Introducción al panel alertas de prevención de pérdida de datos
las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) pueden tomar medidas de protección para evitar el uso compartido involuntario de elementos confidenciales. Puede recibir una notificación cuando se realice una acción en un elemento confidencial mediante la configuración de alertas para DLP. En este artículo se muestra cómo configurar alertas en las directivas de prevención de pérdida de datos (DLP). Verá cómo usar el panel de administración de alertas DLP en el portal de Microsoft Purview para ver alertas, eventos y metadatos asociados para infracciones de directiva DLP.
Si no está familiarizado con las alertas DLP, debe revisar Introducción a las alertas de prevención de pérdida de datos.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
El portal de Microsoft Purview muestra alertas para las directivas DLP que se aplican en las siguientes cargas de trabajo:
- Correo electrónico de Exchange
- Sitios de SharePoint
- Cuentas de OneDrive
- Mensajes de canales y chats de Teams
- Dispositivos
- Instancias
- Repositorios locales
- Tejido y Power BI
Antes de empezar
Antes de empezar, asegúrese de que tiene los requisitos previos necesarios:
- Licencias para el panel de administración de alertas DLP
- Licencias para opciones de configuración de alertas
- Roles necesarios
Licencias para el panel de administración de alertas DLP
Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.
Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.
Los clientes que usan DLP de punto de conexión que son aptos para DLP de Teams ven sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.
Licencias para opciones de configuración de alertas
Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.
Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.
Roles y roles Grupos
Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview
Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.
- Protección de la información
- Administradores de Information Protection
- Analistas de Information Protection
- Investigadores de Information Protection
- Lectores de Information Protection
Para acceder al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de estos dos roles:
- Administración de cumplimiento de DLP
- View-Only administración de cumplimiento de DLP
Para acceder a la característica De vista previa de contenido y a las características de contenido confidencial y contexto coincidentes, debe ser miembro del grupo de roles Visor de contenido del Explorador de contenido , que tiene el rol Visor de contenido de clasificación de datos asignado previamente.
Configuración de alertas DLP
Para obtener información sobre cómo configurar una alerta en la directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos.
Importante
La configuración de la directiva de retención de registros de auditoría de la organización controla cuánto tiempo permanece visible una alerta en la consola. Consulte Administración de directivas de retención de registros de auditoría para obtener más información.
Configuración de alertas de eventos agregados
Si su organización tiene licencia para las opciones de configuración de alertas agregadas, verá estas opciones al crear o editar una directiva DLP.
Esta configuración permite configurar una directiva para generar una alerta cada vez que una actividad coincide con las condiciones de la directiva o cuando se supera un umbral determinado, en función del número de actividades o en función del volumen de datos filtrados.
Configuración de alertas de evento único
Si su organización tiene licencia para las opciones de configuración de alertas de evento único, verá estas opciones al crear o editar una directiva DLP. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP.
Investigación de una alerta DLP
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Para trabajar con el panel de administración de alertas DLP:
- Inicie sesión en el portal > de Microsoft PurviewPrevención de pérdida de datos.
- Seleccione Alertas para ver el panel Alertas DLP .
- Use los campos Filtro para refinar la lista de alertas.
- Elija Personalizar columnas para mostrar las propiedades que desea ver.
- Para ordenar los resultados en orden ascendente o descendente, haga doble clic en el encabezado de columna.
- Haga doble clic en una alerta para obtener más información al respecto.
- La pestaña Detalles se abre de forma predeterminada y proporciona información de alto nivel sobre la alerta.
- Seleccione Resumir con Copilot. Esto hace que el Security Copilot genere un resumen de la alerta. El resumen de la alerta contendrá lo siguiente:
- gravedad de alerta
- título de alerta
- el nombre de la directiva que coincidió
- el archivo de nombre implicado y un vínculo al archivo
- estado de alerta
- dirección de correo electrónico del usuario que realizó la acción que coincidió con la directiva
- Seleccione los puntos suspensivos en el resumen de Security Copilot para:
- copiar el resumen en el Portapapeles
- regenerar el resumen
- abra la alerta en la experiencia Security Copilot independiente.
- Seleccione Ver detalles para abrir la pestaña Información general . La pestaña Información general proporciona un resumen de la siguiente información:
- ¿Qué pasó
- Quién realizó las acciones que provocaron la coincidencia de directiva
- Información adicional sobre la coincidencia de directiva
- En la pestaña Eventos se enumeran todos los eventos asociados a la alerta. Seleccione cualquier evento de la lista para obtener información detallada sobre el evento. Para cada evento, elija la lista desplegable Acciones de una lista de acciones que puede realizar en la alerta, como comprobar si la alerta ha identificado o no una coincidencia verdadera o un falso positivo.
- La pestaña Resumen de actividad de usuario requiere que el uso compartido esté activado en la configuración de administración de riesgos internos Una vez habilitado, la pestaña Resumen de actividad de usuario proporciona todas las actividades de filtración en las que el usuario ha participado (hasta los últimos 120 días). Los usuarios deben estar en el ámbito de una directiva de administración de riesgos internos para ver la pestaña Resumen de actividad de usuario .
- Después de investigar la alerta, vuelva a la pestaña Información general , donde puede ver los detalles para evaluar y administrar la eliminación de la alerta, agregar comentarios y asignar la propiedad de la alerta. (Para ver el historial de administración de flujos de trabajo).
- Después de realizar la acción necesaria para la alerta, establezca el estado de la alerta en Resuelto.
Otras condiciones coincidentes
Microsoft Purview admite la visualización de condiciones coincidentes en un evento DLP para revelar la causa exacta de una directiva DLP marcada. Esta información se muestra en:
- Consola de alertas DLP
- Explorador de actividad
- portal de Microsoft Defender para Empresas
En la pestaña Eventos , abra Detalles para ver Otras condiciones coincidentes.
Requisitos previos
- Debe ejecutar Windows 10 x64 (compilación 1809 o posterior) o Windows 11.
- Consulte 21 de marzo de 2023: KB5023773 (compilaciones del sistema operativo 19042.2788, 19044.2788 y 19045.2788) para obtener las compilaciones mínimas necesarias del sistema operativo Windows.
- Los datos de condiciones coincidentes están disponibles para los titulares de licencias E3 y E5 válidos.
- Habilitar la auditoría.
- Habilite el examen y la protección de clasificación avanzada.
La información de eventos coincidentes es compatible con estas condiciones
Condición | Exchange | Sharepoint | Teams | Punto de conexión |
---|---|---|---|---|
El remitente es | Yes | No | Sí | No |
El dominio del remitente es | Yes | No | Sí | No |
La dirección del remitente contiene palabras | Yes | No | No | No |
La dirección del remitente coincide con patrones | Yes | No | No | No |
El remitente es miembro de | Yes | No | No | No |
La dirección IP del remitente es | Yes | No | No | No |
¿Ha invalidado el remitente la sugerencia de directiva? | Yes | No | No | No |
SenderAdAttribute Contiene palabras | Yes | No | No | No |
SenderAdAttribute coincide con patrones | Yes | No | No | No |
El destinatario es | Yes | No | Sí | No |
El dominio del destinatario es | Yes | No | Sí | No |
La dirección del destinatario contiene palabras | Yes | No | No | No |
La dirección del destinatario coincide con patrones | Yes | No | No | No |
El destinatario es un miembro de | Yes | No | No | No |
RecipientAdAttribute Contiene palabras | Yes | No | No | No |
RecipientAdAttribute coincide con patrones | Yes | No | No | No |
El documento está protegido con contraseña | Yes | No | No | No |
No se pudo examinar el documento | Yes | No | No | No |
El documento no completó el examen | Yes | No | No | No |
El nombre del documento contiene palabras | Sí | Sí | No | No |
El nombre del documento coincide con los patrones | Yes | No | No | No |
La propiedad del documento es | Sí | Sí | No | No |
Tamaño del documento sobre | Sí | Sí | No | No |
El contenido del documento contiene palabras | Yes | No | No | No |
El contenido del documento coincide con patrones | Yes | No | No | No |
El tipo de documento es | No | No | No | Sí |
La extensión de documento es | Sí | Sí | No | Sí |
El contenido se comparte desde M365 | Sí | Sí | Sí | No |
El contenido se recibe de | Yes | No | No | No |
El juego de caracteres de contenido contiene palabras | Yes | No | No | No |
Subject contiene palabras | Yes | No | No | No |
El asunto coincide con patrones | Yes | No | No | No |
El asunto o el cuerpo contiene palabras | Yes | No | No | No |
El asunto o el cuerpo coinciden con los patrones | Yes | No | No | No |
El encabezado contiene palabras | Yes | No | No | No |
El encabezado coincide con patrones | Yes | No | No | No |
Tamaño del mensaje sobre | Yes | No | No | No |
El tipo de mensaje es | Yes | No | No | No |
La importancia del mensaje es | Yes | No | No | No |
Limitación al descargar correos electrónicos desde dentro de una alerta DLP
En general, al usar el panel de administración de alertas DLP, puede descargar correos electrónicos específicos desde dentro de una alerta. Sin embargo, los correos electrónicos que se han eliminado en cualquiera de los siguientes escenarios no se pueden descargar.
Remitente | Destinatario | estado de Email |
---|---|---|
Interno | Externo | Eliminado por el remitente |
Externo | Interno | Eliminado por el destinatario |
Interno | Interno | Eliminado por ambas partes |