Compartir a través de

Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: fase 2

  • Artículo

Esta guía se divide en cuatro fases:

Protección de forma predeterminada con Microsoft Purview y protección contra el uso compartido excesivo: Plano técnico

En la primera fase, explicamos cómo proteger el contenido nuevo y actualizado. En esta fase, exploraremos cómo proteger los datos existentes, empezando por los datos más confidenciales.

Fase 2: Administrado: Archivos de direcciones con la más alta confidencialidad

Identifique los sitios prioritarios de:

  • Sitios conocidos, incluidos sitios de equipos de liderazgo
  • Explorador de contenido con un gran número de documentos confidenciales
  • Reporting
  • Graph API para sitios con alta cantidad de información confidencial

Nota:

Si ha optado por los archivos predeterminados a Confidencial\Todos los empleados, se recomienda centrarse en sitios con una etiqueta de prioridad más alta.

Configurar manualmente el etiquetado de la biblioteca predeterminada de sitios de prioridad

Actualmente, la configuración requiere dos pasos independientes:

  1. Agregue una etiqueta de confidencialidad al sitio de SharePoint.
  2. Defina una etiqueta de confidencialidad como valor predeterminado para los archivos de las bibliotecas de SharePoint.

Los propietarios de sitios pueden configurar etiquetas de confidencialidad en sitios de SharePoint y la etiqueta de biblioteca predeterminada en las bibliotecas. Los administradores de SharePoint pueden configurar la etiqueta de confidencialidad del sitio en el portal de administración de SharePoint. Más adelante se explica cómo configurar el etiquetado de confidencialidad en sitios y bibliotecas con PowerShell.

Etiquetado automático de credenciales y condiciones contextuales

Purview proporciona el etiquetado automático del lado cliente y del lado del servicio.

El lado cliente ofrece la flexibilidad de la toma de decisiones y el reconocimiento del usuario final. En el contexto de la protección de forma predeterminada, el etiquetado del lado cliente es más útil para recomendar un etiquetado de mayor confidencialidad para los destinatarios con umbrales inferiores de información confidencial. Los usuarios pueden decidir aceptar o no aceptar la recomendación e informar si la sugerencia de etiqueta no es adecuada.

El etiquetado automático del lado cliente proporciona al usuario final conocimiento y flexibilidad de toma de decisiones. Al proteger de forma predeterminada, el etiquetado del lado cliente es más útil para recomendar un etiquetado de mayor confidencialidad para los destinatarios con umbrales inferiores de información confidencial. A continuación, los usuarios pueden decidir aceptar o no aceptar la recomendación y notificarla si la sugerencia de etiqueta no es adecuada.

Las etiquetas del lado servicio se aplican a los archivos existentes en OneDrive y SharePoint, y en el transporte de correos electrónicos, y proporcionan más condiciones, como condiciones contextuales para:

  • Tipo de archivo
  • Tamaño de archivos
  • Propiedades del documento

En el contexto de la guía segura de forma predeterminada, protegemos primero por contexto de sitio, en lugar de solo por tipo de información confidencial. Por lo tanto, podemos usar condiciones contextuales como Establecer etiqueta en Confidencial\Todos los empleados en todas las extensiones de archivo de Office/.pdf para estos sitios y abordar rápidamente los sitios de prioridad existentes. Se tratan más opciones a escala en la fase 3.

Importante

Se recomienda configurar directivas de etiquetado automático en Todas las credenciales para información confidencial, ya que los adversarios valoran más esta información. Para el etiquetado automático del lado cliente, establezca la etiqueta en Altamente confidencial\Específico Personas. Para el etiquetado automático del lado del servicio, establezca la etiqueta en Altamente confidencial\Todos los empleados.

Activar la prevención de pérdida de datos para el contenido que no está etiquetado

En esta fase, la base está bien implementada, los valores predeterminados son seguros y comenzamos a abordar los datos existentes. La habilitación de reglas de prevención de pérdida de datos (DLP) para sin etiquetar (usar la condición De contenido no está etiquetada ) en el punto de conexión y Exchange acelera el etiquetado del contenido por parte de los usuarios e impide el uso compartido de contenido sin etiquetar.

Se recomienda activar esta condición de regla DLP para DLP de punto de conexión con tipos de archivo Office/PDF y para las acciones restrictivas pertinentes, como la carga en la nube. Los usuarios deben abrir y etiquetar sus archivos antes de cargar archivos en sitios web.

Activar reglas de comportamiento de pérdida de datos y protección adaptable

Insider Risk Management (IRM) proporciona una capa de análisis y control, en función de los comportamientos de los usuarios. En el contexto seguro de forma predeterminada mediante etiquetas de confidencialidad, IRM puede identificar y alertar cuando los usuarios están degradando las etiquetas o descargando, ofuscando o filtrando ese contenido.

Los administradores controlan los desencadenadores y umbrales. Además, ahora puede usar Adaptive Protection para reforzar las reglas DLP en función del riesgo del usuario. Por ejemplo, una regla DLP puede auditar de forma predeterminada al compartir archivos con la etiqueta General. Se puede impedir que un usuario identificado como de alto riesgo comparta el mismo archivo.

Sugerencia

Se recomienda activar y probar una directiva predeterminada con Adaptive Protection e iterar cuando corresponda en las reglas DLP existentes.

IRM proporciona muchas más funcionalidades, configuraciones y controles. Revise las siguientes referencias y futuros planos técnicos de implementación de Purview que cubren Insider Risk Management con más detalle.

Fase 2: resumen

Recursos adicionales

Continuar con la fase 3: Optimizada: expandir a todo el patrimonio de datos de Microsoft 365