Introducción a las alertas de prevención de pérdida de datos
Las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) se pueden configurar para generar alertas cuando se cumplen las condiciones de una directiva.
Para obtener una breve introducción a las alertas, consulte:
En este artículo se incluyen los detalles de licencias y permisos y otra información crucial que necesita a medida que trabaja con alertas.
Las alertas DLP se pueden investigar y administrar en el panel de Microsoft Defender XDR y en el portal de cumplimiento Microsoft Purview. El panel de Microsoft Defender XDR es la ubicación recomendada para investigar y administrar alertas DLP. El portal de cumplimiento Microsoft Purview es la ubicación recomendada para crear y editar directivas DLP.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Tipo de alerta
Las alertas se pueden enviar cada vez que una actividad coincide con una regla, lo que puede ser ruidoso o puede agregarse en función del número de coincidencias o el volumen de elementos durante un período de tiempo establecido. Hay dos tipos de alertas que se pueden configurar en las directivas DLP.
Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización.
Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.
Antes de empezar
Antes de empezar, asegúrese de que tiene los requisitos previos necesarios:
Licencias para opciones de configuración de alertas
- Configuración de alertas de evento único: las organizaciones que tienen una suscripción E1, F1 o G1 o una suscripción E3 o G3 pueden configurar directivas para generar una alerta cada vez que se produzca una actividad desencadenante.
-
Configuración de alerta agregada: para configurar directivas de alerta agregadas basadas en un umbral, debe tener cualquiera de las siguientes configuraciones:
- Una suscripción a A5
- Una suscripción A5 o G5
- Una suscripción E1, F1 o G1 o una suscripción E3 o G3 que incluya una de las siguientes características:
- Protección contra amenazas avanzada de Office 365 (plan 2)
- Cumplimiento de Microsoft 365 E5
- Licencia de complemento de auditoría y exhibición de documentos electrónicos de Microsoft 365
Los clientes que usan DLP de punto de conexión y que son aptos para DLP de Teams verán sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.
Roles y roles Grupos
Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview
Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.
- Protección de la información
- Administradores de Information Protection
- Analistas de Information Protection
- Investigadores de Information Protection
- Lectores de Information Protection
Para acceder al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de estos dos roles:
- Administración de cumplimiento de DLP
- View-Only administración de cumplimiento de DLP
Para acceder a la característica De vista previa de contenido y a las características de contenido confidencial y contexto coincidentes, debe ser miembro del grupo de roles Visor de contenido del Explorador de contenido , que tiene el rol Visor de contenido de clasificación de datos asignado previamente.
Sugerencia
Si el administrador requiere acceso a alertas, pero no a información contextual o confidencial, puede crear y asignar un rol personalizado que no incluya el permiso Visor de contenido de clasificación de datos.
Configuración de alertas DLP
Para obtener información sobre cómo configurar una alerta en la directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos. Hay diferentes experiencias de configuración de alertas en función de las licencias.
Nota:
Puede tardar hasta 3 horas en generar alertas después de configurar o modificar las alertas existentes en una directiva DLP.
Configuración de alertas de eventos agregados
Si tiene licencia para las opciones de configuración de alertas agregadas, verá estas opciones al crear o editar una directiva DLP.
Esta configuración le permite configurar una directiva para generar una alerta:
- cada vez que una actividad coincide con las condiciones de la directiva
- cuando se cumple o se supera el umbral definido
- en función del número de actividades
- basado en el volumen de datos filtrados
Para evitar una avalancha de correos electrónicos de notificación, todas las coincidencias que se producen dentro de un período de tiempo de un minuto que son para la misma regla DLP y en la misma ubicación se agrupan en la misma alerta. La característica de período de tiempo de agregación de un minuto está disponible en:
- Una suscripción A5 o G5
- Una suscripción E1, F1 o G1 o una suscripción E3 o G3 que incluya una de las siguientes características:
- Protección contra amenazas avanzada de Office 365 (plan 2)
- Cumplimiento de Microsoft 365 E5
- Licencia de complemento de auditoría y exhibición de documentos electrónicos de Microsoft 365
Para las organizaciones que tienen una suscripción E1, F1 o G1 o una suscripción E3 o G3, el período de tiempo de agregación es de 15 minutos.
Configuración de alertas de evento único
Si tiene licencia para las opciones de configuración de alertas de evento único, verá estas opciones al crear o editar una directiva DLP. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP.
Tipos de eventos
Estos son algunos de los eventos asociados a una alerta. En el panel Alerta, puede elegir un evento determinado para ver sus detalles.
Detalles del evento
Nombre de propiedad | Descripción | Tipos de eventos |
---|---|---|
Id. | identificador único asociado al evento | todos los eventos |
Ubicación | carga de trabajo donde se detectó el evento | todos los eventos |
tiempo de actividad | hora de la actividad del usuario que coincidió con los criterios de la directiva DLP |
Entidades afectadas
Nombre de propiedad | Descripción | Tipos de eventos |
---|---|---|
usuario | usuario que realizó la acción que provocó la coincidencia de directiva | todos los eventos |
nombre de host | nombre de host del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
Dirección IP | Dirección IP del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
sha1 | Hash SHA-1 del archivo | eventos de dispositivo |
sha256 | Hash SHA-256 del archivo | eventos de dispositivo |
Id. de dispositivo MDATP | id. MDATP del dispositivo de punto de conexión | |
tamaño de archivo | tamaño del archivo | Eventos de SharePoint, OneDrive y dispositivo |
ruta de acceso del archivo | la ruta de acceso absoluta del elemento implicado en la coincidencia de directiva DLP | Eventos de SharePoint, OneDrive y dispositivos |
destinatarios de correo electrónico | si un correo electrónico era el elemento confidencial que coincidía con la directiva DLP, este campo incluye a los destinatarios de ese correo electrónico. | Eventos de Exchange |
asunto del correo electrónico | asunto del correo electrónico que coincidió con la directiva DLP | Eventos de Exchange |
datos adjuntos de correo electrónico | nombres de los datos adjuntos del correo electrónico que coincidieron con la directiva DLP | Eventos de Exchange |
propietario del sitio | nombre del propietario del sitio | Eventos de SharePoint y OneDrive |
dirección URL del sitio | lleno de la dirección URL del sitio de SharePoint o OneDrive donde se produjo la coincidencia de directiva DLP | Eventos de SharePoint y OneDrive |
archivo creado | hora de creación del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
archivo modificado por última vez | la última vez que se cambió el archivo que coincidía con la directiva DLP | Eventos de SharePoint y OneDrive |
tamaño de archivo | tamaño del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
propietario del archivo | propietario del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
Detalles de la directiva
Nombre de propiedad | Descripción | Tipos de eventos |
---|---|---|
Directiva DLP coincidente | nombre de la directiva DLP coincidente | todos los eventos |
regla coincidente | nombre de la regla de directiva DLP coincidente | todos los eventos |
tipos de información confidencial (SIT) detectados | SIT que se detectaron como parte de la coincidencia de directiva DLP | todos los eventos |
acciones realizadas | acciones que se realizaron que provocaron la coincidencia de la directiva DLP | todos los eventos |
violación de la acción | acción en el dispositivo de punto de conexión que generó la alerta DLP | eventos de dispositivo |
directiva de superada por el usuario | el usuario invalidó la directiva a través de una sugerencia de directiva | todos los eventos |
usar justificación de invalidación | el texto de la razón proporcionada por el usuario para la invalidación | todos los eventos |
Importante
Los controles de configuración de la directiva de retención de registros de auditoría de su organización durante cuánto tiempo permanece visible una alerta en la consola. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Recursos adicionales
- Alertas en directivas DLP: describe las alertas en el contexto de una directiva DLP.
- Introducción a las alertas de prevención de pérdida de datos: cubre los requisitos previos, permisos y licencias necesarios para las alertas DLP y los detalles de referencia de alertas.
- Crear e implementar directivas de prevención de pérdida de datos: incluye instrucciones sobre la configuración de alertas en el contexto de la creación de una directiva DLP.
- Obtenga información sobre la investigación de alertas de prevención de pérdida de datos: trata los distintos métodos para investigar las alertas DLP.
- Investigar incidentes de pérdida de datos con Microsoft Defender XDR: Cómo investigar alertas DLP en Microsoft Defender portal.