Introducción al explorador de actividad
El explorador de actividades le permite supervisar lo que se hace con el contenido etiquetado. El Explorador de actividades proporciona una vista histórica de las actividades en el contenido etiquetado. La información de actividad se recopila de los registros de auditoría unificados de Microsoft 365, se transforma y, a continuación, se hace disponible en la interfaz de usuario del explorador de actividad. El explorador de actividad informa de datos de hasta 30 días.
El Explorador de actividades le ofrece varias maneras de ordenar y ver los datos.
Filtros
Los filtros son los bloques de creación del explorador de actividad, cada uno centrado en una dimensión diferente de los datos recopilados. Hay alrededor de 50 filtros individuales diferentes disponibles para su uso, algunos son:
- Intervalo de fechas
- Tipo de actividad
- Ubicación
- Etiqueta de confidencialidad
- Usuario
- IP de cliente
- Nombre del dispositivo
- Está protegido
Para verlos todos, abra el panel de filtro en el explorador de actividad y examine la lista desplegable.
Nota:
Las opciones de filtro se generan en función de los primeros 500 registros para garantizar un rendimiento óptimo. Esto puede dar lugar a que algunos valores no se muestren en la lista desplegable de filtros.
Conjuntos de filtros
El explorador de actividades incluye conjuntos predefinidos de filtros para ahorrar tiempo cuando se desea centrarse en una actividad específica. Use conjuntos de filtros para proporcionar rápidamente una vista de las actividades de nivel superior que los filtros individuales. Algunos de los conjuntos de filtros predefinidos son:
- Actividades DLP de punto de conexión
- Etiquetas de confidencialidad aplicadas, modificadas o eliminadas
- Actividades de salida
- Directivas DLP que detectaron actividades
- Actividades DLP de red
- Explorador protegido
También puede crear y guardar sus propios conjuntos de filtros mediante la combinación de filtros individuales.
Security Copilot en el Explorador de actividad (versión preliminar)
En versión preliminar, Microsoft Security Copilot en Microsoft Purview se inserta en el explorador de actividad. Puede ayudar a profundizar de forma eficaz en los datos de actividad y ayudarle a identificar actividades, archivos con información confidencial, usuarios y detalles adicionales que son relevantes para una investigación.
Importante
Asegúrese de comprobar la precisión y la integridad de las respuestas de Security Copilot antes de realizar cualquier acción basada en la información proporcionada. Puede proporcionar comentarios para ayudar a mejorar la precisión de las respuestas.
Búsqueda de datos
Security Copilot uso de aptitudes de todos los datos disponibles para Microsoft Purview, filtros y conjuntos de filtros disponibles en el explorador de actividades y usa el aprendizaje automático para proporcionarle información sobre la actividad (a veces denominada búsqueda de datos) en los datos que es más importante para usted.
- Mostrarme las 5 actividades principales de la semana pasada
- Filtrar e investigar actividades
- Búsqueda de archivos usados en actividades específicas
Al seleccionar una solicitud, se abrirá automáticamente la Security Copilot tarjeta lateral y se mostrarán los resultados de la consulta. A continuación, puede refinar aún más la consulta.
Lenguaje natural para filtrar la generación de conjuntos
Puede usar el cuadro de solicitud para escribir consultas complejas de lenguaje natural para generar conjuntos de filtros. Por ejemplo, puede escribir:
"Filtre e investigue los archivos copiados en la nube con el número de tarjeta de crédito del tipo de información confidencial durante los últimos 30 días".
Security Copilot generará un conjunto de filtros para la consulta. A continuación, debe revisar el filtro para asegurarse de que es lo que quiere y, a continuación, puede aplicarlo a los datos.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Requisitos previos
Licencias de SKU/suscripciones
Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.
Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.
Permissions
Una cuenta debe tener asignada explícitamente la pertenencia a cualquiera de estos grupos de roles o debe concederse explícitamente el rol.
Roles y roles Grupos
Hay roles y grupos de roles que puede usar para ajustar los controles de acceso. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.
Roles de Microsoft Purview
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Rol de Microsoft Purview Grupos
- Protección de la información
- Administradores de Information Protection
- Investigadores de Information Protection
- Analistas de Information Protection
- Lectores de Information Protection
Roles de Microsoft 365
- Administradores de cumplimiento
- Administradores de seguridad
- Administradores de datos de cumplimiento
Rol de Microsoft 365 Grupos
- Administrador de cumplimiento
- Administrador de seguridad
- Lector de seguridad
Tipos de actividad
El Explorador de actividades recopila información de los registros de auditoría de varios orígenes de actividades.
Algunos ejemplos de las actividades de etiqueta de confidencialidad y las actividades de etiquetado de retención de aplicaciones nativas de Microsoft Office, el cliente y escáner de Microsoft Information Protection, SharePoint, Exchange (solo etiquetas de confidencialidad) y OneDrive incluyen:
- Etiqueta aplicada
- Etiqueta cambiada (actualizada, degradada o eliminada)
- Simulación de etiquetado automático
- Archivo leído
Para obtener la lista actual de actividades enumeradas en el Explorador de actividades, vaya al Explorador de actividades y abra el filtro de acitivity. La lista de actividades está disponible en la lista desplegable.
La actividad de etiquetado específica del cliente y el analizador de Microsoft Information Protection que entra en el explorador de actividad incluye:
- Protección aplicada
- Protección cambiada
- Protección eliminada
- Archivos detectados
Para obtener información más detallada sobre qué actividad de etiquetado la convierte en explorador de actividad, vea Eventos de etiquetado disponibles en el Explorador de actividad.
Además, con la prevención de pérdida de datos de punto de conexión (DLP), el explorador de actividades recopila eventos de coincidencias de directiva DLP de Exchange, SharePoint, OneDrive, Chat y canal de Teams, carpetas y bibliotecas locales de SharePoint, recursos compartidos de archivos locales y dispositivos que ejecutan Windows 10, Windows 11 y cualquiera de las tres versiones principales de macOS más recientes. Algunos eventos de ejemplo recopilados de Windows 10 dispositivos incluyen las siguientes acciones realizadas en archivos:
- Eliminación
- Creación
- Copiar en el portapapeles
- Modify
- Lectura
- Imprimir
- Cambiar nombre
- Copia en el recurso compartido de red
- Acceso mediante una aplicación no permitida
Comprender las acciones que se realizan en el contenido con etiquetas de confidencialidad le ayuda a determinar si los controles que tiene en su lugar, como las directivas de Prevención de pérdida de datos de Microsoft Purview, son eficaces. Si no es así, o si detecta algo inesperado (como un gran número de elementos etiquetados highly confidential
que se han degradado a general
), puede administrar las directivas y realizar nuevas acciones para restringir el comportamiento no deseado.
Nota:
El Explorador de actividades no supervisa actualmente las actividades de retención de Exchange.
Nota:
En caso de que el usuario notifique el veredicto DLP de Teams como falso positivo, la actividad se mostrará como información de DLPen la lista del explorador de actividad. La entrada no tendrá ningún detalle de coincidencia de reglas y directivas presente, pero mostrará valores sintéticos. Tampoco se generará ningún informe de incidentes para la generación de informes falsos positivos.
Alertas y eventos de tipo de actividad
En esta tabla se establecen los eventos que se desencadenan en el Explorador de actividad para tres configuraciones de directiva de ejemplo, en función de si se detecta o no una coincidencia de directiva.
Configuración de directiva | Evento del Explorador de actividad desencadenado para este tipo de acción | Evento del Explorador de actividad desencadenado cuando se coincide con una regla DLP | Alerta del Explorador de actividad desencadenada |
---|---|---|---|
La directiva contiene una sola regla que permite la actividad sin auditarla. | Yes | No | No |
La directiva contiene dos reglas: se permiten coincidencias para la regla 1; se auditan las coincidencias de directiva de la regla 2. | Yes (Solo regla 2) |
Yes (Solo regla 2) |
Yes (Solo regla 2) |
La directiva contiene dos reglas: las coincidencias de las dos reglas se permiten y no se auditan. | Yes | No | No |