Compartir vía


Introducción a las alertas de prevención de pérdida de datos

Las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) se pueden configurar para generar alertas cuando se cumplen las condiciones de una directiva.

Para obtener una breve introducción a las alertas, consulte:

En este artículo se incluyen los detalles de licencias y permisos y otra información crucial que necesita a medida que trabaja con alertas.

Las alertas DLP se pueden investigar y administrar en el panel de Microsoft Defender XDR y en el portal de cumplimiento Microsoft Purview. El panel de Microsoft Defender XDR es la ubicación recomendada para investigar y administrar alertas DLP. El portal de cumplimiento Microsoft Purview es la ubicación recomendada para crear y editar directivas DLP.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Tipo de alerta

Las alertas se pueden enviar cada vez que una actividad coincide con una regla, lo que puede ser ruidoso o puede agregarse en función del número de coincidencias o el volumen de elementos durante un período de tiempo establecido. Hay dos tipos de alertas que se pueden configurar en las directivas DLP.

Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización.

Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.

Antes de empezar

Antes de empezar, asegúrese de que tiene los requisitos previos necesarios:

Licencias para opciones de configuración de alertas

  • Configuración de alertas de evento único: las organizaciones que tienen una suscripción E1, F1 o G1 o una suscripción E3 o G3 pueden configurar directivas para generar una alerta cada vez que se produzca una actividad desencadenante.
  • Configuración de alerta agregada: para configurar directivas de alerta agregadas basadas en un umbral, debe tener cualquiera de las siguientes configuraciones:
    • Una suscripción a A5
    • Una suscripción A5 o G5
    • Una suscripción E1, F1 o G1 o una suscripción E3 o G3 que incluya una de las siguientes características:
      • Protección contra amenazas avanzada de Office 365 (plan 2)
      • Cumplimiento de Microsoft 365 E5
      • Licencia de complemento de auditoría y exhibición de documentos electrónicos de Microsoft 365

Los clientes que usan DLP de punto de conexión y que son aptos para DLP de Teams verán sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.

Roles y roles Grupos

Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad
  • Administrador de Information Protection
  • Analista de Information Protection
  • Investigador de protección de información
  • Lector de protección de información

Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview

Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

  • Protección de la información
  • Administradores de Information Protection
  • Analistas de Information Protection
  • Investigadores de Information Protection
  • Lectores de Information Protection

Para acceder al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de estos dos roles:

  • Administración de cumplimiento de DLP
  • View-Only administración de cumplimiento de DLP

Para acceder a la característica De vista previa de contenido y a las características de contenido confidencial y contexto coincidentes, debe ser miembro del grupo de roles Visor de contenido del Explorador de contenido , que tiene el rol Visor de contenido de clasificación de datos asignado previamente.

Sugerencia

Si el administrador requiere acceso a alertas, pero no a información contextual o confidencial, puede crear y asignar un rol personalizado que no incluya el permiso Visor de contenido de clasificación de datos.

Configuración de alertas DLP

Para obtener información sobre cómo configurar una alerta en la directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos. Hay diferentes experiencias de configuración de alertas en función de las licencias.

Nota:

Puede tardar hasta 3 horas en generar alertas después de configurar o modificar las alertas existentes en una directiva DLP.

Configuración de alertas de eventos agregados

Si tiene licencia para las opciones de configuración de alertas agregadas, verá estas opciones al crear o editar una directiva DLP.

Captura de pantalla que muestra las opciones de informes de incidentes para los usuarios que son aptos para las opciones de configuración de alerta agregada.

Esta configuración le permite configurar una directiva para generar una alerta:

  • cada vez que una actividad coincide con las condiciones de la directiva
  • cuando se cumple o se supera el umbral definido
  • en función del número de actividades
  • basado en el volumen de datos filtrados

Para evitar una avalancha de correos electrónicos de notificación, todas las coincidencias que se producen dentro de un período de tiempo de un minuto que son para la misma regla DLP y en la misma ubicación se agrupan en la misma alerta. La característica de período de tiempo de agregación de un minuto está disponible en:

  • Una suscripción A5 o G5
  • Una suscripción E1, F1 o G1 o una suscripción E3 o G3 que incluya una de las siguientes características:
    • Protección contra amenazas avanzada de Office 365 (plan 2)
    • Cumplimiento de Microsoft 365 E5
    • Licencia de complemento de auditoría y exhibición de documentos electrónicos de Microsoft 365

Para las organizaciones que tienen una suscripción E1, F1 o G1 o una suscripción E3 o G3, el período de tiempo de agregación es de 15 minutos.

Configuración de alertas de evento único

Si tiene licencia para las opciones de configuración de alertas de evento único, verá estas opciones al crear o editar una directiva DLP. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP.

Captura de pantalla que muestra las opciones de informes de incidentes para los usuarios que son aptos para las opciones de configuración de alertas de un solo evento.

Tipos de eventos

Estos son algunos de los eventos asociados a una alerta. En el panel Alerta, puede elegir un evento determinado para ver sus detalles.

Detalles del evento

Nombre de propiedad Descripción Tipos de eventos
Id. identificador único asociado al evento todos los eventos
Ubicación carga de trabajo donde se detectó el evento todos los eventos
tiempo de actividad hora de la actividad del usuario que coincidió con los criterios de la directiva DLP

Entidades afectadas

Nombre de propiedad Descripción Tipos de eventos
usuario usuario que realizó la acción que provocó la coincidencia de directiva todos los eventos
nombre de host nombre de host del equipo donde se produjo la coincidencia de directiva DLP eventos de dispositivo
Dirección IP Dirección IP del equipo donde se produjo la coincidencia de directiva DLP eventos de dispositivo
sha1 Hash SHA-1 del archivo eventos de dispositivo
sha256 Hash SHA-256 del archivo eventos de dispositivo
Id. de dispositivo MDATP id. MDATP del dispositivo de punto de conexión
tamaño de archivo tamaño del archivo Eventos de SharePoint, OneDrive y dispositivo
ruta de acceso del archivo la ruta de acceso absoluta del elemento implicado en la coincidencia de directiva DLP Eventos de SharePoint, OneDrive y dispositivos
destinatarios de correo electrónico si un correo electrónico era el elemento confidencial que coincidía con la directiva DLP, este campo incluye a los destinatarios de ese correo electrónico. Eventos de Exchange
asunto del correo electrónico asunto del correo electrónico que coincidió con la directiva DLP Eventos de Exchange
datos adjuntos de correo electrónico nombres de los datos adjuntos del correo electrónico que coincidieron con la directiva DLP Eventos de Exchange
propietario del sitio nombre del propietario del sitio Eventos de SharePoint y OneDrive
dirección URL del sitio lleno de la dirección URL del sitio de SharePoint o OneDrive donde se produjo la coincidencia de directiva DLP Eventos de SharePoint y OneDrive
archivo creado hora de creación del archivo que coincidió con la directiva DLP Eventos de SharePoint y OneDrive
archivo modificado por última vez la última vez que se cambió el archivo que coincidía con la directiva DLP Eventos de SharePoint y OneDrive
tamaño de archivo tamaño del archivo que coincidió con la directiva DLP Eventos de SharePoint y OneDrive
propietario del archivo propietario del archivo que coincidió con la directiva DLP Eventos de SharePoint y OneDrive

Detalles de la directiva

Nombre de propiedad Descripción Tipos de eventos
Directiva DLP coincidente nombre de la directiva DLP coincidente todos los eventos
regla coincidente nombre de la regla de directiva DLP coincidente todos los eventos
tipos de información confidencial (SIT) detectados SIT que se detectaron como parte de la coincidencia de directiva DLP todos los eventos
acciones realizadas acciones que se realizaron que provocaron la coincidencia de la directiva DLP todos los eventos
violación de la acción acción en el dispositivo de punto de conexión que generó la alerta DLP eventos de dispositivo
directiva de superada por el usuario el usuario invalidó la directiva a través de una sugerencia de directiva todos los eventos
usar justificación de invalidación el texto de la razón proporcionada por el usuario para la invalidación todos los eventos

Importante

Los controles de configuración de la directiva de retención de registros de auditoría de su organización durante cuánto tiempo permanece visible una alerta en la consola. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.

Recursos adicionales