Compartir a través de


Obtenga más información sobre la recolección de pruebas de actividades de archivo en dispositivos

Al investigar un incidente de Prevención de pérdida de datos de Microsoft Purview (DLP) o solucionar problemas de una directiva DLP, puede resultar útil tener una copia completa del elemento que coincidió con la directiva a la que hacer referencia. DLP puede copiar el elemento que coincide con una directiva DLP de dispositivos Windows incorporados a una cuenta de almacenamiento de Azure. Los administradores y los investigadores de incidentes DLP a los que se han concedido los permisos adecuados en el blob de Almacenamiento de Azure pueden acceder a los archivos.

Para empezar a configurar y usar la característica, consulte Introducción a la recopilación de archivos que coinciden con las directivas de prevención de pérdida de datos de los dispositivos.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales que necesita al implementar DLP:

  1. Administrative units
  2. Más información sobre Prevención de pérdida de datos de Microsoft Purview: en este artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
  3. Planear la prevención de pérdida de datos (DLP): al trabajar en este artículo, podrá:
    1. Identificación de las partes interesadas
    2. Describir las categorías de información confidencial que se van a proteger
    3. Establecer objetivos y estrategias
  4. Referencia de directiva de prevención de pérdida de datos: en este artículo se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
  5. Diseñar una directiva DLP : este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
  6. Crear e implementar directivas de prevención de pérdida de datos : en este artículo se presentan algunos escenarios de intención de directivas comunes que se asignarán a las opciones de configuración y, a continuación, se le guiará a través de la configuración de esas opciones.

Donde la recopilación de evidencias para las actividades de archivos en los dispositivos encaja en Purview

DLP de punto de conexión forma parte de la oferta DLP más grande y forma parte de la mayor gama de servicios que se ofrecen en Microsoft Purview. Debe comprender cómo la recopilación de evidencias para las actividades de archivos en los dispositivos se ajusta al conjunto más grande de ofertas de servicio.

Colección de evidencias para actividades de archivos en dispositivos y exhibición de documentos electrónicos

Esta característica realiza copias de elementos que coinciden con las directivas DLP en dispositivos Windows incorporados y las coloca en una cuenta de almacenamiento de Azure. Estas copias no se conservan en un estado sin cambios y no son pruebas en el sentido legal del término. Si necesita buscar y almacenar elementos con fines legales, debe usar las soluciones de Microsoft Purview eDiscovery. La exhibición de documentos electrónicos, o eDiscovery, es el proceso de identificación y entrega de información electrónica que se puede usar como prueba en casos legales.

Recopilación de evidencias para actividades de archivos en dispositivos y resumen contextual

Cuando un elemento y la actividad que un usuario realiza en ese elemento coinciden con las condiciones definidas en una directiva DLP, se muestra un evento DLPRuleMatch en el Explorador de actividad. Esto se aplica a todas las ubicaciones compatibles con DLP. El evento DLPRuleMatch contiene una cantidad limitada del texto que rodea el contenido coincidente. Esta cantidad limitada de texto se denomina resumen contextual.

Es importante comprender la diferencia entre la recopilación de evidencias para las actividades de archivo en los dispositivos y un resumen contextual. La recopilación de evidencias para las actividades de archivos en dispositivos solo está disponible para dispositivos Windows incorporados. Guarda una copia de todo el elemento que coincidió con una directiva en la cuenta de almacenamiento de Azure. Se captura un resumen contextual para cada coincidencia de reglas de directiva DLP y solo contiene una cantidad limitada del texto que rodea al texto de destino que desencadenó la coincidencia.

Actividades de usuario cubiertas

Puede configurar la recopilación de pruebas para las actividades de archivo en los dispositivos con el fin de guardar una copia de un elemento coincidente en la cuenta de almacenamiento de Azure cuando un usuario intenta realizar una de estas actividades en un elemento coincidente:

  • Copia en un USB extraíble
  • Copia en el recurso compartido de red
  • Imprimir
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copia o traslado a través de RDP
  • Carga en dominios de servicio en la nube o acceso desde un explorador no permitido
  • Pegar en exploradores admitidos

La detección de estas actividades se configura en la directiva DLP. Para obtener más información sobre cómo crear una directiva DLP, vea Crear e implementar directivas de prevención de pérdida de datos y Uso de la prevención de pérdida de datos de punto de conexión.

Acciones cubiertas

Al habilitar la recopilación de pruebas para actividades de archivo en dispositivos en la configuración dlp de punto de conexión y configurar una directiva DLP para usar esta característica, guarda una copia de un elemento coincidente para estas acciones:

  • Solo auditoría
  • Bloqueo con invalidación
  • Bloquear

Estas acciones se configuran en la directiva DLP. Para obtener más información sobre cómo crear una directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos y Uso de la prevención de pérdida de datos de punto de conexión.

Consideraciones sobre diseño

Regiones para las cuentas de Azure Storage

Para cumplir con los requisitos normativos, asegúrese de que las cuentas de almacenamiento de Azure que usa están en los mismos límites geopolíticos o normativos que los dispositivos de los que se copian. Además, tenga en cuenta la ubicación geopolítica de los investigadores DLP que accederán a los elementos confidenciales una vez guardados. Considere la posibilidad de usar unidades administrativas para limitar la administración de los usuarios y dispositivos de forma adecuada para cada directiva DLP. Para obtener información sobre cómo usar la prevención de pérdida de datos para cumplir con las regulaciones de privacidad de datos, consulte Implementación de la protección de la información para las regulaciones de privacidad de datos con Microsoft Purview. La recopilación de pruebas para actividades de archivos en dispositivos admite hasta 10 cuentas de almacenamiento de Azure.

Para obtener información sobre cómo usar la prevención de pérdida de datos para cumplir con las regulaciones de privacidad de datos, consulte Implementación de la protección de la información para las regulaciones de privacidad de datos con Microsoft Purview.

Almacenamiento local y ancho de banda

De forma predeterminada, las copias de los elementos coincidentes se guardan de forma asincrónica en la cuenta de almacenamiento de Azure configurada a través de la conexión de red existente. Si el dispositivo no tiene conectividad, los elementos coincidentes se guardan localmente, hasta el límite de 500 MB. Puede guardar elementos localmente hasta 60 días.

Aunque el dispositivo tiene conectividad con la dirección URL de la cuenta de almacenamiento de Azure, no hay ningún límite en el uso del ancho de banda. El ancho de banda que usa la recopilación de pruebas para las actividades de archivos en los dispositivos no afecta a los límites de ancho de banda predeterminados o configurados para el examen y la protección de clasificación avanzada.

Cuentas de Azure Storage

Los clientes son responsables de crear y administrar sus propias cuentas de Almacenamiento de Azure. Si no está familiarizado con Azure Storage, consulte:

Los elementos que coinciden con una directiva se copian del dispositivo de los usuarios en el blob de la cuenta de almacenamiento de Azure en el contexto de seguridad del usuario que ha iniciado sesión. Por lo tanto, todos los usuarios que están en el ámbito de la directiva deben tener permiso de lectura y escritura para el almacenamiento de blobs. Para obtener más información, consulte Introducción a la recopilación de archivos que coinciden con las directivas de prevención de pérdida de datos de los dispositivos.

Del mismo modo, todos los administradores que revisan los elementos guardados deben tener read permiso para el blob de la cuenta de almacenamiento de Azure. Para obtener más información, consulte Introducción a la recopilación de archivos que coinciden con las directivas de prevención de pérdida de datos de los dispositivos.

Almacenamiento de evidencia cuando se detecta información confidencial (versión preliminar)

Tipos de archivo compatibles

Para obtener más información sobre los tipos de archivo admitidos, consulte Tipos de archivo admitidos para almacenar y obtener una vista previa de pruebas.

Tipos de almacenamiento admitidos

Tiene dos opciones para almacenar la evidencia que Purview recopila cuando detecta información confidencial en el contenido. Puede usar un almacén de datos administrado por el cliente o un almacén de datos administrados por Microsoft (versión preliminar). La opción que debe usar depende de sus requisitos y de los casos de uso. Para ayudarle a decidir, revise la tabla de comparación siguiente.

Comparación de tipos de almacenamiento

Los archivos coincidentes siguen incluyándose en los resultados de alerta incluso después de cambiar el tipo de almacenamiento, siempre y cuando los permisos de control de acceso basado en rol (RBAC) permanezcan intactos. Dado que el almacenamiento administrado por el cliente es propiedad de los clientes, los administradores dlp pueden seguir descargando archivos directamente desde el almacenamiento por archivo.

En la tabla siguiente se identifican las diferencias entre el almacenamiento administrado por el cliente y el almacenamiento administrado por Microsoft para recopilar pruebas de la información confidencial detectada en el contenido.

Elemento Feature Administrado por el cliente Microsoft Managed (versión preliminar)
Retención de archivos Puede conservar los archivos siempre que lo necesite o desee. Los archivos se conservan durante un máximo de 120 días.
Configuración del punto de conexión Debe agregar blob storage (direcciones URL de contenedor) en la configuración del punto de conexión y, a continuación, usar la Centro de administración Microsoft Entra para configurar permisos de usuario explícitos en el blob para los usuarios dentro del ámbito. Toda la configuración y los permisos se controlan con un solo clic al configurar los valores del punto de conexión.
Configuración de directiva y ubicación Debe agregar y configurar blobs de almacenamiento por directiva para cada ubicación en la que se aplique una directiva. No se necesita ninguna selección de almacenamiento para ubicaciones de directiva específicas.
Ubicación o región del almacén de datos Elegido por el cliente La misma región que el inquilino de Microsoft Purview.
Cargos Los costos de almacenamiento se cobran además del costo de la suscripción de Entra. El costo de almacenamiento de hoy se incluye en E5. Sin embargo, Microsoft supervisará el uso del almacenamiento y puede cobrar adicionalmente en función del uso excesivo. Esto se comunicará a los clientes por separado si se produce un cambio en el modelo de negocio.
Configuración de red Debe permitir que las direcciones URL de contenedor de los blobs de almacenamiento pasen a través del firewall de red. Debe incluir compliancedrive.microsoft.com en una lista "allow" para que pueda pasar a través del firewall de red.

Cambio de tipos de almacenamiento

Los clientes pueden cambiar entre tipos de almacenamiento en cualquier momento. Sin embargo, el procedimiento recomendado es planear cuidadosamente el tipo de almacenamiento que necesitará a largo plazo y seleccionar la opción adecuada para su caso de uso. Para obtener más información sobre las diferencias entre los dos tipos de almacenamiento, consulte la tabla de comparación de tipos de almacenamiento.

Nota:

Al cambiar los tipos de almacenamiento, deberá actualizar las directivas para asegurarse de que se aplican a los archivos del nuevo almacén de datos.

Impacto del cambio de los tipos de almacenamiento en los archivos de evidencia

Los archivos coincidentes siguen incluyándose en los resultados de la alerta, incluso después de cambiar el tipo de administración de almacenamiento, siempre que los permisos de control de acceso basado en rol (RBAC) no cambien.

Dado que es el propietario de la solución de almacenamiento administrada por el cliente, los administradores DLP pueden seguir descargando archivos directamente por archivo después de que se hayan movido a la solución de almacenamiento administrado por Microsoft.

Paso siguiente

El siguiente paso consiste en configurar la recopilación de evidencias para las actividades de archivos en los dispositivos.

Para obtener más información, consulte Introducción a la recopilación de archivos que coinciden con las directivas de prevención de pérdida de datos de los dispositivos.