a reputação dos sites da Web com base no comportamento passado e atribui os sitesda Web a categorias de risco alto, médio, baixo e não verificado. O McAfee GTI coleta, analisa e distribuidados em tempo real de mais de 100 milhões de sensores em mais de 120 países.

• Filtros — Simplifique as regras de política atribuindo sites similar, aplicativos Web e tipos de arquivos aosgrupos.

• Filtro de categoria da Web — Atribui sites a categorias com base em conteúdo. Esse filtro permite oubloqueia o acesso a conteúdo especificado, como o bloqueio de acesso a sites de jogos de azar.

• Proteção de acesso — Atribui aplicativos Web a categorias por tipo. Esse filtro permite ou bloqueia oacesso a aplicativos Web individualmente ou por categoria. Por exemplo, ele pode bloquear uploads dearquivos para aplicativos de compartilhamento de arquivos na nuvem.

• Filtro de tipo de mídia — Categoriza arquivos por tipo de documento ou formato de áudio ou vídeo.Esse filtro permite ou bloqueia o acesso a tipos de mídia especificados, como o bloqueio de acesso àmídia em streaming.

• Gateway Anti-Malware Engine — Filtra o tráfego da Web, detectando e bloqueando malware de dia zeroem linha usando tecnologia de emulação antes que os dispositivos dos usuários sejam infectados.

• McAfee CTD — Observa e analisa o comportamento de arquivos desconhecidos off-line em um ambientede área restrita da nuvem. Esse serviço de nuvem classifica os arquivos usando Big Data e relata osresultados para você e para outros componentes da McAfee, como o McAfee GTI.

Detecção de ameaças detalhada

Trabalhando em conjunto, as tecnologias de segurança na Web da McAfee protegem sua organização contramalware, spyware, vírus, URLs de phishing, ataques dirigidos e ameaças mistas por meio de um processoprofundo que detecta quase 100% de ameaças baseadas na Web.

1 Por meio da tecnologia antivírus baseada em assinatura com dados de categoria de URL e reputação doMcAfee GTI, o McAfee WGCS filtra as ameaças conhecidas do tráfego da Web, permitindo a passagem dotráfego válido. Essa etapa do processo detecta cerca de 80% das ameaças baseadas na Web.

2 O tráfego da Web restante não é conhecido como válido ou inválido. O tráfego desconhecido suspeito éinspecionado pelo Gateway Anti-Malware Engine. Por meio da tecnologia de emulação, o conteúdodinâmico da Web e o código ativo são observados em um ambiente controlado para se compreender aintenção e prever o comportamento. Esta etapa do processo detecta quase 100% das ameaças baseadas naWeb restantes. Conhecidas como malware de dia zero, essas ameaças são novas ou arquivos de malwarealterados que ainda não têm assinaturas.

Como funcionaO McAfee WGCS e o Client Proxy funcionam em conjunto para proteger os usuários contra ameaças quesurgem quando eles acessam a Web.

1 O Client Proxy é instalado nos pontos de extremidade em sua organização.

2 Usando o McAfee ePO ou o McAfee ePO Cloud, o administrador cria uma política do Client Proxy queredireciona solicitações da Web para o McAfee WGCS e atribui a política a todos os pontos de extremidadegerenciados em sua organização.

O administrador pode configurar várias políticas e atribuir cada uma a um grupo diferente de pontos deextremidade gerenciados.

3 Os pontos de extremidade gerenciados podem estar localizados dentro da rede da sua organização,conectados à sua rede pela VPN ou localizados fora da rede.

Visão geral do produtoComo funciona 1


4 Usando o McAfee ePO Cloud, o administrador configura a política de proteção na Web e a autenticação,determinando quando a política entra em vigor.

5 Os usuários que trabalham nos pontos de extremidade solicitam o acesso aos recursos da Web. O ClientProxy redireciona as solicitações da Web para o McAfee WGCS.

6 O McAfee WGCS aplica a política de proteção na Web nas solicitações da Web, bloqueando ameaças epermitindo acesso a recursos da Web que atendem às necessidades de sua organização.

1 Visão geral do produtoComo funciona


2 Gerenciamento de políticas

Conteúdo Modelo de política global Usando o Navegador de políticas Download e instalação dos certificados SSL nos sistemas clientes Integração com o McAfee Skyhigh Security Cloud Uso de listas Uso de regras Uso de políticas de recursos Exibição e manutenção das ações de usuário Exportação dos logs de auditoria Condições de erro

Modelo de política globalO modelo de política do McAfee WGCS é baseado em uma política que é aplicada globalmente em toda aorganização.

Na interface do Navegador de política do McAfee ePO Cloud, você configura a política de segurança na Webque determina como o McAfee WGCS filtra o tráfego da Web e permite ou bloqueia o acesso a conteúdo daWeb, aplicativos e objetos. Essa política é aplicada globalmente a todos os usuários e grupos em suaorganização. Para personalizar a política para usuários ou grupos específicos, configure exceções às regras quecompõem a política.

2


Usando o Navegador de políticasA interface do Navegador de políticas fornece informações contextuais com base nas opções instaladas, naárea atual da interface e nas opções selecionadas.

Você pode gerenciar políticas para proteger as áreas de recurso principais relevantes aos produtos e serviçosda McAfee que você usa.

Figura 2-1 Interface do Navegador de políticas

As áreas de recurso principais são:

• Configurações globais, onde são mantidas a Lista branca de URLs global e a Lista negra global aplicáveis a todos osusuários e políticas.

• Mecanismo de varredura SSL, para definir as configurações de varredura SSL (Secure Sockets Layer).

• Reputação na Web, para configurar a resposta a um site, dependendo do seu nível de reputação.

• Filtro de categorias da Web, para definir as configurações de varredura baseadas em categorias, protegendo osusuários contra categorias de sites inadequadas.

• Proteção de acesso, para configurar os aplicativos baseados na Web disponíveis para os usuários.

• Filtro de tipo de mídia, onde são configurados os tipos de formatos de arquivo que os seus usuários podemacessar.

• Filtro antimalware, para definir configurações relativas à filtragem de malware.

Configuração de política de recurso para a área de recursoEm cada área de recurso principal da interface, há uma ou mais políticas de recursos relativas a essa área. Umapolítica de recursos fornece vários níveis de restrição em suas principais áreas de recurso.

Cada política tem seu próprio conjunto de regras e exceções. Por exemplo, uma política de recursos restritivaprovavelmente bloqueia o acesso da maioria dos usuários à maioria dos locais. Uma política tolerante permiteo acesso da maioria dos usuários à maioria dos locais.

2 Gerenciamento de políticasUsando o Navegador de políticas


Essas políticas são definidas com configurações comumente utilizadas para diferentes setores corporativos,educacionais e governamentais. Por exemplo, algumas organizações preferem configurações menos restritivas,para que seus funcionários ou alunos possam fazer o melhor uso comercial ou educacional da Internet. Umdepartamento de defesa do governo deve ser muito mais restritivo.

Recomendamos manter duas políticas para cada recurso: uma a ser utilizada em situações do dia a dia e outra,mais restritiva, para a investigação de uma preocupação com a segurança.

Para exibir as políticas de recursos disponíveis para cada área de recurso, selecione cada uma das políticasclicando na lista suspensa da política. Em cada política, é possível configurar quantas regras forem necessárias.

Figura 2-2 Exiba as políticas selecionando-os na lista suspensa de políticas

Exibição e edição da política de recursoClicar em uma política de recurso, como Permissiva ou Muito sensível, exibe o painel Detalhes da política. No painelDetalhes da política painel, você pode exibir e editar o nome da política de recurso. Além disso, você pode exibir eeditar as páginas de bloqueio usadas pela política de recurso.

Figura 2-3 Painel Detalhes da política para políticas do McAfee Web Gateway Cloud Service

Gerenciamento de políticasUsando o Navegador de políticas 2


Você pode copiar a página de bloqueio e utilizá-la para criar outra página de bloqueio.

É possível exibir os detalhes de qualquer política, esteja ela ativada ou desativada. Um ícone de políticadesativado marca uma política que não está em uso no momento.

Você também pode exibir informações específicas de política de recurso.

Tabela 2-1 Informações específicas de política de recurso

Política de recurso Informações adicionais

Mecanismo de varredura SSL Link Baixar pacote de certificados SSL.

Filtro de categorias da Web • Caixa de seleção Bloquear sites não categorizados.

Quando você seleciona essa opção, todos os sites não categorizados, incluindosites listados na Lista branca de URLs nas áreas subsequentes, são bloqueados.

• Caixa de seleção Impor pesquisa segura.

Se você navegar para outra política de recurso, o painel Detalhes da política permanecerá aberto, mas não seráatualizado até que você clique no novo nome de política de recurso.

Tipos de regras nas políticas de recursosNa área de recurso, cada política de recursos contém um conjunto de regras que fornecem acesso específicoaos grupos de usuários protegidos.

As regras são executadas de cima para baixo. Cada uma delas é configurada para realizar a ação selecionadaquando há correspondência. As regras são destacadas na figura.

Figura 2-4 Exemplo de regras de política de recurso



Tabela 2-2 Tipos de regras

Recurso Regras permitidas

Configuraçõesglobais

Lista branca de URLs global — URLs que são considerados seguros e que são avaliados antesde outras regras desse recurso. Os URLs correspondentes ignoram o restante das regrasneste recurso.

Lista negra global — URLs que são considerados não seguros e avaliados antes dequaisquer outras regras desse recurso. Os URLs correspondentes ignoram o restante dasregras neste recurso e o acesso é bloqueado.

Mecanismo devarredura SSL

Lista branca de URLs — URLs que são aplicados ao recurso Mecanismo de varredura SSL.

Categoria da Web SSL — inspecione ou não o tráfego com base na categoria de URL.

Aplicativo Web SSL — inspecione ou não o tráfego SSL com base na lista de aplicativos Webque está sendo usada.

todas as outras conexões SSL (regra genérica) — aplica-se a qualquer solicitação que aindanão corresponda nas regras desse recurso.

Reputação na Web Lista branca de URLs — URLs que são aplicados ao recurso Reputação na Web.

Reputação na Web — permita ou bloqueie sites baseado na pontuação de reputação doGlobal Threat Intelligence (GTI).

Filtro de categorias daWeb

Lista branca de URLs — URLs que são aplicados ao recurso Filtro de categorias da Web.

Categorias da Web — permita ou bloqueie solicitações baseado na categoria de URL.

todas as outras categorias da Web (regra genérica) — aplica-se a qualquer solicitação queainda não corresponda nas regras desse recurso.

Proteção de acesso Lista branca de URLs de aplicativo Web — URLs que são aplicados ao recurso Proteção de acesso.

Aplicativos Web — permita ou bloqueie solicitações com base no aplicativo Web detectadona solicitação.

todos os outros aplicativos Web (regra genérica) — aplica-se a qualquer solicitação que aindanão corresponda nas regras desse recurso.

Filtro de tipo de mídia Lista branca de URLs — URLs que são aplicados ao recurso Filtro de tipo de mídia.

Tipo de mídia — permita ou bloqueie solicitações com base no tipo de mídia detectado nasolicitação.

Todas as outras mídias (regra genérica) — aplica-se a qualquer solicitação que ainda nãocorresponda nas regras desse recurso.

Filtro antimalware Lista branca de URLs — URLs que são aplicados ao recurso Filtro antimalware.

Varredura antimalware — Bloqueie solicitações de arquivos maliciosos com base naprobabilidade de antimalware de gateway (GAM).



Painel Detalhes da regraClique em uma regra para exibir o painel Detalhes da regra. Nesse painel, é possível ver o nome da regra etambém se ela está ativada ou desativada. Veja também a ação principal configurada e todas as exceções queestão configuradas.

Figura 2-5 Painel Detalhes da regra

A área superior do painel Detalhes da regra mostra o objeto principal — o objeto ou lista à qual a regra se aplica— e seu status.

O menu Detalhes da regra contém estes items.

Tabela 2-3 Menu Detalhes da regra

Item do menu Descrição

Ativar regra Ative a regra selecionada para avaliar as solicitações da Web dos usuários.

Desativar regra Selecione Desativar regra para evitar que uma regra avalie as solicitações da Web dos usuários.

Adicionar ação Quando aplicável aos recursos e regras selecionados, adicione mais ações à regra.

Fechar Feche o painel Detalhes da regra.

O objeto principal depende do contexto. Quando você seleciona diferentes tipos de regras, somente os objetosprincipais relevantes são exibidos.

A ação principal é exibida para a regra selecionada.



Tabela 2-4 Ações principais disponíveis para os diferentes tipos de regras

Tipo de regra Principais açõesdisponíveis

Notas

Regras de aplicativo Permitir, Bloquear

Regras de antimalware Permitir, Bloquear, Enviar paraa área restrita, Ignorar

Não é possível criar regras de Antimalware.

As ações Enviar para a área restrita e Ignorarsó ficarão disponíveis quando o serviçode Detecção de ameaças na nuvem forcomprado.

Lista negra de URLs global Bloquear Não é possível criar regras de Lista negra; aúnica lista negra pertence ao recursoConfigurações globais.

Regras genéricas Permitir, Bloquear

Lista branca de URLs global Permitir sempre

Regras de tipo de mídia Permitir, Bloquear

Regras de Reputação na Web Permitir, Bloquear • Não é possível editar o objeto principal daReputação na Web.

• Não é possível criar regras de Reputação naWeb.

Regras de Mecanismo devarredura SSL

Inspecionar, Não inspecionar

Regras de categoria da Web Permitir, Bloquear

Regra de lista branca de URLs Permitir

Nos casos permitidos, cada ação principal contém os objetos de exceção configurados.

Tabela 2-5 Descrição das ações

Ação Descrição

Permitir/Bloquear Uma ação Permitir faz com que a solicitação da Web ignore o recurso atual e a progridapara o próximo recurso na lista suspensa.

A ação Bloquear interrompe todo o processamento posterior e bloqueia a solicitação.

Permitir sempre Aplicável somente para a Lista branca de URLs global, a ação Permitir sempre permite asolicitação da Web e interrompe todos os processamentos realizados pelos recursosrestantes.



Tabela 2-5 Descrição das ações (continuação)

Ação Descrição

Inspecionar/Nãoinspecionar

A ação Inspecionar faz com que as informações de SSL sejam descriptografadas antes deserem passadas para o próximo recurso na lista.

Não inspecionar impede que as informações de SSL sejam descriptografadas,interrompendo com eficiência o processamento pelos recursos restantes.

Enviar para a árearestrita/Ignorar(somente disponíveispara o serviço deDetecção de ameaças nanuvem)

A ação Enviar para a área restrita faz com que os arquivos suspeitos sejam encaminhadosao serviço de Detecção de ameaças na nuvem para que seja feita uma análise maisdetalhada.• Malicioso: arquivos que possuem uma pontuação de risco de antimalware de gateway

em torno de 90 e acima. Esses arquivos são bloqueados automaticamente.

• Suspeito: arquivos que possuem uma pontuação de risco de antimalware de gatewayentre 70 e 90. Esses arquivos são enviados à área restrita para processamentoposterior.

A ação Ignorar evita que o arquivo seja enviado para o serviço de Detecção de ameaças nanuvem.

Importância da ordem das regras

Quando uma ação Permitir sempre é disparada, todas as regras subsequentes são ignoradas e não são avaliadasem relação à solicitação atual.

Para ações Permitir, todas as regras restantes na política de recurso atual são ignoradas, e o processamentocontinua na próxima política de recurso.

Para as ações Permitir ou Permitir sempre, o item de disparo é permitido.

Considere a ordem que você usa para classificar as regras de cada política de recurso. Coloque as regras maisrígidas no topo de uma lista de regras, seguidas pela regra genérica final como a última da lista.

Importância da ordem das ações

A última ação no painel Detalhes da regra é considerada a ação principal e atua como a ação genérica. Porexemplo, se a última ação for Bloquear, todo tráfego não correspondente às ações acima será bloqueado.

Consulte também Ativação ou desativação de uma regra na página 33



Painel de detalhes do objetoO painel Detalhes de objeto fornece um método para exibir itens relevantes de suas regras.

Figura 2-6 Painel de detalhes do objeto

As informações exibidas no painel de detalhes do objeto mudam à medida que você se movimenta no fluxo detrabalho de tarefas. Essa dinâmica de informações garante que você sempre veja as opções relativas ao seufluxo de trabalho atual. Por exemplo, quando a regra de Reputação na Web for selecionada, você poderá ativar oudesativar a regra e adicionar exceções. Não é possível editar a descrição da regra de Reputação na Web.

Quando permitido pelo estágio atual do fluxo de trabalho, você poderá editar os itens exibidos no objetoselecionado.

Algumas áreas da interface contêm várias entradas selecionáveis. Essas áreas incluem um campo de pesquisaque permite encontrar facilmente o que você está procurando.

Regras genéricasAs regras genéricas fornecem um método de configuração das políticas de recursos que terão efeito senenhuma outra regra for acionada.As regras genéricas são incluídas nas políticas de Mecanismo de varredura SSL, Filtro de categorias da Web, Proteção deacesso e Filtro de tipo de mídia.

As regras genéricas são exibidas por último na lista de regras para as políticas de recursos pertinentes e nãopodem ser excluídas nem reordenadas. Esse tipo de regra pode ser desativado.

Uso de exceções para criar regras complexasAs exceções fornecem um método para vincular regras ou ações específicas a grupos de usuários. O uso deexceções permite criar regras complexas para atender aos requisitos de sua empresa.O uso de exceções é mais bem explicado com um exemplo.

Suponha que você esteja criando uma regra para negar o grupo de usuários executivos para acessar os sites deredes sociais.

Isso pode ser obtido criando uma regra para seus executivos e uma outra regra para o grupo de usuáriospermitidos.

Usando exceções, você pode criar uma única regra que atenda a esse requisito.

As exceções funcionam com impacto mais geral nas regras.



Consulte também Criar uma regra usando exceções na página 32

Painel CatálogoOs catálogos contêm grupos de dados relacionados, por exemplo, páginas de bloqueio, listas de categorias daWeb, listas de tipos de aplicativo Web e listas de tipos de mídia.

O painel de Catálogo é exibido no lado direito da tela.

Figura 2-7 Painel de Catálogo

O conteúdo do painel Catálogo varia de acordo com as regras e área de recurso selecionadas.

Como usar uma lista de opções para preencher uma listaVocê pode adicionar itens a uma lista, selecionando-os das listas de opções já preenchidas.

As listas de opções são usadas para adicionar ou remover itens nos catálogos das seguintes áreas de recurso:

• Filtro de categoria da Web

• Proteção de acesso

• Filtro de tipo de mídia

Figura 2-8 Lista de opções

Para adicionar um item à lista, clique em ao lado do item. Clique em ao lado do item para removê-los dalista.

Download e instalação dos certificados SSL nos sistemas clientesA instalação de certificados SSL permite que o McAfee WGCS faça a varredura do tráfego SSL. Os certificadosprecisam ser instalados em cada dispositivo que se comunica com o McAfee WGCS.

Informações detalhadas sobre a instalação de certificados SSL em diferentes navegadores e sistemasoperacionais estão incluídas no pacote de certificados.

2 Gerenciamento de políticasDownload e instalação dos certificados SSL nos sistemas clientes


Tarefa1 No menu do McAfee ePO Cloud, selecione Política | Política da Web.

2 No Navegador de políticas, selecione Mecanismo de varredura SSL.

3 Clique no nome da política, por exemplo, Sem inspeção de SSL ou Cobertura básica, à direita da área Mecanismo devarredura SSL.

4 No painel Detalhes da política, clique em Fazer download do pacote de certificados SSL.

5 Quando solicitado, salve o arquivo .zip localmente. Descompacte os arquivos e compartilhe-os com ousuário.

6 Siga as instruções para seu navegador e sistema operacional no documentoImporting_Certificate_into_Browsers.pdf (incluído no arquivo .zip do pacote de certificados).

Integração com o McAfee Skyhigh Security Cloud

Conteúdo Visão geral da integração Configuração da integração Criação de uma conta de usuário do Enterprise Connector para um locatário não-SAML Adição de grupos de serviço às políticas da Proteção de acesso

Visão geral da integraçãoO McAfee Skyhigh Security Cloud é um agente de segurança de acesso à nuvem (CASB) desenvolvido na nuvem.A integração com o McAfee Skyhigh Security Cloud adiciona a funcionalidade de CASB ao McAfee WGCS.

O McAfee Skyhigh Security Cloud agrupa os serviços na nuvem em grupos de serviço com base nos atributosde risco. Quando a integração está ativada na interface do McAfee WGCS:

1 McAfee WGCS: o software automaticamente exporta arquivos de log para o McAfee Skyhigh Security Cloud.

2 McAfee Skyhigh Security Cloud: com base nos dados de acesso nos arquivos de log, os gerenciadores deconformidade podem adicionar serviços arriscados aos grupos de serviço existentes ou criar novos grupos.

3 McAfee Skyhigh Security Cloud: o software automaticamente exporta grupos de serviço para o McAfeeWGCS.

4 McAfee WGCS: o software importa os grupos de serviço como listas assinadas. Os administradores podemselecionar as listas do catálogo e adicioná-las às políticas da Proteção de acesso como regras.

Gerenciamento de políticasIntegração com o McAfee Skyhigh Security Cloud 2


Configuração da integraçãoA integração requer configuração nas interfaces do McAfee Skyhigh Security Cloud e do McAfee WGCS.

• Dashboard do McAfee Skyhigh Security Cloud: nesta interface, os usuários têm acesso a tarefas degerenciamento de acordo com suas funções. Por exemplo, os usuários com a função Gerenciador deusuários podem criar um usuário do Enterprise Connector, enquanto usuários com a função Gerenciador deconformidade podem criar e gerenciar grupos de serviço.

• Interface do McAfee WGCS: este serviço de nuvem é gerenciado na plataforma do McAfee ePO Cloud.

As etapas da configuração incluem:

1 Dashboard do McAfee Skyhigh Security Cloud: crie uma conta de usuário do Enterprise Connector compermissões para acessar as páginas de gerenciamento e processar os logs.

É necessária uma configuração adicional para definir uma conexão entre o McAfee Skyhigh Security Cloud eo McAfee WGCS.

2 Interface do McAfee WGCS: para ativar a integração, insira as credenciais do Enterprise Connectorconfiguradas no McAfee Skyhigh Security Cloud.

Ative a integração do McAfee Skyhigh Security Cloud no painel Configurações do Navegador de políticas.

Criação de uma conta de usuário do Enterprise Connector para umlocatário não-SAMLCrie uma conta de usuário do Enterprise Connector para um locatário não-SAML no dashboard do McAfeeSkyhigh Security Cloud.

Antes de iniciarVocê deve ter a função de Gerenciador de usuários.

Depois de criar a conta, o sistema enviará um e-mail com um link para uma página onde é possível especificar asenha.

Se você estiver usando um locatário SAML ou migrando de um locatário não-SAML para um SAML, contate osuporte do Skyhigh para obter mais informações sobre como criar uma conta do Enterprise Connector.

2 Gerenciamento de políticasIntegração com o McAfee Skyhigh Security Cloud


Tarefa

1 No dashboard do McAfee Skyhigh Security Cloud, selecione Configurações | Gerenciamento de usuários | Usuários.

2 Clique em Ações | Criar novo usuário.

3 Forneça valores para os campos a seguir. Para entrar na sua conta do Enterprise Connector, use o endereçode e-mail como seu nome de usuário. Depois de salvar as configurações, defina uma senha.

• Nome

• Sobrenome

• E-mail

4 No painel Controle de acesso, selecione estas funções:

• Usuário do Enterprise Connector: permite que o usuário acesse as páginas de gerenciamento e processe oslogs.

• ePO Connector: permite que o usuário configure a conexão entre o McAfee Skyhigh Security Cloud e oMcAfee ePO Cloud quando o McAfee WGCS é gerenciado.

5 Clique em Salvar.

Adição de grupos de serviço às políticas da Proteção de acessoÉ possível configurar o acesso a grupos de serviços de nuvem ao adicionar grupos de serviço às políticas daProteção de acesso como regras. Os gerenciadores de conformidade configuram grupos de serviço no dashboarddo McAfee Skyhigh Security Cloud.

As regras criadas a partir de grupos de serviço são desativadas quando a integração com o McAfee SkyhighSecurity Cloud é desativada.

Tarefa

1 No menu do McAfee ePO Cloud, selecione Política | Política da Web.

2 No Navegador de políticas, clique em ao lado de Proteção de acesso e selecione Nova regra.

3 Na lista suspensa do painel Catálogo, selecione Grupos de serviço do Skyhigh.

Os grupos de serviço disponíveis são exibidos.

4 Clique em ao lado do grupo de serviço que deseja adicionar como regra.

5 Para restringir o acesso aos serviços de nuvem neste grupo de serviço, clique em ao lado de Bloquear.

6 No painel Catálogo, clique em ao lado dos grupos de usuários que você deseja bloquear.

7 Clique em Salvar.

O grupo de serviço é adicionado à política da Proteção de acesso como uma regra e os grupos de usuáriosselecionados são impedidos de acessar os serviços de nuvem nesse grupo.

Uso de listas

Conteúdo Como trabalhar com as listas mantidas pela McAfee

Gerenciamento de políticasUso de listas 2


Colocar na lista branca os aplicativos em nuvem populares Como trabalhar com faixas de IP do servidor Como trabalhar com listas de URLs Como trabalhar com grupos de usuários

Como trabalhar com as listas mantidas pela McAfeeA McAfee mantém e atualiza listas para você usar em políticas.

• Listas assinadas — Essas listas são atualizadas dinamicamente quando novas informações ficamdisponíveis.

• Listas do sistema — Essas listas só precisam ser atualizadas ocasionalmente.

As listas assinadas e do sistema são identificadas no painel Catálogo pelo ícone de segurança da McAfee, .Como a McAfee mantém essas listas, elas não podem ser editadas nem excluídas. As listas assinadas nãopodem ser copiadas.

Colocar na lista branca os aplicativos em nuvem popularesA McAfee mantém listas de faixa de IP do servidor e nomes ou URLs de host para aplicativos em nuvempopulares, como o Microsoft Office 365, e as atualiza dinamicamente quando novas informações ficamdisponíveis.

Você pode adicionar essas listas mantidas pela McAfee às Configurações globais como listas brancas. Elas ficam

localizadas nos catálogos Listas de hosts e Faixas de IP do servidor e identificadas pelo ícone .

Quando os usuários enviam solicitações da Web para um aplicativo em nuvem, cujas faixas de IP ou nomes dehost se encontram na lista branca, essas solicitações podem ignorar a filtragem. Consequentemente, oprocessamento é mais rápido. Esse recurso é principalmente útil para aplicativos conhecidos que sãoacessados com frequência.

O McAfee WGCS é compatível com as faixas de IP do servidor, listas de hosts, ou com ambos, destes aplicativosda Microsoft em nuvem:

• Microsoft Exchange Online • Microsoft Office Mobile

• Microsoft Federation Gateway • Microsoft Office Online

• Microsoft Lync Online • Microsoft SharePoint Online

• Microsoft Office 365 • Yammer

• Microsoft Office para iPad

Como trabalhar com faixas de IP do servidorVocê pode usar faixas de endereços IP do servidor para criar listas brancas que permitem que todas assolicitações da Web enviadas para um aplicativo em nuvem ignorem a filtragem, melhorando o desempenho.Esse recurso é principalmente útil para aplicativos em nuvem acessados com frequência.

Crie e gerencie listas de faixas de IP do servidor no painel Catálogo e as adicione como listas brancas ou listasnegras ao recurso Configurações globais.

Listas identificadas pelo ícone McAfee McAfee Secure são mantidas pela McAfee e não podem ser gerenciadas.

Criar listas de faixa de IP do servidor

Para criar uma lista de faixas de IP do servidor, as opções são estas:

2 Gerenciamento de políticasUso de listas


• Inserir manualmente as faixas de IP do servidor na lista

• Importar a lista de faixas de IP do servidor de um arquivo .csv

• Copiar uma lista existente de faixa de IP do servidor

Formatar listas de faixa de IP do servidor

As listas de faixa de IP do servidor configuradas para regras de Configurações globais são formatadas da mesmaforma que as listas de faixa de IP do cliente configuradas para autenticação da faixa de IP. Como as listas defaixa de IP do cliente, as listas de faixa de IP do servidor:

• Consistem em uma única coluna de valores de cadeia, uma faixa de endereços IP por linha e uma linha decabeçalho opcional

• Contêm entradas configuradas usando notação CIDR (Classless Inter-Domain Routing) IPv4 ou IPv6

• Podem conter entradas IPv4 e IPv6

• Não podem conter entradas duplicadas

Gerenciar listas de faixa de IP do servidor

Você pode selecionar uma lista no catálogo Faixas de IP do servidor no painel Catálogo e realizar estas tarefas:

• Editar a lista

• Excluir a lista do catálogo

• Substituir a lista existente importando uma nova lista de um arquivo .csv

• Exportar a lista para um arquivo .csv

Criar uma lista de faixa de IP do servidorDepois de criar uma lista de faixa de IP do servidor, você pode adicioná-la como uma lista branca ao recurso deConfigurações globais. As solicitações da Web enviadas para endereços IP das faixas da lista têm permissão paraignorar a filtragem.

Para criar uma lista de faixas de IP do servidor, as opções são estas:

• Inserir manualmente as faixas de IP do servidor na lista

• Importar a lista de faixas de IP do servidor de um arquivo .csv

• Copiar uma lista existente de faixa de IP do servidor

Examine estas considerações antes de importar uma lista de faixas de endereços IP de um arquivo .csv:

• O arquivo contém uma faixa de endereços IP por linha.

• A primeira linha no arquivo pode conter um cabeçalho. Nesse caso, selecione Este arquivo contém uma linha decabeçalho ao importar o arquivo.


2 Expanda Configurações globais e selecione uma regra.

3 Na lista suspensa, Catálogo, selecione Faixas de IP do servidor.

As listas configuradas serão mostradas.



4 Escolha um método para criar a lista.

• Inserir manualmente as faixas de IP do servidor na lista:

1 No menu Catálogo, selecione Nova faixa de IP do servidor.

2 Usando a notação CIDR, insira cada faixa de endereços IPv4 ou IPv6 e clique em Adicionar.

• Importar a lista de faixas de IP do servidor de um arquivo .csv:

1 No menu Catálogo, selecione Importar nova faixa de IP do servidor.

2 Localize e abra o arquivo .csv que você deseja importar e clique em Importar.

• Copiar uma lista existente de faixa de IP do servidor:

1 Selecione a lista que você deseja copiar e, no menu Catálogo, selecione Copiar faixa de IP do servidor.

2 Edite a lista conforme necessário.

5 Especifique um nome personalizado para a lista.

6 Clique em Salvar.

A nova lista de faixa de IP do servidor é adicionada ao catálogo Faixas de IP do servidor.

Gerenciar listas no catálogo de faixas de IP do servidorGerencie as listas no catálogo Faixas de IP do servidor com as opções Editar, Excluir, Importar e Exportar.

No catálogo, você pode selecionar uma lista e executar estas tarefas:

• Editar — Edite ou renomeie a lista

• Excluir — Remova a lista do catálogo

• Importar — Substitua as entradas da lista pelas entradas importadas em um arquivo .csv e edite ou renomeiea lista conforme o necessário

• Exportar — Exporte a lista para um arquivo .csv

Listas identificadas pelo ícone McAfee McAfee Secure são mantidas pela McAfee e não podem ser gerenciadas.

Tarefa


2 Expanda Configurações globais e selecione uma regra.

3 Na lista suspensa, Catálogo, selecione Faixas de IP do servidor.

As listas configuradas serão mostradas.

4 No catálogo, selecione uma lista de faixas de IP do servidor.

As entradas da lista são exibidas no painel inferior.

5Clique em ao lado do nome da lista no painel inferior, em seguida, clique em uma opção:

• Editar — Adicione, remova e edite entradas na lista selecionada, renomeie a lista conforme necessário eclique em Salvar.

• Excluir — Clique em Excluir para confirmar que deseja remover a lista selecionada do catálogo.

As listas usadas pelas regras não podem ser excluídas.



• Importar — Na caixa de diálogo Importar lista, localize e abra o arquivo .csv que deseja importar e clique emImportar. Clique em Substituir para confirmar a importação. Edite ou renomeie a lista, conformenecessário, e clique em Salvar. As entradas da lista selecionada serão substituídas pelas entradas da listaimportada.

• Exportar — Clique em OK para salvar a lista selecionada como um arquivo .csv na pasta Downloads ouabra o arquivo no Microsoft Excel.

A lista é atualizada, exportada ou removida do catálogo.

Como trabalhar com listas de URLsAdicione um URL à lista de URLs para controlar os sites da Web que os usuários acessam. Os URLs sãomantidos na lista de URLs, que você pode editar quando necessário. Além disso, os URLs podem serexportados para fazer backup das informações.

Formatação de nomes de domínio para listas de URLs

Os formatos de nome de domínio compatíveis são:

• host.domínio.tld/caminho

• host.domínio.tld

• domínio.tld/caminho

• domínio.tld

host — nome DNS do host

domain — nome do subdomínio

tld — domínio de nível superior

path — caminho do recurso da Web

O caminho e quaisquer subcaminhos são automaticamente incluídos, o que equivale à colocação de umasterisco após o caminho no nome do domínio. Exemplo: host.domain.tld/path*

WGCS_CDP_SUBDOMAINS_SETTING

Configuração de todos os subdomínios

Esta configuração determina se as regras de política são aplicadas ao domínio e a todos os subdomínios ousomente ao domínio. Para especificar todos os subdomínios:



• No Navegador de políticas: selecione Todos os subdomínios ao adicionar um URL a uma lista de URLs.

• Em um arquivo .csv que especifica uma lista de URLs — Defina o valor na coluna Subdomínio(True/False) como True.

A especificação de todos os subdomínios tem o mesmo efeito que adicionar "*." no começo de cada nome dedomínio. Exemplo: *.host.domain.tld/path

Adição de um URL a uma lista de URLsAs listas de URLs permitem que você controle os sites que os usuários podem acessar. Você pode adicionaruma lista de sites à lista de URLs respectiva.

As listas negras e brancas são semelhantes a outras listas de URLs, com as seguintes exceções:

• A Lista branca de URLs global tem apenas a ação Permitir sempre.

• As listas brancas específicas de recurso têm apenas a ação Permitir.

• As listas negras têm apenas a ação Bloquear.

• Não é possível configurar exceções para listas negras ou brancas.

Tarefa


2 No Navegador de políticas, selecione uma área de recurso.

3 Na área de recurso, selecione a política e a regra que serão editadas.

4 No painel Catálogo, selecione o tipo de catálogo Listas de URLs e clique na lista de URLs a ser editada.

O painel de detalhes do objeto exibe os detalhes da lista de URLs selecionada.

5No painel de detalhes do objeto, clique em e selecione Editar.

6 No campo URL, insira o URL a ser adicionado.

O URL é verificado quando você o digita, para evitar entradas duplicadas.

7 (Opcional) Selecione Todos os subdomínios para adicionar todos os sites sob o URL.

8 Clique em Adicionar.

9 Clique em Salvar para atualizar a regra.

Edição de um URL em uma lista de URLsVocê pode editar ou alterar a lista de sites da Web adicionados à lista de URLs.

Tarefa




4 No painel Catálogo, selecione o tipo de catálogo Listas de URLs e clique na lista de URLs a ser editada.

O painel de detalhes do objeto exibe os detalhes da lista de URLs selecionada.

5Clique em no painel de detalhes do objeto e selecione Editar.



6 Selecione o URL e faça as alterações necessárias no campo URL.

7 Clique em Concluído para incluir o URL editado na lista de URLs.

Se você deseja adicionar um URL durante a edição, clique em .

8 Clique em Salvar para atualizar a regra.

Exportação de uma lista de URLsExportar a lista de URLs é uma maneira útil de fazer backup de informações. Em seguida, você pode importaras informações exportadas para outras regras ou importá-las para outros sistemas. Os URLs exportados sãosalvos no formato CSV.


2 Selecione a regra que contém a lista de URLs a ser exportada para um arquivo .csv.

3 No painel Catálogo, selecione o tipo de catálogo Listas de URLs e clique na lista desejada.

4No painel de detalhes do objeto, clique em e selecione Exportar

5 Siga o fluxo de trabalho do navegador que você está usando para salvar o arquivo.

A lista é salva em um arquivo nomeado após o objeto sitelist. Por exemplo, a exportação da lista de URLs de umsitelist chamado URLs bloqueados cria um arquivo chamado Blocked URLs.csv.

Importação de uma lista de URLsImportar listas de URLs é uma forma conveniente de adicionar URLs ao seu sistema. A lista de URLs a serimportada deve estar no formato CSV.

Antes de iniciarCertifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista deURLs a ser importada. O arquivo pode incluir uma linha de cabeçalho opcional.

Cada linha contém uma única URL, seguido pelo separador "," e por "true" ou "false". "true" indicaque a URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca"Todos os subdomínios".

A URL e o valor true/false não diferenciam maiúsculas de minúsculas.

Não deve haver espaços nas linhas nem ao final de cada linha.

As entradas no arquivo podem ter esta aparência:

https://www.exemplo.com,true HTTP://SUPPORT.EXAMPLE.NET,FALSEexample.org,True


2 Selecione a regra na área de recurso.

3 No painel Catálogo, selecione o tipo de catálogo Listas de URLs e clique na lista desejada.



4No painel de detalhes do objeto, clique em e selecione Importar.

5 Navegue até o arquivo .csv que contém os URLs a serem importados.

Se o arquivo .csv incluir uma primeira linha com informações de cabeçalho, selecione Este arquivo contém umalinha de cabeçalho.

6 Clique em Importar.

Será exibida uma mensagem de status.

Se houver URLs duplicados no arquivo .csv, a importação será pausada e você será notificado das entradasduplicadas. Em seguida, continue a importação ou termine sem importar a lista de URLs.

7 Para substituir quaisquer URLs existentes pelos valores importados, clique em Substituir.

8 Clique em Salvar.

Como trabalhar com grupos de usuáriosO McAfee WGCS inclui as informações do grupo de usuários fornecidas pela autenticação Client Proxy ou SAMLcom solicitações da Web. As regras de política configuradas com nomes de grupos de usuários são aplicadas deacordo com as informações do grupo nas solicitações.

No Navegador de políticas, você pode gerenciar os nomes dos grupos de usuários, mas não os grupos propriamenteditos. Para isso, use seu serviço de diretório local.

No painel Catálogo, você pode exibir e gerenciar os nomes dos grupos de usuários que adicionar às regras depolítica. Esses nomes correspondem aos grupos de usuários do seu Active Directory (AD).

No Catálogo de grupos de usuários, você pode:

• Adicionar um novo grupo de usuários ou copiar um grupo existente

• Renomear ou remover um grupo de usuários

Você pode adicionar os nomes de grupo de usuários ao Catálogo manualmente ou por sincronização do ActiveDirectory:

• Adição manual — Caso pretenda adicionar um número limitado de grupos de usuários, use a opção Novogrupo de usuários no painel Catálogo. A maioria das organizações escolhe esta opção quando prefere adicionarsomente alguns grupos de usuários às suas políticas de segurança na Web.

• Sincronização do Active Directory — If you plan to add many user groups, you can use Active Directorysynchronization to synchronize your on-premise Active Directory accounts with McAfee ePO Cloud.

Os nomes de grupo de usuários sincronizados pelo Active Directory são seguidos do nome de domínio entreparênteses. Exemplo: Marketing técnico (CORP)

Para que o McAfee ePO Cloud possa ler o seu Active Directory, você deve primeiro:

• Configurar um conector do AD

• Registrar o servidor do Active Directory no McAfee ePO Cloud

Para obter mais informações sobre como configurar o Active Directory, consulte o Guia de produto do McAfeeePolicy Orchestrator Cloud.



Adicionar um nome de grupo ao catálogo de grupos de usuáriosDepois de adicionar os nomes de grupos de usuários ao Catálogo, você poderá selecioná-los e adicioná-los àsregras de política.


2 Na lista suspensa, Catálogo, selecione Grupos de usuários.

3 Escolha um método para adicionar um grupo de usuários:

• No menu Catálogo — Selecione Novo grupo de usuários e insira um nome para o grupo.

• Selecione o nome do grupo de usuários que deseja copiar e, no menu Catálogo — Selecione Copiar grupode usuários e edite o nome, conforme necessário.

O nome do grupo de usuários deve corresponder exatamente ao nome no seu Active Directory. Casocontrário, as regras de política poderão não funcionar conforme o esperado.

4 Clique em Salvar.

O nome do grupo de usuários é adicionado ao Catálogo.

Gerenciar os nomes de grupo no catálogo de grupos de usuáriosVocê pode renomear um grupo de usuários ou removê-lo do Catálogo.


2 Na lista suspensa, Catálogo, selecione Grupos de usuários.

3 Selecione o grupo de usuários que deseja renomear ou remover.

4No painel Detalhes de objeto, clique em ao lado do nome do grupo e selecione uma opção:

• Renomear — Edite o nome e clique em Salvar.

• Excluir — Clique em Excluir para confirmar.

O nome do grupo de usuários deve corresponder exatamente ao nome no seu Active Directory. Casocontrário, as regras de política poderão não funcionar conforme o esperado.

O grupo de usuários é renomeado ou removido do Catálogo.

Adicionar um grupo de usuários a uma ação da regraPara criar uma exceção a uma regra, adicione um grupo de usuários à ação da regra secundária.

O resultado depende de a ação da regra primária ser Permitir ou Bloquear.• Quando a ação da regra principal for Permitir e você adicionar o grupo de usuários à ação Bloquear, as ações

da regra serão aplicadas nesta ordem:

1 Bloquear o grupo de usuários.

2 Permitir tudo.



• Quando a ação da regra principal for Bloquear e você adicionar o grupo de usuários à ação Permitir, as açõesda regra serão aplicadas nesta ordem:

1 Permitir o grupo de usuários.

2 Bloquear tudo.

Você pode adicionar vários grupos de usuários a uma ação da regra.


2 No Navegador de políticas, selecione um recurso e, na lista suspensa, selecione uma política.

3 Selecione a regra à qual o grupo de usuários deve ser adicionado.

4 No painel Detalhes da política, clique em ao lado da ação secundária.

5 No painel Catálogo, clique em ao lado do grupo de usuários que você deseja adicionar à ação secundária.

6 Clique em Salvar.

O grupo de usuários é adicionado à ação da regra.

Uso de regras

Conteúdo Adicionar uma regra Criação de regra importando uma lista de URLs Criar uma regra usando exceções Ativação ou desativação de uma regra Alteração dos detalhes da regra Adicionar uma ação a uma regra Alterar uma ação para uma ação principal Remover uma ação de uma regra Reordenar regras Excluir uma regra

Adicionar uma regraVocê pode adicionar regras às suas políticas de recurso a fim de personalizar a proteção para seus usuários.

O local no qual a nova regra é colocada depende das opções escolhidas e do que está selecionado nomomento:

2 Gerenciamento de políticasUso de regras


• Se houver uma regra selecionada, a nova regra será colocada logo acima dela.

• Se não houver uma regra selecionada, a nova regra será colocada em último, na área de proteção principalselecionada.

Se houver uma regra genérica, a nova regra será colocada acima dela.

• Se você optar por adicionar uma lista branca, ela será posicionada abaixo da última regra da lista branca nonavegador.

Você não poderá adicionar uma regra se estiver editando os detalhes de uma outra regra. Alguns tipos de regra,por exemplo, as regras de antimalware e as de Reputação na Web, são criados por padrão, e não é possíveladicionar mais regras desses tipos.


2No Navegador de políticas, clique em ao lado da política do recurso e selecione Nova regra.

3 No painel Catálogo, selecione o tipo de catálogo desejado na lista suspensa.

4 Clique em ao lado da lista selecionada.

Use o campo Pesquisar para filtrar os itens disponíveis para seleção.

5 No painel Detalhes da regra, selecione a ação desejada para a lista adicionada.

6 Clique em Salvar.

Criação de regra importando uma lista de URLsVocê pode criar uma regra de lista de URLs importando para uma lista de URLs um arquivo .csv que contenhaos URLs. Depois, você pode adicionar essa lista de URLs à nova regra.

Antes de iniciarCertifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista deURLs a ser importada. O arquivo pode incluir uma linha de cabeçalho opcional.

Cada linha contém uma única URL, seguido pelo separador "," e por "true" ou "false". "true" indicaque a URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca"Todos os subdomínios".

A URL e o valor true/false não diferenciam maiúsculas de minúsculas.

Não deve haver espaços nas linhas nem ao final de cada linha.

As entradas no arquivo podem ter esta aparência:

https://www.exemplo.com,true HTTP://SUPPORT.EXAMPLE.NET,FALSEexample.org,True


2No Navegador de políticas, clique em ao lado da política de recurso relacionada à regra que será adicionada.

Gerenciamento de políticasUso de regras 2


3 Selecione Nova regra.

4No painel Catálogo, selecione Listas de URLs na lista suspensa, clique em e selecione Importar nova lista deURLs.

5 Na caixa de diálogo Importar lista, navegue até a lista de URLs criada anteriormente.

Se o arquivo .csv incluir uma primeira linha com informações de cabeçalho, selecione Este arquivo contém umalinha de cabeçalho.

6 Clique em Importar.

O conteúdo do arquivo cria uma regra de lista de URLs.

Se houver URLs duplicados no arquivo .csv, a importação será pausada e você será notificado das entradasduplicadas. Em seguida, continue a importação ou termine sem importar a lista de URLs.

7 Depois que os URLs listados no arquivo forem importados, aceite o nome da lista de URLs padrão ou digiteum novo nome.

Por padrão, a nova lista leva o nome do arquivo .csv usado para importar a lista de URLs.

8 Clique em Salvar.

9 Para adicioná-la à nova regra, clique em à direita da lista de URLs recém-adicionada.

10 Aceite o nome da regra padrão ou digite um novo nome.

Por padrão, a nova regra leva o nome da lista de URLs selecionada.

11 Clique em Salvar.

Criar uma regra usando exceçõesVocê pode fornecer ou negar o acesso a grupos de usuários criando uma regra que utiliza exceções paraespecificar grupos de usuários.

Suponha que você esteja criando uma regra para negar ao grupo de usuários executivos o acesso a sites deredes sociais.


2 Crie uma regra na área de recurso Proteção de acesso.

aNo Navegador de política, clique em ao lado da política de recurso.

b Selecione Nova regra.

3 Atribua o tipo de regra necessário.

a No painel Catálogo, selecione Aplicativos Web na lista suspensa.

b No painel Catálogo, clique em à direita de Redes sociais.

No painel Detalhes da regra, você verá que o nome da regra é Redes sociais.



4 Atribua os grupos de usuários necessários.

a No painel Detalhes da regra, clique em localizado ao lado da opção Bloquear para exibir a lista de Gruposde usuários.

b No painel Catálogo, clique em à direita de Executivos.

Você pode adicionar um ou mais grupos de usuários a uma ação.

5 No painel Tipos de regras, clique em Salvar.

Ativação ou desativação de uma regraNem todas as regras de uma política de recurso precisam estar ativas em qualquer momento determinado.Você pode ativar ou desativar regras de acordo com suas necessidades.




4No painel Detalhes da regra, clique em e selecione a opção desejada (Ativar regra ou Desativar regra) dentre asopções disponíveis.

Se você estiver tentando desativar uma regra genérica, aparecerá uma outra confirmação. Clique em OKpara prosseguir.

5 Clique em Salvar.

Alteração dos detalhes da regraNo painel Detalhes da regra, você pode adicionar ou remover exceções de grupos de usuários ou editar os objetosprincipais da regra selecionada.

Alguns tipos de regras têm limitações quanto ao que pode ser editado. Por exemplo, com regras deantimalware, você não pode reordenar as ações, excluir a regra, remover a exceção padrão da ação Bloquear eremover a ação Enviar para a área restrita.

Você pode criar exceções para a maioria dos tipos de regras. Por exemplo, uma regra que permita que osfuncionários acessem a Internet. Você pode, então, definir uma exceção nessa regra que impeça o acesso deusuários convidados e terceirizados.

O fluxo de trabalho a seguir mostra como alterar os detalhes da regra para a ação Permitir. A alteração da açãoBloquear usa um fluxo de trabalho semelhante.




4 No painel Detalhes da regra, certifique-se de que a ação Permitir esteja selecionada.

Não é possível editar a ação ativa em Detalhes da regra. Por exemplo, se a ação Permitir estiver ativa e vocêdesejar editar os respectivos detalhes, primeiro será preciso ativar a ação Bloquear. Mova Bloquear para o fimda lista de ações. Em seguida, faça as alterações necessárias na ação Permitir.



5 Clique em , que está ao lado de Permitir.

6 No Catálogo de grupo, execute um ou mais dos procedimentos a seguir:

• Adicione um grupo à regra selecionada — em Catálogo de grupo, clique em à direita do grupo deusuários a ser adicionado à ação Permitir.

Se um grupo de usuários já estiver atribuído à ação, não será exibido. Não é possível adicionar umobjeto duas vezes à mesma ação.

O grupo de usuários selecionado aparecerá acinzentado no catálogo e será adicionado à ação Permitir.

• Remova um grupo da regra selecionada — nos grupos existentes em Detalhes da regra, clique em para ogrupo a ser removido.

O grupo de usuário selecionado será removido da ação Permitir.

7 Clique em Salvar.

Adicionar uma ação a uma regraVocê pode impor uma regra usando ações adicionais.

Dependendo da regra e da área de recurso selecionadas, é possível incluir ações adicionais.

Caso nenhuma ação esteja disponível para a regra e o recurso selecionados, a opção Adicionar ação estaráinacessível (em cinza) no menu.




4No painel Detalhes da regra, clique em e selecione Adicionar ação.

A nova ação será adicionada à regra como a ação secundária.

5 Clique em Salvar.

Alterar uma ação para uma ação principalA ação principal de uma regra pode ser considerada como ação genérica. No painel Detalhes da regra, a açãoprincipal é exibida na parte inferior do painel. Você pode alterar a posição das ações principais e secundárias.




4 No painel Detalhes da regra, clique em ao lado da ação a ser definida como principal.

A ação a ser alterada mostra .

5 Clique em .



6 Clique em Mover para baixo até que a ação selecionada seja a última da lista.

7 Clique em Salvar.

Remover uma ação de uma regraAs ações indesejáveis adicionadas à regra podem ser removidas.




4 No painel Detalhes da regra, clique em ao lado da ação a ser removida.

5 Clique em e selecione Remover ação.

6 Clique em Salvar.

Reordenar regrasMova as regras para alterar a ordem em que elas são aplicadas. As regras são aplicadas de cima para baixo.

Antes de iniciarNão é possível reordenar regras quando a regra está no modo de edição. Se a regra estiver sendoeditada, salve ou cancele suas alterações antes de reordenar as regras.

Você não pode reordenar uma regra genérica, que deve aparecer por último na lista.


2 No Navegador de políticas, selecione o recurso desejado.

3 Selecione a regra a ser movida.

4Na área de recurso selecionada, clique em e selecione Excluir regra.

5 Clique em ou até a regra selecionada ficar na posição desejada.

6 Clique em Salvar.

Excluir uma regraA exclusão de regras indesejadas ajuda a organizar e entender as suas políticas de recursos.

Não é possível excluir:



• Regras genéricas

• Regras de Reputação na Web

• Regras de antimalware


2 No Navegador de políticas, selecione o recurso desejado.

3 Selecione a regra a ser excluída.

4Na área de recurso selecionada, clique em e selecione Excluir regra.

5 Clique em Excluir para confirmar a exclusão.

A regra será excluída permanentemente da política.

Uso de políticas de recursos

Conteúdo Edição dos detalhes da política Criação de uma página de bloqueio Editar uma página de bloqueio Exclusão de uma página de bloqueio Atribuir uma página de bloqueio a uma política Criar uma lista Editar uma lista Excluir uma lista Alterar a política atribuída

Edição dos detalhes da políticaNo painel Detalhes da política, você pode editar o nome da política fornecido e atribuir uma página de bloqueiodiferente.


2 Na lista suspensa de políticas do cabeçalho de recurso do Navegador de políticas, selecione a política derecurso a ser alterada.

3 Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva.

4 No painel Detalhes da política, altere o nome da política de recurso ou edite a página de bloqueio, conformenecessário.

Para alguns tipos de recurso como Mecanismo de varredura SSL e Filtro de categorias da Web, você pode tambémativar opções específicas para aquele recurso.

5 Clique em Salvar.

2 Gerenciamento de políticasUso de políticas de recursos


Criação de uma página de bloqueioAs páginas de bloqueio são exibidas quando os usuários são impedidos de acessar um URL ou documento emparticular ou de fazer alguma outra solicitação na Web. É possível criar páginas de bloqueio diferentes eadicioná-las a políticas de recurso individuais.

Crie uma nova página de bloqueio ou copie uma página de bloqueio existente.


2 Na lista suspensa de políticas do cabeçalho de recurso do Navegador de políticas, selecione a política derecurso a ser alterada.


4 No painel Detalhes da política, clique em ao lado da Página de bloqueio.

5 No painel Catálogo, nos tipos de catálogo Páginas de bloqueio, siga um destes procedimentos:

•Clique em e selecione Nova página de bloqueio.

•Selecione a página de bloqueio a ser copiada, clique em e selecione Copiar página de bloqueio.

Para adicionar uma página de bloqueio existente, clique em além daquela que será adicionada.

6 Na caixa de diálogo da página de bloqueio, edite o nome da página de bloqueio, conforme necessário, ealtere o conteúdo e a formatação da mensagem.

Gerenciamento de políticasUso de políticas de recursos 2


7 (Opcional) Selecione a caixa de seleção Mostrar detalhes de suporte e clique em Salvar.

Se a caixa de seleção estiver marcada, o usuário poderá ver as informações adicionais da página debloqueio em Detalhes de suporte.

Use tokens na página de bloqueio para refletir as informações sobre as solicitações da Web que disparam aação e a mensagem de bloqueio.

Tabela 2-6 Tokens disponíveis para uso nas páginas de bloqueio

Tipos Token Descrição

Detalhes básicos {URL} A URL solicitada

{REASON} Uma combinação do motivo para a ação de bloqueio edas especificidades do motivo

{IP} O endereço IP do sistema cliente

Detalhes de suporte {RULE} O recurso, a política de recurso e o nome da regra quegeraram a ação de bloqueio

{WEB_CATEGORY} Uma lista de categorias nas quais a URL solicitada seenquadra

{URL_REPUTATION} A pontuação de reputação da URL solicitada

{MEDIA_TYPE} A classificação do Tipo de mídia para o arquivo solicitado

{MALWARE_PROBABILITY} A probabilidade de que o arquivo seja malicioso

{MALWARE} Informações sobre o malware detectado

{APPLICATION} O nome do aplicativo Web

{USERNAME} Informações sobre o usuário que fez a solicitação na Web

{USERGROUPS} Lista de grupos de usuários aos quais o usuário pertence

{PROXYNAME} Detalhes do proxy usado (se aplicável)

Cada página de bloqueio tem um limite máximo de conteúdo de 1 MB.

8 Clique em Salvar.

A nova página de bloqueio será adicionada ao respectivo tipo de catálogo.

9 Para usar a página de bloqueio recém-criada na política selecionada, clique em à direita da página debloqueio no painel Catálogo.

A página de bloqueio será adicionada ao painel Detalhes da política.

10 Clique em Salvar.

Editar uma página de bloqueioÉ possível editar o conteúdo das páginas de bloqueio de acordo com as necessidades de sua organização.




O painel Detalhes da política será exibido.



4 No painel Catálogo, selecione a lista de bloqueio a ser editada.

5No painel de detalhes da página de bloqueio, clique em , em seguida, selecione Editar página de bloqueio.

Você pode alternar entre a exibição de texto sem formatação padrão da mensagem da página de bloqueio

ou pode exibir o código HTML subjacente. Para alternar entre essas exibições, clique em .

6 Edite o nome da página de bloqueio, altere o conteúdo e a formatação da mensagem conforme onecessário e marque ou desmarque os detalhes de suporte.

7 Clique em Salvar.

Exclusão de uma página de bloqueioVocê pode excluir as páginas de bloqueio não usadas no painel Catálogo.

As páginas de bloqueio atribuídas a políticas não podem ser excluídas.




O painel Detalhes da política será exibido.

4 No painel Catálogo, selecione a lista de bloqueio a ser excluída.

5No painel de detalhes da página de bloqueio, clique em , em seguida, selecione Excluir página de bloqueio.

6 Clique em Excluir na caixa de diálogo de confirmação.

Atribuir uma página de bloqueio a uma políticaAs páginas de bloqueio fornecem informações aos usuários sobre solicitações da Web que estejam bloqueadaspor suas regras e políticas configuradas. Você pode selecionar as páginas de bloqueio adequadas para cadapolítica de recurso.



3 No painel Detalhes da política, clique em ao lado da Página de Bloqueio.

O painel Catálogo exibe as páginas de bloqueio disponíveis.

4 Clique em para que a página de bloqueio necessária seja adicionada.

5 Clique em Salvar.

Criar uma listaVocê pode criar listas e adicioná-las às regras de Categoria da Web, Tipos de mídia, Listas de URLs e Aplicativo Web.Além disso, pode criar listas para grupos de usuários.

Crie uma lista:



• Usando a nova opção.

• Criando uma cópia de uma lista existente.

Tarefa



3 Na área de recurso, selecione a regra e a política de recurso necessárias.

4 No painel Catálogo, selecione o tipo de catálogo e uma opção:

•Clique em e selecione Nova lista.

•Selecione a lista a ser copiada, clique em e selecione Copiar lista.

Você pode renomear a lista, se necessário.

Os nomes Nova lista e Copiar lista são alterados de acordo com o tipo de catálogo selecionado. Para o tipo decatálogo do grupo de usuários, a opção de cópia só está disponível para o grupo de usuários.

5 Na lista de seleção, adicione os itens necessários à nova lista. Clique em para adicionar o item.

Se você estiver criando uma lista para Listas de URLs, não haverá listas de opções disponíveis. Em vez disso,digite os URLs necessários ou copie e cole uma lista de URLs no campo do URL.

6 (Opcional) Clique em ao lado do item que deseja remover da lista.

7 Clique em Salvar para adicionar a nova lista à sua configuração.

Editar uma listaVocê pode adicionar ou remover itens da lista e renomear a lista de acordo com a sua preferência. Vocêsomente pode editar as listas nos tipos de catálogo Categoria da Web, Tipos de mídia, Listas de URLs e Aplicativo Web.Além disso, as listas de grupos de usuários podem ser editadas.

Tarefa



3 Na área do recurso, selecione a política e a regra de recurso necessárias a serem editadas.

No painel Catálogo, a lista respectiva é selecionada e os seus itens são exibidos no painel de detalhes doobjeto.

4No painel de detalhes do objeto, clique em e, em seguida, selecione Editar.

5 Renomeie a lista, se necessário.

6 Na lista de seleção, clique em para adicionar o item à lista ou clique em ao lado do item pararemovê-lo da lista.

Se você estiver editando uma lista em Listas de URLs, não haverá listas de seleção disponíveis. Em vez disso,edite os URLs no campo URL.

7 Clique em Salvar para atualizar as alterações na lista.



Excluir uma listaVocê pode excluir da lista de catálogos os objetos primários, sitelists, categorias Web, objetos definidos pelousuário e grupos de usuários não utilizados.



3 Na área de recurso, selecione a regra e a política de recurso necessárias.

4 No painel Catálogo, selecione o tipo de catálogo.

5 No tipo de catálogo selecionado, clique na lista a ser excluída.

O painel de detalhes do objeto exibe a lista selecionada e seus itens.

6No painel de detalhes do objeto, clique em e depois em Excluir.

Não será possível excluir o objeto ou lista se estiverem configurados como regra em qualquer um dosrecursos.

7 Clique em Excluir para confirmar.

Alterar a política atribuídaCada recurso só pode ter uma política de recurso ativa aplicada a ele por vez. Você pode alterar a política derecurso atribuída a um recurso.


2 Para ver as políticas disponíveis, selecione a área de recurso principal pertinente e clique na lista suspensade políticas.

Por padrão, a política atual é selecionada.

3 Selecione uma nova política na lista.

4 Clique em Ativar a política.

5 Clique em Sim para confirmar a alteração.

A política de recursos recém-selecionada será ativada.



Exibição e manutenção das ações de usuárioOs detalhes das alterações feitas às suas políticas são registrados em log na página Log de auditoria do McAfeeePO Cloud. Use o Log de auditoria para manter e acessar um registro de todas as ações dos usuários.

Sempre que uma política ou regra é criada, alterada ou excluída, ou quando as regras são reordenadas, osdetalhes das alterações são incluídos no Log de auditoria do McAfee ePO Cloud. Você pode exibir o histórico deações dos usuários.

Tarefa1 No menu do McAfee ePO Cloud, clique em Gerenciamento de usuários | Log de auditoria.

2 Para localizar entradas específicas, selecione o período desejado na lista suspensa Predefinição ou use ocampo Busca rápida e clique em Aplicar.

A Busca rápida pesquisa os campos Nome do usuário, Prioridade, Ação e Detalhes.

Os detalhes das alterações feitas em políticas e regras são exibidos de acordo com os parâmetros selecionados.Esses detalhes incluem a ID de cada entrada e a hierarquia do objeto ou da regra.

Exportação dos logs de auditoriaVocê pode exportar as informações contidas em seus logs de auditoria para análise fora do McAfee ePO Cloud.

Tarefa1 No menu do McAfee ePO Cloud, clique em Gerenciamento de usuários | Log de auditoria.

2 Procure por entradas específicas selecionando o período necessário na lista suspensa Predefinição ou usandoo campo Localização rápida e clique em Aplicar.

3 Clique no botão Ações e selecione Exportar tabela.

4 Defina as configurações das informações exportadas.

Opção Descrição

Compactar arquivos Exporte todos os arquivos em um arquivo .zip.

Formato de arquivo Selecione o formato das informações exportadas.Se você selecionar saída PDF, defina o tamanho e a orientação da página.Também é possível incluir informações sobre os critérios de filtragemselecionados e adicionar uma folha de rosto ao relatório PDF.

O que fazer com arquivosexportados

Insira os detalhes dos Destinatários, o Assunto e as informações do Corpo damensagem de e-mail.

5 Clique em Exportar.

Condições de erroAo trabalhar com produtos que interagem com servidores Web, podem ocorrer condições de erro potenciais.Essas condições de erro podem ser causadas também quando vários administradores fazem alteraçõessimultâneas nas políticas.

As condições de erro normalmente se encaixam em uma destas categorias:

2 Gerenciamento de políticasExibição e manutenção das ações de usuário


• Erros de dados

• Erros de conexão de rede

• Erros de gravação

Erros de dados

Os erros de dados ocorrem quando os dados não estão disponíveis ou não são encontrados.

Os motivos típicos desses erros de dados são:

• Os dados solicitados foram excluídos e não podem ser encontrados.

• Ocorreu um erro no servidor enquanto a solicitação de dados estava sendo processada.

Se ocorrer um erro de dados, uma mensagem de erro informará que os dados não estão disponíveis. Essamensagem inclui o botão Recarregar para tentar recarregar os dados. Se os dados ainda não estiveremdisponíveis, outra mensagem informará que a tentativa não foi bem-sucedida.

Se os dados solicitados tiverem sido excluídos, a mensagem de erro fornecerá informações sobre os dadosexcluídos.

Erros de conexão de rede

Assim como em muitos serviços Web, os erros de comunicação são comuns entre o sistema que você estáusando e o servidor Web e o banco de dados que hospeda os serviços.

Muitas vezes, os erros de comunicação de rede são de curta duração, e o serviço se reconectaautomaticamente quando a comunicação é restaurada. Você pode também repetir manualmente a conexão.

Erros de gravação

Às vezes, mesmo depois de clicar em Salvar, a regra não será salva.

Os motivos para uma gravação malsucedida incluem:

• Ocorrência de um erro geral quando o servidor está ocupado ou sobrecarregado.

• Exclusão de regra antes de tentar salvá-la.

• Ausência de um objeto na regra que está sendo salva.

Gerenciamento de políticasCondições de erro 2


2 Gerenciamento de políticasCondições de erro


3 Autenticação

Conteúdo Decisões de autenticação e política Como funciona o processo de autenticação Autenticação da faixa de IP Autenticação SAML Autenticação site a site IPsec

Decisões de autenticação e políticaO McAfee WGCS aplica a sua política de segurança na Web às solicitações da Web dos usuários depois que elessão autenticados e toma decisões de política com base nas informações retornadas por cada opção deautenticação.

• Autenticação do Client Proxy

O software Client Proxy deve ser instalado nos pontos de extremidade com Windows ou Mac OS X emexecução e integrado ao McAfee WGCS. O software adiciona cabeçalhos para cada solicitação HTTP ouHTTPS e criptografa-os usando o segredo compartilhado. Os cabeçalhos incluem ID da sua organização e osnomes dos grupos dos quais o usuário é membro.

O McAfee WGCS detecta os cabeçalhos, descriptografa-os usando o segredo compartilhado e toma asdecisões de política com base na associação a grupos.

• Autenticação da faixa de IP

O McAfee WGCS verifica se o endereço IP de origem do pacote TCP que ele recebe está incluído nas faixasde endereços IP que o cliente configurou como seguros. Se o endereço estiver incluído, o McAfee WGCSautorizará a solicitação.

O McAfee WGCS toma decisões de política com base nas faixas de endereços IP configuradas para suaorganização.

3


• Autenticação SAML

A configuração da autenticação SAML permite que você use o provedor de identidade que autenticausuários em sua organização. O provedor de identidade pode ser qualquer método de autenticação, comoum serviço do Active Directory no local, o Facebook ou o Google. O provedor de identidade passa asinformações de identidade e o resultado de autenticação para o McAfee WGCS nos cookies que contêmdeclarações SAML. As informações de identidade consistem em pares de nome / valor.

O McAfee WGCS toma decisões de política com base no valor do atributo de ID de grupo na declaraçãoSAML.

• Autenticação site a site IPsec

O site a site IPsec é um protocolo de transporte e não um método de autenticação. Essa opção protege acomunicação entre a sua rede e o McAfee WGCS usando um túnel de VPN IPsec. O McAfee WGCS autenticao túnel VPN IPsec e o cliente, mas não o usuário final.

O McAfee WGCS toma as decisões de política com base em uma chave pré-compartilhada e na ID do clienteassociada ao endereço IP de origem das comunicações de IPsec recebidas.

Se você adicionar o Client Proxy ou a autenticação SAML ao site a site IPsec, o McAfee WGCS usará essesmétodos para autenticar solicitações recebidas pelo túnel de VPN.

Como funciona o processo de autenticaçãoO modo como o McAfee WGCS processa solicitações da Web e realiza a autenticação depende de vários fatores,inclusive do número da porta na qual as solicitações são recebidas e se o IPsec site a site está configurado.

Autenticação do Client Proxy

O McAfee WGCS verifica e realiza a autenticação do Client Proxy antes de qualquer outro método deautenticação. Isso se aplica quando a autenticação IPsec site a site está configurada e quando não está.

Você pode combinar a autenticação do usuário fornecida por Client Proxy com a segurança fornecida por IPsecsite a site. Para adicionar a autenticação Client Proxy ao IPsec site a site, verifique se o Client Proxy estáconfigurado para usar a porta 80 no redirecionamento de tráfego para o McAfee WGCS.

Autenticação SAML

A porta 8084 está reservada para a autenticação SAML. Se as autenticações SAML e site a site IPsec estiveremconfiguradas, você poderá adicionar a configuração de SAML a cada local IPsec.

Processo de autenticação sem configuração de site a site IPsec

Quando o site a site IPsec não está configurado, o McAfee WGCS processa as solicitações da Web de acordocom o número da porta na qual elas são recebidas.

3 AutenticaçãoComo funciona o processo de autenticação


• Portas 80, 8080 — O McAfee WGCS processa as solicitações da Web recebidas nessas portas nesta ordem:

1 Client Proxy: primeiro, o McAfee WGCS verifica se há cabeçalhos do Client Proxy na solicitação da Web.Se eles estiverem presentes, o McAfee WGCS usa as informações nos cabeçalhos para executar aautenticação.

2 Faixa de IP — Se a solicitação da Web não contiver cabeçalhos de Client Proxy, o McAfee WGCS verificaráse o endereço IP de origem está incluído nas faixas de endereços IP que o cliente configurou comoseguros. Se o endereço IP de origem estiver incluído, o McAfee WGCS autenticará a solicitação.

3 Se o McAfee WGCS não executa a autenticação Client Proxy ou de faixa de IP, o serviço bloqueia asolicitação da Web.

• Porta 8084: o McAfee WGCS usa a autenticação SAML para processar todas as solicitações da Web recebidasna porta 8084.

Processo de autenticação usando o site a site IPsecQuando o site a site IPsec está configurado, o McAfee WGCS processa as solicitações da Web recebidas pelotúnel de VPN IPsec nesta ordem:

1 Client Proxy: primeiro, o McAfee WGCS verifica se há cabeçalhos do Client Proxy na solicitação da Web. Seeles estiverem presentes, o McAfee WGCS usa as informações nos cabeçalhos para executar a autenticação.

2 SAML: se a solicitação da Web não contiver cabeçalhos do Client Proxy, o McAfee WGCS verificará se há umaconfiguração de SAML associada à configuração de IPsec. Se não houver a associação, o McAfee WGCSusará a autenticação SAML para processar a solicitação.

3 Se o McAfee WGCS não executar a autenticação Client Proxy ou a autenticação SAML, o serviço autentica ocliente, mas não o usuário que está fazendo a solicitação.

Autenticação da faixa de IPVocê configura faixas de endereços IP considerados seguros usando a notação do Roteamento sem classesentre domínios (CIDR). Em seguida, o McAfee WGCS autentica os usuários que enviam solicitações da Webdesses endereços.Na interface da autenticação de faixa de IP, é possível:

• Ativar ou desativar a autenticação de faixa de IP.

• Configurar as faixas de endereços IP.

• Importar uma lista de faixas de endereços IP.

• Exportar uma lista de faixas de endereços IP.

Configuração de autenticação de faixa de IP usando a notação CIDRA notação CIDR especifica:

• Um prefixo de roteamento para uma rede

• Um endereço IP ou uma faixa na rede especificada

A sintaxe do CIDR consiste em um endereço IPv4 ou IPv6 seguido por uma barra e um número decimal. Onúmero decimal especifica o número de bits no prefixo de roteamento e é chamado de tamanho da rede embits.

As redes IPv4 podem variar em tamanho, de 24 bits a 32 bits. Uma rede IPv4 de 24 bits consiste em 256endereços. As redes IPv6 podem variar em tamanho, de 120 bits a 128 bits. Uma rede IPv6 de 120 bits consisteem 256 endereços.

AutenticaçãoAutenticação da faixa de IP 3


Protocolo Tamanho da rede (bits) Notação CIDR (exemplo) Faixa de endereços IP especificada

IPv4 24–32 127.0.0.0/24 De 127.0.0.0 a 127.0.0.255

IPv6 120-128 2001:db8:1234:0:0:0:0:ff00/120 De 2001:db8:1234:0:0:0:0:ff00a 2001:db8:1234:0:0:0:0:ffff

Ativar autenticação da faixa de IPVocê pode ligar ou desligar a autenticação de faixa de IP ativando-a e desativando-a conforme necessário.

Tarefa

1 No menu do McAfee ePO Cloud, selecione Web Protection | Configurações de autenticação.

2 Na lista suspensa Configurações de autenticação, selecione Faixa de IP para abrir o painel Detalhes.

3 Para ativar a autenticação da faixa de IP, selecione a Autenticação da faixa de IP.

4 Clique em Salvar.

Configuração de uma faixa de endereços IPNa configuração da autenticação de Faixa de IP, você pode adicionar uma faixa de endereços IP à lista Faixas deendereços IP.

Tarefa



3 No menu Faixas de endereços IP, selecione Configurar faixa de IP.

4 Usando a notação CIDR, insira uma faixa de endereços IPv4 ou IPv6 e clique em Adicionar.

A entrada é adicionada à lista Faixas de endereços IP.

5 Adicione mais endereços IP ou faixas, conforme a necessidade, e clique em Salvar.

Importar uma lista de faixas de endereços IPVocê pode substituir a lista Faixas de endereços IP por uma lista importada de um arquivo .csv.

Antes de iniciarExamine estas considerações antes de importar uma lista de faixas de endereços IP de umarquivo .csv:

• O arquivo contém uma faixa de endereços IP por linha.

• A primeira linha no arquivo pode conter um cabeçalho. Nesse caso, selecione Este arquivo contémuma linha de cabeçalho ao importar o arquivo.

Tarefa



3 No menu Faixas de endereços IP, selecione Importar lista de faixas de IP.

4 Navegue até o arquivo .csv com a lista de endereços IP e as faixas que deseja importar e clique em Importar.

3 AutenticaçãoAutenticação da faixa de IP


5 Para confirmar a importação, clique em Substituir.

Os valores na lista Faixas de endereços IP são substituídos pelos valores no arquivo .csv.

6 Clique em Salvar.

Exportar uma lista de faixas de endereços IPVocê pode salvar a lista Faixas de endereços IP em um arquivo .csv para backup, edição ou importação posterior.

Tarefa1 No menu do McAfee ePO Cloud, selecione Web Protection | Configurações de autenticação.


3 No menu Faixas de endereços IP, selecione Exportar lista de faixas de IP.

4 Selecione Salvar arquivo e clique em OK.

5 Especifique um nome de arquivo e local; em seguida, clique em Salvar.

Autenticação SAMLUsando a autenticação SAML 2.0, o McAfee WGCS oferece suporte às organizações que querem usar o próprioserviço de identidade para autenticar usuários.

A especificação de SAML define estas funções:

• Provedor de identidade — Autentica o usuário e fornece declarações SAML confirmando a identidade dousuário. O provedor de identidade é qualquer serviço de identidade especificado pela sua organização.

• Provedor de serviços — Decide se fornece o serviço solicitado pelo usuário com base nas informações deidentidade recebidas do provedor de identidade. O usuário solicita acesso a um recurso da Web. Como oprovedor de serviços, o McAfee WGCS encaminha a solicitação do usuário para a nuvem com asinformações de identidade ou a bloqueia.

O provedor de identidade e o provedor de serviços se comunicam usando um protocolo de solicitação/resposta:

• Solicitação SAML — O provedor de serviços envia uma solicitação para autenticação ao provedor deidentidade.

• Resposta SAML — O provedor de identidade envia ao provedor de serviços uma resposta com uma oumais declarações SAML.

Benefícios da autenticação SAMLA autenticação SAML é compatível com qualquer método de autenticação e provedor de identidade e eliminaas senhas da troca de informações entre as partes do SAML.

• Permite qualquer provedor de identidade e método de autenticação, desde que a solicitação deautenticação, a resposta e o resultado sejam trocados usando o protocolo SAML 2.0.

• Elimina as senhas da troca de informações entre as partes do SAML. O McAfee WGCS não requer umasenha de usuário final. Em vez disso, o provedor de identidade compartilha todas as informações deautenticação e identidade na forma de declarações SAML.

AutenticaçãoAutenticação SAML 3


Autenticação SAML — etapas de alto nívelAntes de aplicar a política da Web da sua organização às solicitações da Web do usuário, o McAfee WGCS exigeas informações de identidade e grupo do usuário fornecidas pelo processo de autenticação SAML.

O processo de autenticação SAML consiste nestas etapas de alto nível:

1 O usuário solicita acesso a um recurso da Web. A solicitação inclui o URL do recurso, mas não asinformações de identificação sobre o usuário ou da organização do usuário.

2 O McAfee WGCS recebe a solicitação e retorna uma página de bloqueio, com uma mensagem solicitando aousuário um endereço de e-mail.

3 O usuário insere um endereço de e-mail.

4 O McAfee WGCS pesquisa um nome de domínio, que faz parte do endereço de e-mail do usuário, na lista dedomínios configurados. Se o nome de domínio existir, o serviço de nuvem iniciará uma autenticação SAMLredirecionando a solicitação SAML em um cookie por meio do navegador do usuário ao provedor deidentidade configurado para aquele domínio.

A solicitação SAML inclui estes valores:

• ID da entidade — identifica o McAfee WGCS como um emissor da solicitação SAML. Esse valor éatribuído por sua organização.

• URL do provedor de serviços — especifica o URL que o McAfee WGCS usa para comunicação SAML. EsseURL tem um valor constante: https://saml.saasprotection.com/saml.

5 Para validar a solicitação SAML, o provedor de identidade procura a ID da entidade e o URL do provedor deserviços. Se eles estiverem configurados, o provedor de identidade autentica o usuário e em seguidaredireciona a resposta SAML em um cookie por meio do navegador do usuário para o McAfee WGCS. Aresposta contém declarações SAML que confirmam a identidade do usuário e fornecem informações sobreo usuário e os grupos do usuário.

A resposta SAML inclui estes valores:

• ID da entidade — identifica o provedor de identidade como o emissor da resposta SAML. Esse valor éatribuído por sua organização.

• URL do provedor de identidade — especifica o URL do serviço do provedor de identidade. Esse valor éfornecido pela sua organização.

6 Para validar a resposta SAML, o McAfee WGCS procura a ID da entidade e o URL do provedor de identidade.Se eles estiverem configurados e o usuário estiver autenticado, o McAfee WGCS aplicará a política da Webda organização à solicitação do usuário e permitirá ou bloqueará o acesso ao recurso da Web solicitado.

3 AutenticaçãoAutenticação SAML


Visão geral da configuração de SAMLA autenticação SAML requer a configuração em seu provedor de identidade, em pontos de extremidadegerenciados em sua organização e no McAfee ePO Cloud.

Configuração em seu provedor de identidade

Para a comunicação de SAML com o McAfee WGCS, configure o seu provedor de identidade para usar este URL:

https://saml.saasprotection.com/saml

Como o serviço de nuvem consome declarações SAML enviadas pelo provedor de identidade, esta configuraçãoé conhecida como a URL de Assertion Consumer Service (ACS).

Várias configurações SAML são definidas no McAfee ePO Cloud e no seu provedor de identidade.Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponderexatamente.

Configuração nos pontos de extremidade gerenciados

Para a realização da autenticação SAML usando o McAfee WGCS, configure os navegadores nos pontos deextremidade gerenciados para enviar solicitações da Web à porta 8084, como se segue:

c<id_do_cliente>.saasprotection.com:8084



Configuração no McAfee ePO Cloud

A configuração da autenticação SAML no McAfee ePO Cloud inclui estas tarefas gerais:

1 Defina as configurações da autenticação SAML na interface Configurações de autenticação.

2 Configure a varredura SSL na interface Navegador de políticas.

Requisitos para configurar a autenticação SAMLAntes de configurar a autenticação SAML, examine estes requisitos.

Configurando a varredura SSL

A varredura SSL é necessária para a autenticação SAML. A ativação da autenticação SAML automaticamenteativa a varredura SSL, que você configura na interface do Navegador de política. Para configurar a varredura SSL:

1 Configure uma política de mecanismo de varredura SSL.

2 Baixe o pacote de certificados SSL.

3 Instale os certificados SSL nos navegadores e sistemas operacionais em execução nos pontos deextremidade da organização.

Colocar o URL do provedor de identidade na lista branca

A configuração do McAfee WGCS como um servidor proxy usando um arquivo PAC ou outro método deconfiguração de proxy, coloca o URL do provedor de identidade na lista branca.

Caso esta etapa não seja concluída, as comunicações SAML entre o usuário e o serviço de nuvem entrarão emum loop infinito.

Configurar a autenticação SAMLDepois de configurar a autenticação SAML, você pode usar seu próprio provedor de identidade e compartilharinformações de autenticação e identidade com o McAfee WGCS na forma de declarações SAML.

Antes de iniciarPara configurar a autenticação SAML, são necessárias as seguintes informações:

• Nomes de um ou mais domínios que identificam a organização

• URL do seu provedor de identidade

• ID da entidade atribuído ao McAfee WGCS por sua organização

• ID da entidade atribuída ao provedor de identidade pela sua organização

• Nome do atributo que identifica exclusivamente os usuários

• Nome do atributo que lista associações de grupo



• Nomes dos grupos em sua organização

• Certificado para verificação de respostas e declarações SAML assinadas

Baixe o arquivo do certificado do seu serviço do provedor de identidade e abra-o em um editorde texto.

Várias configurações SAML são definidas no McAfee ePO Cloud e no seu provedor de identidade.Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponderexatamente.


2 Na lista suspensa, Configurações de autenticação, selecione SAML para abrir o painel Detalhes.

3 Clique no ícone de lápis e selecione Ativar autenticação SAML.

4 Configure domínios, solicitação SAML e as configurações e campos de resposta SAML.

5 Para fornecer um certificado, clique no ícone de lápis.

6 Copie o conteúdo do arquivo do certificado do editor de texto para a caixa de diálogo Editar certificado eclique em Salvar.

Ao copiar o conteúdo do arquivo, é necessário incluir -----INICIAR CERTIFICADO-----e -----ENCERRAR CERTIFICADO----- para que a autenticação SAML seja realizada com êxito.

A caixa de diálogo é fechada e o certificado é salvo.

7 Clique em Salvar.

A autenticação SAML está configurada e salva.

Configurações da autenticação SAMLPara configurar a autenticação SAML, forneça valores para estas configurações.

Configurações da autenticação SAML

Opção Definição

Ativar autenticação SAML Quando selecionada, permite a autenticação SAML.

Domínio(s) Especifica uma lista de nomes de domínio (um por linha).O McAfee WGCS usa esses valores para identificar a sua organização.

Configurações de solicitação SAML

O McAfee WGCS usa essas configurações quando envia solicitações SAML para o provedor de identidade.



Opção Definição

ID da entidade Identifica exclusivamente o provedor de serviços emitindo a solicitação SAML.Exemplo: McAfeeWGCSO provedor de identidade usa a ID da entidade para identificar as solicitações SAML enviadaspelo McAfee WGCS.

Você também especifica essa configuração ao definir a autenticação SAML noserviço do provedor de identidade. O valor especificado no provedor de identidadedeve corresponder exatamente ao valor que você especifica no McAfee ePO Cloud.

Provedor deidentidade

Especifica o URL do serviço SAML fornecido pelo provedor de identidade.O McAfee WGCS redireciona as solicitações SAML para este URL, que está disponível em seuprovedor de identidade.

Configurações de resposta SAML

O McAfee WGCS usa essas configurações quando recebe respostas SAML do provedor de identidade.

Opção Definição

A resposta deveestar assinada

Se o seu provedor de identidade assinar a resposta SAML, marque esta caixa de seleção.Quando selecionado, o McAfee WGCS verifica se a resposta SAML foi assinada pelo provedorde identidade.

A declaraçãodeve estarassinada

Se o seu provedor de identidade assinar a declaração SAML na resposta SAML, marque estacaixa de seleção. Quando selecionado, o McAfee WGCS verifica se a declaração SAML foiassinada pelo provedor de identidade.

ID da entidade Identifica exclusivamente o provedor de identidade emitindo a resposta SAML.Defina essas configurações se o seu provedor de identidade usa uma ID da entidade.Quando configurado, o McAfee WGCS usa esse valor para identificar as respostas SAMLenviadas pelo provedor de identidade.

O valor que você especifica no McAfee ePO Cloud deve corresponder exatamenteao valor do provedor de identidade.

Atributo de ID deusuário

Especifica o nome do atributo que identifica exclusivamente o usuário.

O McAfee WGCS usa essa configuração ao extrair a ID de usuário da declaração SAML.


Atributo de ID degrupo

Especifica o nome do atributo, cujo valor é uma lista de nomes de grupo.

O McAfee WGCS usa essa configuração ao extrair as informações de associação a grupos dadeclaração SAML. O serviço usa essas informações ao aplicar as políticas de grupo.




Opção Definição

Certificado Abre uma caixa de diálogo em que é possível colar e salvar o conteúdo do certificadofornecido por seu provedor de identidade.O McAfee WGCS usa esse certificado para verificar as assinaturas das declarações erespostas SAML assinadas pelo provedor de identidade.

Grupos Especifica uma lista de nomes de grupo que o McAfee WGCS usa para filtrar os gruposretornados na resposta SAML.Execute essa configuração quando o diretório da sua organização contiver centenas degrupos.

O formato dos nomes dos grupos deve corresponder exatamente ao formato enviado peloprovedor de identidade.

Exemplos:• Administradores• Internos• Usuários

Autenticação site a site IPsecVocê pode usar o protocolo IPsec para proteger a comunicação entre a rede e o McAfee WGCS.

O McAfee WGCS oferece suporte a esses dispositivos instalados na sua rede.

• Cisco ASA 5506 • Juniper SSG5

• Cisco ISR 4321 • Palo Alto Networks

• FortiGate 60D • SonicWALL TZ400

O recurso da autenticação site a site IPsec também é conhecido como autenticação site para nuvem IPsec.

Configurando uma autenticação site a site IPsecAo configurar a sua rede e o McAfee WGCS para usar IPsec, você cria um túnel de VPN IPsec entre a sua rede eo serviço de nuvem.

No túnel de VPN, o pacote completo do IP é criptografado, autenticado e encapsulado. O McAfee WGCS usa oendereço IP de origem das comunicações de Ipsec recebidas e uma chave pré-compartilhada para identificar ocliente. Em seguida, o serviço de nuvem aplica as políticas às solicitações de usuário com base na ID do cliente.

Para configurar um túnel de VPN Ipsec entre a sua rede e o McAfee WGCS, configure:

• A autenticação IPsec no McAfee ePO Cloud

• Interfaces do túnel de VPN IPsec em dispositivos que protegem a sua rede

Considerações ao configurar o site a site IPsecAntes de configurar a autenticação site a site IPsec, analise as considerações a seguir.

• Roteamento somente dos tráfegos HTTP e HTTPS: configure seu dispositivo para rotear somente ostráfegos HTTP e HTTPS pelo túnel de VPN. O McAfee WGCS somente processa o tráfego IPsec direcionado aportas 80 e 443 pelo túnel de VPN.

• Configuração de dois túneis de VPN IPsec: a melhor prática é configurar um túnel de VPN primário e umsecundário. O túnel primário é conectado ao melhor ponto de presença disponível, enquanto o secundárioé conectado ao segundo melhor ponto de presença. Essa prática garante o suporte contínuo ao IPsec, casoum dos pontos de presença não esteja disponível.

AutenticaçãoAutenticação site a site IPsec 3


• Usar um túnel de VPN IPsec para conectar sites remotos: se você tiver um ou mais sites remotosconectados a sua rede por VPN, poderá proteger o tráfego e melhorar a latência da rede criando um túnelde VPN entre cada site e o McAfee WGCS.

• Adição de autenticação do Client Proxy: você pode adicionar a autenticação do Client Proxy ao site a siteIPsec. Para isso, basta configurar o Client Proxy para usar a porta 80 quando redirecionar o tráfego para oMcAfee WGCS.

• Adicionar a autenticação SAML: você pode adicionar uma configuração de SAML a um local IPsec. OMcAfee WGCS usa o SAML para autenticar solicitações recebidas do local pelo túnel IPsec.

• Usar um dispositivo NAT: se o seu dispositivo IPsec estiver localizado por atrás de um dispositivo NAT e ainterface contínua tiver um endereço IP privado, defina o atributo ID do local ao seu endereço IP público.

Como encontrar os melhores pontos de presença disponíveisPara encontrar o ponto de presença mais próximo do dispositivo que você está configurando para aautenticação IPsec, consulte o Global Routing Manager (GRM).O GRM é um serviço DNS que roteia o tráfego para o melhor ponto de presença disponível.

Tarefa1 Na rede em que o dispositivo está instalado, abra uma interface de linha de comando.

2 Digite estes comandos:

nslookup 1.network.c<id do cliente>.saasprotection.com

nslookup 2.network.c<id do cliente>.saasprotection.com

O GRM retorna os endereços IP do primeiro e segundo melhores pontos de referência, respectivamente, combase no local da rede do dispositivo. Esses valores serão necessários na configuração dos túneis de VPN IPsecprimário e secundário no dispositivo e no McAfee WGCS.

Ativação da autenticação site a site IPsecDepois que você configurar um túnel de VPN IPsec entre um local na rede e o McAfee WGCS, é possível ativar otúnel.


2 Na lista suspensa Configurações de site a site IPsec, selecione um local.

O painel Detalhes exibirá os valores configurados para o local selecionado.

3 Clique no ícone do menu Detalhes, clique em Ativar e, em seguida, clique em Salvar.

Adicionar um local de IPsecPara criar um túnel de VPN IPsec entre a sua rede e o McAfee WGCS, adicione um local de rede à configuraçãodo IPsec e defina as configurações para aquele local.


2 Na lista suspensa Configurações de site a site IPsec, selecione um local. Se nenhum local estiver configurado,selecione um espaço reservado.


3 AutenticaçãoAutenticação site a site IPsec


3 Clique no ícone de menu das Configurações de autenticação e depois clique em Novo local.

Uma linha foi adicionada acima do local selecionado e os campos correspondentes no painel Detalhespodem ser editados.

4 No painel Detalhes especifique um nome para o novo local na rede.

5 Especifique valores para os endereços IP e a chave pré-compartilhada e clique em Salvar.

Configurações de site a site IPsecPara configurar a autenticação site a site IPsec no McAfee ePO Cloud, você precisa do seguinte endereço IP e deuma chave pré-compartilhada.

Opção Definição

IP externo Especifica o endereço IP externo da sua rede no formato IPv4.As comunicações de Ipsec são enviadas deste endereço para o McAfee WGCS.

O McAfee WGCS usa esse valor para identificar o dispositivo IPsec.

Rede local Especifica o endereço IP interno da sua rede no formato IPv4 usando uma notação CIDRcom uma faixa de tamanho de rede de 16 a 32 bits.O McAfee WGCS usa esse valor para identificar o cliente e para configurar o túnel VPNIPsec entre sua rede local e o serviço na nuvem.

Chavepré-compartilhada

Especifica o valor da chave que você define e compartilha com o McAfee WGCS.Comprimento máximo: 64 caracteres

O McAfee WGCS usa esse valor para autenticar o dispositivo IPsec.

Alteração das configurações de site a site IPsecÉ possível alterar as configurações de site a site IPsec configuradas para um local na rede.


2 Na lista suspensa Configurações de site a site IPsec, selecione o local das configurações que você deseja alterar.

3 No painel Detalhes, clique no ícone do lápis.

4 Edite os valores nos campos conforme o necessário e clique em Salvar.

Adição de autenticação SAML ao IPsec site a siteSe você tiver um túnel VPN IPsec configurado para um local na rede ou um site remoto, poderá adicionar aautenticação SAML à configuração de IPsec. O McAfee WGCS usa o SAML para autenticar solicitações recebidaspelo túnel de IPsec.

Uma configuração SAML é compartilhada entre sua rede e locais remotos. Se você editar a configuração paraum local IPsec, a configuração será atualizada em todos os seus sites IPsec.



Adicionar a autenticação SAML a um local IPsecQuando você adiciona uma configuração SAML a uma configuração de site a site IPsec, o McAfee WGCS usa aconfiguração SAML para autenticar solicitações de usuários recebidas pelo túnel IPsec.





4 Na área Autenticação, clique no ícone de adição.

Será aberto o painel Catálogo com a Autenticação SAML selecionada.

5 Clique no ícone Adicionar.

A autenticação SAML será adicionada à área Autenticação do painel Detalhes.

6 Clique em Salvar.

O painel Catálogo será fechado e a configuração de IPsec site a site será salva com a configuração SAML.

Alteração da configuração SAML associada a um local IPsecÉ possível editar a configuração SAML associada a uma configuração de site a site IPsec na interface do IPsec.

Uma configuração SAML é compartilhada entre sua rede e locais remotos. Se você editar aconfiguração para um local IPsec, a configuração será atualizada em todos os seus sites IPsec.





4 Na área Autenticação, clique no ícone de adição.

Será aberto o painel Catálogo com a Autenticação SAML selecionada.

5 Na área Autenticação SAML, clique no ícone de lápis.

6 Edite as configurações de SAML conforme necessário e clique em Salvar.

Configuração das regras de política para o tráfego de VPN IPsecVocê pode configurar regras de política especificamente para o tráfego recebido por um túnel de VPN IPsec.Quando o McAfee WGCS recebe uma solicitação por meio de um túnel IPsec, o serviço adiciona o nome VPN desite à nuvem à lista de associações ao grupo.

Esse nome de grupo permite que você trate todas as solicitações recebidas por meio de um túnel IPsec comoum único grupo de usuários e configure as regras de política adequadamente. Por exemplo, sabendo que umtúnel IPsec protege o tráfego, convém configurar as regras de política que são menos restritivas do que asregras configuradas para o tráfego sem IPsec.



No Navegador de políticas, você pode criar um grupo de usuários chamado VPN de site à nuvem e adicioná-lo àsações da regra de política.

Esse recurso de nome de grupo só está disponível quando os usuários cujas solicitações são recebidas por meiode um túnel IPsec não são autenticados usando Client Proxy ou autenticação SAML.

Adição de VPN de site à nuvem a uma ação Permitir

Neste exemplo, a política Restritivo foi selecionada para o Filtro de categoria da Web e a categoria Uso pessoal estábloqueada. Você pode configurar a regra Uso pessoal para permitir o tráfego IPsec.

1 No Navegador de políticas, selecione Filtro de categoria da Web | Uso pessoal.

2 No painel Detalhes da regra, clique no ícone de lápis Permitir.

3 No painel Catálogo, clique no ícone do menu e em Novo grupo de usuários.

4 Digite o nome do grupo de usuários, VPN de site à nuvem. Em seguida, clique em Salvar.

5 No painel Catálogo, clique no ícone de adição ao lado do grupo de usuários VPN de site à nuvem e, em seguida,clique em Salvar.

O grupo de usuários VPN de site à nuvem é adicionado à ação Permitir no painel Detalhes da regra. Solicitaçõesrecebidas por meio de um túnel IPsec para o acesso a sites da Web na categoria Uso pessoal são permitidas.Todas as outras solicitações de acesso a sites da Web nesta categoria estão bloqueadas.



4 Geração de relatórios

Geração de relatórios no local

Conteúdo Configure McAfee WGCS como uma origem de log para Content Security Reporter Como usar sua própria solução de geração de relatórios no local

Configure McAfee WGCS como uma origem de log para Content SecurityReporterDepois de configurar Content Security Reporter para usar McAfee WGCS como uma origem do log, você podeefetuar pull dos dados do serviço de nuvem e executar consultas e relatórios.

Configure o Content Security Reporter na interface do McAfee ePO.

Para obter mais informações sobre como usar o Content Security Reporter, consulte a documentação doproduto no Portal de documentações da McAfee.

Tarefa1 No menu do McAfee ePO, selecione Configuração | Configurações do servidor de relatórios.

2 No menu Categorias de configuração, selecione Origens de log.

3 Na lista suspensa Ações, selecione Novo.

4 Na página Nova origem de log, especifique um nome para a origem do log e selecione Ativar origem do log.

5 Na lista suspensa Modo, selecione Coletar arquivos de log de e, na lista suspensa, selecione McAfee Web GatewayCloud Service.

6 Na guia Origem, forneça sua ID de cliente e, nos camposNome de acesso e Senha, forneça suas credenciais doMcAfee ePO.

7 Na guia Colunas definidas pelo usuário, configure até quatro colunas personalizadas. Para cada coluna:

a Selecione Preencher esta coluna.

b Na lista suspensa Registro de log, selecione um registro.

c No campo Cabeçalho do arquivo de log, especifique um nome para a coluna.

8 Na guia Agendar, especifique as datas de início e fim da coleta de arquivo de log, a frequência de coleta ehora de início.

4


9 Na guia Processamento, configure como o Content Security Reporter deve processar os dados de arquivo delog.

10 Na guia Pós-processamento, configure como o Content Security Reporter deve tratar os arquivos de log após aconclusão do processamento.

11 Clique em OK para salvar as configurações.

Como usar sua própria solução de geração de relatórios no localVocê pode fazer download de dados do McAfee WGCS para registro em log e análise com sua própria soluçãode relatórios no local.

Faça download de dados do McAfee WGCS usando um serviço Web RESTful. O URL da API REST é:

https://msg.mcafeesaas.com/mwg/api/reporting/forensic/<customerID>?<filter>

em que <customerID> é sua ID de cliente do McAfee WGCS formatada sem o "c" inicial (por exemplo,<12345678>) e <filter> é um intervalo de data e hora que você especifica.

Versões de geração de relatóriosPara configurar os campos dos quais deseja fazer download do McAfee WGCS à sua solução de geração derelatórios no local, adicione um cabeçalho à linha de comando e especificar um número de versão.

Tabela 4-1 Cabeçalho da versão

Cabeçalho: versão Campos

x-mwg-api-version: 1 (Padrão) A versão 1 faz download destes campos:

"user_id"

"username"

"source_ip"

"http_action"

"server_to_client_bytes"

"client_to_server_bytes"

"requested_host"

"requested_path"

"result"

"virus"

"request_timestamp_epoch"

"request_timestamp"

"uri_scheme"

"category"

x-mwg-api-version: 2 A versão 2 faz download destes campos, além de todos os campos da versão 1:

"media_type"

"application_type"

4 Geração de relatóriosGeração de relatórios no local


Tabela 4-1 Cabeçalho da versão (continuação)

Cabeçalho: versão Campos

x-mwg-api-version: 3 A versão 3 faz download deste campo, além de todos os campos das versões 1 e 2:

"reputation"

x-mwg-api-version: 4 A versão 4 faz download destes campos, além de todos os campos das versões 1, 2 e 3:

"last_rule"

"http_status_code"

"client_ip"

"group_names"

"location"

"block_reason"

"user_agent_comment"

"user_agent_product"

"user_agent_version"

Filtro de intervalo de datas e horas de geração de relatóriosUse esse filtro para restringir os dados baixados a solicitações da Web cujo carimbo de data/hora esteja nointervalo especificado.

O carimbo de data/hora é a hora em que o proxy processou inicialmente a solicitação da Web. Ele é salvo comotempo de época e como valor formatado. Todos os valores são em hora UTC de 24 horas.

Campo Formato Exemplo

"request_timestamp_epoch" Expressa como tempo de época ou o número desegundos transcorridos desde 1º de janeiro de 1970

"1532097954"

"request_timestamp" "aaaa-mm-dd hh:mm:ss" "20-07-2018 14:45:54"

Formate o filtro conforme mostrado:

filter.requestTimestampFrom=<seconds1>&filter.requestTimestampTo=<seconds2>&order.0.requestTimestamp=asc

em que <seconds1> e <seconds2> especificam o início e o fim do intervalo de tempo expresso como época eorder.0.requestTimestamp=asc especifica o download dos registros em ordem crescente de acordo com ocarimbo de data/hora.

As funções requestTimestampFrom e requestTimestampTo requerem os valores <seconds1> e <seconds2>,respectivamente, e os valores precisam ser números inteiros.

Prática recomendada: limite o intervalo a 60 minutos ou menos

É recomendável especificar um intervalo entre 1 e 60 minutos, basear o tamanho do intervalo no número deregistros gerados por hora. Intervalos maiores podem fazer com que sua solicitação expire.

Geração de relatóriosGeração de relatórios no local 4


Formatos de geração de relatórios: exemplos CSV e XMLFaça download dos dados no formato CSV ou XML. Especifique o formato, adicionando um cabeçalho à linha decomando.

Tabela 4-2 Cabeçalhos de formato

Cabeçalho Formato

Accept: text/csv CSV

Accept: text/xml XML (padrão)

Analise estas informações sobre os exemplos:

• Você pode usar qualquer ferramenta de cliente HTTP para fazer download dos dados, por exemplo, URL ouwget. Os exemplos usam cURL.

• O intervalo de tempo especificado nos exemplos é 3600 segundos ou 60 minutos.

• Os dados obtidos por download no formato CSV incluem o campo request_timestamp, ao contráriodaqueles obtidos no formato XML.

Exemplo de CSV

curl --insecure --verbose --header 'Accept: text/csv'--header 'x-mwg-api-version: 3' --compressed --user <usuário:senha>https://msg.mcafeesaas.com/mwg/api/reporting/forensic/<12345678>?filter.requestTimestampFrom=1527279524&filter.requestTimestampTo=1527283124&order.0.requestTimestamp=asc

Esse comando retorna uma linha de cabeçalho que contém os nomes dos campos obtidos por download pelaversão 3. Essa linha é seguida de uma linha de dados para cada solicitação da Web no intervalo de tempoespecificado. Todos os nomes e valores estão entre aspas e separados por vírgulas.

• Linha de cabeçalho

"user_id","username","source_ip","http_action","server_to_client_bytes","client_to_server_bytes","requested_host","requested_path","result","virus","request_timestamp_epoch","request_timestamp","uri_scheme","category","media_type","application_type","reputation"

• Dados de exemplo

"-1","name","x.x.x.x","POST","112","1024","x.x.x.x","/","OBSERVED","","1527279524","2018-05-25 20:18:44","http","Internet Services","","","Minimal Risk"

Exemplo de XML

curl --insecure --verbose --header 'Accept: text/xml'--header 'x-mwg-api-version: 3' --compressed --user <usuário:senha>https://msg.mcafeesaas.com/mwg/api/reporting/forensic/<12345678>? filter.requestTimestampFrom=1527279524&filter.requestTimestampTo=1527283124& order.0.requestTimestamp=asc

Esse comando retorna os dados da versão 3 no formato de documento XML, mostrado com valores deexemplo. Um conjunto de dados é retornado para cada solicitação da Web no intervalo de tempo especificado.Todos os valores estão entre aspas.

<?xml version="1.0" encoding="UTF-8"?> <wdsForensicReport><request userID="-1" userName="name" sourceIP="x.x.x.x" httpAction="POST" serverToClientBytes="112" clientToServerBytes="1024" requestedHost="x.x.x.x" requestedPath="/" result="OBSERVED" virus="" request_timestamp_epoch="1527279524" uriScheme="http" category="Internet Services" mediaType="" applicationType="" reputation="Minimal Risk"/></wdsForensicReport>

4 Geração de relatóriosGeração de relatórios no local


201810-12

guia de produto do mcafee web gateway cloud service · a plataforma de serviço de nuvem consiste...

Documents