Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: fase 3
Esta guía se divide en cuatro fases:
- Introducción
- Fase 1: Fundamental: empezar con el etiquetado predeterminado
- Fase 2: Administrado: Archivos de direcciones con la más alta confidencialidad
- Fase 3: Optimizada: expanda todo el patrimonio de datos de Microsoft 365 (esta página)
- Fase 4: Acciones estratégicas: operar, expandir y retroactivas
En las fases anteriores, se establecieron las bases de seguridad y se analizaron los sitios prioritarios. Hemos tratado las funcionalidades de etiquetado automático del lado cliente y del lado del servicio. Para obtener una tabla de comparación, consulte: Aplicar automáticamente una etiqueta de confidencialidad en Microsoft 365.
Fase 3: Optimizada: expansión a todo el patrimonio de datos de Microsoft 365
En esta fase, explicamos las opciones para ayudar a abordar de forma iterativa todo el patrimonio de datos de Microsoft 365.
Antes, recomendamos directivas iniciales para familiarizar a los usuarios. En esta fase, estamos listos para usarlos progresivamente en escenarios. El etiquetado automático es mejor en escenarios en los que se necesita una mayor confidencialidad que la etiqueta predeterminada.
También se describe cómo etiquetar retroactivamente los sitios existentes y establecer etiquetas de biblioteca predeterminadas.
Etiquetar automáticamente archivos confidenciales en clientes (umbrales bajos)
El etiquetado automático del lado cliente proporciona la oportunidad de que los usuarios decidan aplicar una etiqueta recomendada o notificar un falso positivo. Se puede hacer con los más de 300 tipos de información confidencial (SIT) disponibles y clasificadores entrenables.
En un nivel alto, se recomienda el siguiente enfoque. Los umbrales solo se proporcionan como ejemplos.
- Identifique el SIT pertinente para su sector.
- Recomendar una etiqueta con umbrales SIT inferiores (1-9).
- Aplique automáticamente una etiqueta con umbrales más altos (10+) o clasificadores entrenables.
La etiqueta predeterminada del cliente afecta a la estrategia de etiquetado automático. Aunque en esta guía se recomienda establecer esta opción en Confidencial\Todos los empleados, también proporcionamos alternativas cuando el cliente de Office tiene como valor predeterminado General y, a continuación, a Confidencial\Todos los empleados cuando se guardan en SharePoint.
Sugerencia
Si el valor predeterminado se establece en Confidencial\Todos los empleados, la estrategia de etiquetado automático es menos compleja y centrada en las etiquetas altamente confidenciales .
Puede implementarla progresivamente con más SIT o clasificadores entrenables a lo largo del tiempo a medida que identifique más escenarios empresariales. Con los valores predeterminados y el etiquetado automático del lado cliente, ahora se aborda todo el contenido nuevo y actualizado.
Simular el etiquetado automático de archivos confidenciales en reposo
El etiquetado automático del lado del servicio etiqueta los archivos en reposo en SharePoint y OneDrive, y proporciona más condiciones. Actualmente se admite el etiquetado automático de hasta 100 000 archivos al día en su organización.
Sugerencia
Más información sobre el etiquetado automático con cuaderno de estrategias: etiquetado automático del lado del servicio
Aunque el etiquetado automático del lado cliente está limitado a contenido confidencial, el etiquetado automático del lado servicio agrega compatibilidad con condiciones contextuales como:
- El contenido se comparte
- La extensión de archivo es
- El nombre del documento contiene palabras o frases
- La propiedad del documento es
- El tamaño del documento es igual o mayor que
- Documento creado por
Estas condiciones, combinadas con la selección de sitios específicos o OneDrive del usuario, permiten a las organizaciones priorizar qué contenido etiquetar primero.
Por ejemplo, si su organización usa plantillas con propiedades de documento o prefijos de nombre de documento, puede ejecutar una directiva en todos los sitios de SharePoint y OneDrive. También puede priorizar en función del tamaño de archivo o de los documentos creados por los equipos directivos.
Puede finalizar el etiquetado de todos los documentos mediante extensiones de archivo office/PDF en lotes de sitios de SharePoint y establecer para que coincidan con la etiqueta de su sitio respectivo, empezando por sitios de mayor confidencialidad, capturando progresivamente sitios generales .
Por último, puede implementar más etiquetado automático del lado del servicio para contenido altamente confidencial , a menudo con umbrales más altos que los usados en el etiquetado automático del lado cliente para reducir posibles falsos positivos.
Reducción de falsos positivos con clasificadores avanzados
En esta sección, se trata la base de clasificadores avanzados y cuándo usarlos.
En el contexto de este plano técnico seguro de forma predeterminada, nos centramos en el uso de clasificadores con etiquetado automático para contenido altamente confidencial, donde los clasificadores avanzados se limitan a clasificadores entrenables. En la mayoría de los casos, los tipos de información confidencial (SIT) son una combinación de patrones y palabras clave. Plantillas como información de salud protegida (PHI) e información de identificación personal (PII) pueden devolver muchos falsos positivos, ya que no son capaces de determinar el contexto o pueden ser falsos positivos para su organización.
Los administradores de Purview pueden reducir los falsos positivos mediante:
- Aumente los recuentos de umbrales o confianza necesarios.
- Buscar varios SIT con AND en lugar del operador OR.
- Clone un SIT en un SIT personalizado y ajuste los requisitos.
- Use varias expresiones Regex en lugar de una única pero amplia.
- Forzar la coincidencia de palabras.
- Use clasificadores entrenables, coincidencia exacta de datos (EDM) y huellas digitales de documentos.
Sugerencia
Obtenga más información sobre estas opciones aquí: Sugerencias y trucos para maximizar la precisión y reducir las detecciones de falsos positivos en MIP y DLP
Los clasificadores que se pueden entrenar usan el aprendizaje automático para identificar patrones de documento. Microsoft Purview proporciona varios clasificadores previamente entrenados, como documentos legales, documentos empresariales estratégicos e información financiera. Los clasificadores personalizados también se pueden crear y entrenar desde una biblioteca de documentos de SharePoint.
Mediante el uso de SIT y clasificadores entrenables, puede restringir el ámbito; por ejemplo, contiene SIT de tarjetas de crédito y clasificador de información financiera que se puede entrenar.
La coincidencia exacta de datos y la huella digital de documentos no están disponibles actualmente para el etiquetado automático, pero deben tenerse en cuenta en la estrategia general de Prevención de pérdida de datos de Microsoft Purview (DLP). De forma similar a los clasificadores entrenables, ambos pueden ayudar a reducir los falsos positivos. Con EDM, puede, por ejemplo, buscar contiene SSN fuera de la caja SIT y, a continuación, comprobar en su SIT de EDM para comprobar que es un SSN de uno de sus clientes o empleados. EDM le permite almacenar de forma segura un hash de información para buscar.
La huella digital de documentos funciona de forma diferente a los clasificadores entrenables mediante la identificación de plantillas de documento y su uso en directivas DLP. Esto resulta más útil si su organización tiene plantillas estandarizadas. Puede usar estas plantillas para crear huellas digitales precisas.
Automatización y mejora de la protección de Microsoft 365 a datos históricos y en uso
En el paso final de esta fase, se revisan las opciones para aplicar etiquetas de forma retroactiva en los sitios de SharePoint existentes y aplicar las etiquetas de biblioteca predeterminadas en consecuencia.
En este momento, hemos configurado los valores predeterminados en todo el entorno y hemos detenido la proliferación de sitios y documentos sin etiquetar. Comenzamos a abordar los sitios de etiquetado y las bibliotecas manualmente en los sitios prioritarios y estamos examinando el escalado de este valor en todo el patrimonio de contenido completo de Microsoft 365.
Hay algunas estrategias a tener en cuenta:
- Usar propietarios de sitios: comunique a los propietarios del sitio que deben configurar una etiqueta en su sitio y biblioteca predeterminada. Si tiene previsto usar el número 2, incluya menciones de que recibirá automáticamente un nuevo valor predeterminado en una fecha de destino.
- Ejecución de scripts de automatización en sitios no etiquetados restantes: use la Graph API para identificar sitios sin etiquetar y configurar la etiqueta de contenedor y la etiqueta de biblioteca predeterminada en "Confidential\All employees"
- Opcionalmente, evite el uso compartido solo de archivos sin etiquetar: con medidas anteriores, como DLP en el contenido sin etiquetar y el etiquetado automático de archivos, puede optar por permitir que los sitios expiren de forma natural a través de acciones retroactivas de scripting para todos los sitios.
- Capturar una escala de tiempo de sitios sin etiquetar: si planea usar el etiquetado automático del lado del servicio para todos los datos históricos basados en etiquetas de contenedor, capture cuando se agreguen etiquetas de contenedor y agregue progresivamente sitios recién etiquetados en las directivas de etiquetado automático.
La posición de riesgo define cómo abordar mejor todas las estrategias o, posiblemente, usarlas progresivamente. Aunque se recomienda proteger todo el patrimonio de datos, puede ser una tarea compleja en función de su tamaño. Comience pequeño e itere a menudo.
Las etiquetas de confidencialidad de scripting en sitios de SharePoint se pueden realizar con "Set-PnPTenantSite" y el parámetro "SensitivityLabel".
Para la etiqueta de biblioteca predeterminada, es necesario establecer el parámetro "DefaultSensitivityLabelForLibrary" mediante la API REST en una biblioteca. En este artículo se proporciona un ejemplo.
Fase 3: resumen
- Aplicar automáticamente una etiqueta de confidencialidad en Microsoft 365
- Versiones mínimas para etiquetas de confidencialidad en Aplicaciones Microsoft 365
- Administrar etiquetas de confidencialidad en las aplicaciones de Office
- Aplicar automáticamente una etiqueta de confidencialidad en Microsoft 365
- Sugerencias y trucos para maximizar la precisión y reducir las detecciones de falsos positivos en MIP y DLP
Recursos adicionales
- Cuaderno de estrategias: etiquetado automático del lado del servicio
- Personalizar un tipo de información confidencial integrado
- Obtenga información sobre los clasificadores entrenables
- Obtener información sobre los tipos de información confidencial basados en coincidencias exactas de datos
- Acerca de la huella digital de documentos
- Definiciones de clasificadores entrenables
- Definiciones de entidad de tipos de información confidencial
- Límites del tipo de información confidencial
- Set-PnPTenantSite | PnP PowerShell
- Etiqueta "Predeterminada" para una biblioteca de documentos: ejemplo de script
- Configurar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint
Continuar con la fase 4: Acciones estratégicas: operar, expandir y retroactivas