Compartir a través de


Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: fase 3

Esta guía se divide en cuatro fases:

Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: Plano técnico

En las fases anteriores, se establecieron las bases de seguridad y se analizaron los sitios prioritarios. Hemos tratado las funcionalidades de etiquetado automático del lado cliente y del lado del servicio. Para obtener una tabla de comparación, consulte: Aplicar automáticamente una etiqueta de confidencialidad en Microsoft 365.

Fase 3: Optimizada: expansión a todo el patrimonio de datos de Microsoft 365

En esta fase, explicamos las opciones para ayudar a abordar de forma iterativa todo el patrimonio de datos de Microsoft 365.

Antes, recomendamos directivas iniciales para familiarizar a los usuarios. En esta fase, estamos listos para usarlos progresivamente en escenarios. El etiquetado automático es mejor en escenarios en los que se necesita una mayor confidencialidad que la etiqueta predeterminada.

También se describe cómo etiquetar retroactivamente los sitios existentes y establecer etiquetas de biblioteca predeterminadas.

Etiquetar automáticamente archivos confidenciales en clientes (umbrales bajos)

El etiquetado automático del lado cliente proporciona la oportunidad de que los usuarios decidan aplicar una etiqueta recomendada o notificar un falso positivo. Se puede hacer con los más de 300 tipos de información confidencial (SIT) disponibles y clasificadores entrenables.

En un nivel alto, se recomienda el siguiente enfoque. Los umbrales solo se proporcionan como ejemplos.

  • Identifique el SIT pertinente para su sector.
  • Recomendar una etiqueta con umbrales SIT inferiores (1-9).
  • Aplique automáticamente una etiqueta con umbrales más altos (10+) o clasificadores entrenables.

La etiqueta predeterminada del cliente afecta a la estrategia de etiquetado automático. Aunque en esta guía se recomienda establecer esta opción en Confidencial\Todos los empleados, también proporcionamos alternativas cuando el cliente de Office tiene como valor predeterminado General y, a continuación, a Confidencial\Todos los empleados cuando se guardan en SharePoint.

Sugerencia

Si el valor predeterminado se establece en Confidencial\Todos los empleados, la estrategia de etiquetado automático es menos compleja y centrada en las etiquetas altamente confidenciales .

Puede implementarla progresivamente con más SIT o clasificadores entrenables a lo largo del tiempo a medida que identifique más escenarios empresariales. Con los valores predeterminados y el etiquetado automático del lado cliente, ahora se aborda todo el contenido nuevo y actualizado.

Simular el etiquetado automático de archivos confidenciales en reposo

El etiquetado automático del lado del servicio etiqueta los archivos en reposo en SharePoint y OneDrive, y proporciona más condiciones. Actualmente se admite el etiquetado automático de hasta 100 000 archivos al día en su organización.

Sugerencia

Más información sobre el etiquetado automático con cuaderno de estrategias: etiquetado automático del lado del servicio

Aunque el etiquetado automático del lado cliente está limitado a contenido confidencial, el etiquetado automático del lado servicio agrega compatibilidad con condiciones contextuales como:

  • El contenido se comparte
  • La extensión de archivo es
  • El nombre del documento contiene palabras o frases
  • La propiedad del documento es
  • El tamaño del documento es igual o mayor que
  • Documento creado por

Estas condiciones, combinadas con la selección de sitios específicos o OneDrive del usuario, permiten a las organizaciones priorizar qué contenido etiquetar primero.

Por ejemplo, si su organización usa plantillas con propiedades de documento o prefijos de nombre de documento, puede ejecutar una directiva en todos los sitios de SharePoint y OneDrive. También puede priorizar en función del tamaño de archivo o de los documentos creados por los equipos directivos.

Puede finalizar el etiquetado de todos los documentos mediante extensiones de archivo office/PDF en lotes de sitios de SharePoint y establecer para que coincidan con la etiqueta de su sitio respectivo, empezando por sitios de mayor confidencialidad, capturando progresivamente sitios generales .

Por último, puede implementar más etiquetado automático del lado del servicio para contenido altamente confidencial , a menudo con umbrales más altos que los usados en el etiquetado automático del lado cliente para reducir posibles falsos positivos.

Reducción de falsos positivos con clasificadores avanzados

En esta sección, se trata la base de clasificadores avanzados y cuándo usarlos.

En el contexto de este plano técnico seguro de forma predeterminada, nos centramos en el uso de clasificadores con etiquetado automático para contenido altamente confidencial, donde los clasificadores avanzados se limitan a clasificadores entrenables. En la mayoría de los casos, los tipos de información confidencial (SIT) son una combinación de patrones y palabras clave. Plantillas como información de salud protegida (PHI) e información de identificación personal (PII) pueden devolver muchos falsos positivos, ya que no son capaces de determinar el contexto o pueden ser falsos positivos para su organización.

Los administradores de Purview pueden reducir los falsos positivos mediante:

Los clasificadores que se pueden entrenar usan el aprendizaje automático para identificar patrones de documento. Microsoft Purview proporciona varios clasificadores previamente entrenados, como documentos legales, documentos empresariales estratégicos e información financiera. Los clasificadores personalizados también se pueden crear y entrenar desde una biblioteca de documentos de SharePoint.

Mediante el uso de SIT y clasificadores entrenables, puede restringir el ámbito; por ejemplo, contiene SIT de tarjetas de crédito y clasificador de información financiera que se puede entrenar.

La coincidencia exacta de datos y la huella digital de documentos no están disponibles actualmente para el etiquetado automático, pero deben tenerse en cuenta en la estrategia general de Prevención de pérdida de datos de Microsoft Purview (DLP). De forma similar a los clasificadores entrenables, ambos pueden ayudar a reducir los falsos positivos. Con EDM, puede, por ejemplo, buscar contiene SSN fuera de la caja SIT y, a continuación, comprobar en su SIT de EDM para comprobar que es un SSN de uno de sus clientes o empleados. EDM le permite almacenar de forma segura un hash de información para buscar.

La huella digital de documentos funciona de forma diferente a los clasificadores entrenables mediante la identificación de plantillas de documento y su uso en directivas DLP. Esto resulta más útil si su organización tiene plantillas estandarizadas. Puede usar estas plantillas para crear huellas digitales precisas.

Automatización y mejora de la protección de Microsoft 365 a datos históricos y en uso

En el paso final de esta fase, se revisan las opciones para aplicar etiquetas de forma retroactiva en los sitios de SharePoint existentes y aplicar las etiquetas de biblioteca predeterminadas en consecuencia.

En este momento, hemos configurado los valores predeterminados en todo el entorno y hemos detenido la proliferación de sitios y documentos sin etiquetar. Comenzamos a abordar los sitios de etiquetado y las bibliotecas manualmente en los sitios prioritarios y estamos examinando el escalado de este valor en todo el patrimonio de contenido completo de Microsoft 365.

Hay algunas estrategias a tener en cuenta:

  • Usar propietarios de sitios: comunique a los propietarios del sitio que deben configurar una etiqueta en su sitio y biblioteca predeterminada. Si tiene previsto usar el número 2, incluya menciones de que recibirá automáticamente un nuevo valor predeterminado en una fecha de destino.
  • Ejecución de scripts de automatización en sitios no etiquetados restantes: use la Graph API para identificar sitios sin etiquetar y configurar la etiqueta de contenedor y la etiqueta de biblioteca predeterminada en "Confidential\All employees"
  • Opcionalmente, evite el uso compartido solo de archivos sin etiquetar: con medidas anteriores, como DLP en el contenido sin etiquetar y el etiquetado automático de archivos, puede optar por permitir que los sitios expiren de forma natural a través de acciones retroactivas de scripting para todos los sitios.
  • Capturar una escala de tiempo de sitios sin etiquetar: si planea usar el etiquetado automático del lado del servicio para todos los datos históricos basados en etiquetas de contenedor, capture cuando se agreguen etiquetas de contenedor y agregue progresivamente sitios recién etiquetados en las directivas de etiquetado automático.

La posición de riesgo define cómo abordar mejor todas las estrategias o, posiblemente, usarlas progresivamente. Aunque se recomienda proteger todo el patrimonio de datos, puede ser una tarea compleja en función de su tamaño. Comience pequeño e itere a menudo.

Las etiquetas de confidencialidad de scripting en sitios de SharePoint se pueden realizar con "Set-PnPTenantSite" y el parámetro "SensitivityLabel".

Para la etiqueta de biblioteca predeterminada, es necesario establecer el parámetro "DefaultSensitivityLabelForLibrary" mediante la API REST en una biblioteca. En este artículo se proporciona un ejemplo.

Fase 3: resumen

Recursos adicionales

Continuar con la fase 4: Acciones estratégicas: operar, expandir y retroactivas