Crear alertas de seguridad y cumplimiento en Microsoft Teams

  • 7 minutos

Puede usar la directiva de alerta para supervisar la actividad de los usuarios. Las alertas se generan cuando los usuarios realizan actividades que coinciden con las condiciones de una directiva de alerta. Por ejemplo, ataques de malware, campañas de suplantación de identidad (phishing) y niveles inusuales de eliminación de archivos y uso compartido externo. Puede crear y revisar el panel de alertas desde el portal de cumplimiento de Microsoft Purview.

Las directivas de alerta le permiten clasificar las alertas que desencadena una directiva, aplicar la directiva a todos los usuarios de la organización, establecer un umbral para cuándo se desencadena una alerta y decidir si se van a recibir notificaciones por correo electrónico cuando se desencadenan alertas.

Recorte de pantalla de la directiva de alertas.

Cómo funcionan las directivas de alerta

El siguiente diagrama muestra el flujo de trabajo básico de cómo funcionan las directivas de alerta:

Recorte de pantalla del flujo de trabajo de la directiva de alertas.

  1. Los administradores crean o modifican directivas existentes en el portal de cumplimiento de Microsoft Purview que supervisan la actividad inusual de los usuarios o administradores.

  2. Un usuario o administrador realiza acciones que coinciden con las condiciones y desencadenan una directiva de alerta, como crear un caso de exhibición de documentos electrónicos o agregar permisos de acceso completo a un buzón.

  3. Se genera una alerta y se desencadena la acción de alerta correspondiente, como enviar un correo electrónico a todos los administradores globales. Además, se crea una entrada de alerta en el panel de alertas del portal de cumplimiento de Microsoft Purview.

  4. Los administradores revisan las alertas en el panel de alertas y deciden confirmar o descartar la alerta.

Configuración de la directiva de alerta

Una directiva de alerta consta de un conjunto de reglas y condiciones que definen la actividad de usuario o administrador que genera una alerta, una lista de usuarios que desencadenan la alerta si realizan la actividad y un umbral que define cuántas veces debe producirse la actividad antes de que se desencadene una alerta. También categoriza la directiva y le asigna un nivel de gravedad.

Una directiva de alerta consta de las siguientes configuraciones y condiciones:

  • Actividad que está siguiendo la alerta: se crea una directiva para realizar un seguimiento de una actividad o, en algunos casos, algunas actividades relacionadas, como compartir un archivo con un invitado, asignar permisos de acceso o crear un vínculo anónimo. Cuando un usuario realiza la actividad definida por la directiva, se desencadena una alerta en función de la configuración del umbral de alerta.

  • Condiciones de la actividad: para la mayoría de las actividades, puede definir otras condiciones que deben cumplirse para desencadenar una alerta.

  • Cuando se desencadena la alerta: puede establecer una configuración que defina la frecuencia con la que se puede producir una actividad antes de que se desencadene una alerta.

    Recorte de pantalla de la configuración de alertas para desencadenar, en función de las repeticiones de actividad, el umbral o la actividad inusual.

  • Categoría de la alerta: para ayudar con el seguimiento y la administración de las alertas generadas por una directiva, puede asignar una de las siguientes categorías a una directiva:

    • Prevención de pérdida de datos

    • Información de gobierno

    • Flujo del correo

    • Permissions

    • Administración de amenazas

    • Otros

    Cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta que se genera se etiqueta con la categoría especificada por este parámetro. El etiquetado le permite realizar un seguimiento y administrar alertas que tienen la misma configuración de categoría en la página Alertas del portal de cumplimiento, ya que puede ordenar y filtrar las alertas en función de su categoría.

  • Gravedad de la alerta: de forma similar a la categoría de la alerta, asigna un atributo de gravedad (Bajo, Medio, Alto o Informativo) a las directivas de alerta. Al igual que la categoría de alerta, cuando se produce una actividad que coincide con las condiciones de la directiva de alerta, la alerta generada se etiqueta con el mismo nivel de gravedad que se establece para la directiva de alerta.

  • Notificaciones de correo electrónico: puede configurar la directiva para que las notificaciones de correo electrónico se envíen (o no se envíen) a una lista de usuarios cuando se desencadene una alerta.

Crear nuevas alertas

Para crear una nueva directiva de alertas en el portal de cumplimiento de Microsoft Purview y comprobar si el registro de auditoría está activado, siga estos pasos:

  1. Inicie sesión en el portal de cumplimiento de Microsoft Purview y seleccione Directivas > Directivas de alerta.

  2. Seleccione + Nueva directiva de alerta en el panel superior para crear una nueva directiva de alerta.

  3. En la página Nombre de la alerta, clasificación y nivel de gravedad. , escriba lo siguiente:

    • Nombre para identificar el uso de esta directiva de alerta.

    • Descripción para que otros administradores comprendan el propósito de esta directiva de alerta.

    • Nivel de gravedad para el nivel de importancia para los eventos de estas alertas.

    • Categoría para configurar el acceso para diferentes roles de la organización.

  4. Seleccione Siguiente.

  5. En la página Elegir una actividad, las condiciones y cuándo desencadenar la alerta, seleccione una actividad y la condición deseadas para la alerta y, a continuación, seleccione Siguiente.

  6. En la página Decida si desea notificar a los usuarios cuando se desencadene esta alerta, puede especificar los destinatarios de la notificación y la frecuencia del límite diario de notificaciones. Seleccione Siguiente.

  7. En la página Revisar la configuración, puede revisar la configuración de alerta y decidir activar la directiva de inmediato o más tarde. Seleccione Finalizar cuando la configuración esté como desea.

    Recorte de pantalla de la creación de la directiva de alertas.

Ver alertas

Los permisos de control de acceso basado en roles (RBAC) asignados a los usuarios de la organización determinan qué alertas puede ver un usuario en la página Alertas. Estos son algunos ejemplos:

  • Los miembros del grupo de rol Administración de registros solo pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Gobierno de información.

  • Los miembros del grupo de rol Administrador de cumplimiento no pueden ver las alertas generadas por las directivas de alerta a las que se asigna la categoría Administración de amenazas.

  • Los miembros del grupo de rol Administrador de exhibición de documentos electrónicos no pueden ver ninguna alerta porque ninguno de los roles asignados proporciona permiso para ver las alertas de cualquier categoría de alerta.