Mitigación dinámica de los riesgos con Protección adaptativa

Importante

La Administración de riesgos internos de Microsoft Purview pone en correlación varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.

La protección adaptable en Microsoft Purview usa el aprendizaje automático para identificar los riesgos más críticos y aplicar de forma proactiva y dinámica controles de protección de:

• Prevención de pérdida de datos de Microsoft Purview (DLP)
• Administración del ciclo de vida de datos de Microsoft Purview (versión preliminar)
• Acceso condicional de Microsoft Entra (versión preliminar)

La integración con la prevención de pérdida de datos, la administración del ciclo de vida de los datos y el acceso condicional puede ayudar a las organizaciones a automatizar su respuesta a los riesgos internos y reducir el tiempo necesario para identificar y corregir posibles amenazas. Al aprovechar las capacidades de las cuatro soluciones, las organizaciones pueden crear un marco de seguridad más completo que aborde las amenazas internas y externas.

Importante

Para obtener información sobre los requisitos de licencia para usar la protección adaptable con prevención de pérdida de datos, administración del ciclo de vida de datos y acceso condicional, consulte Microsoft 365, Office 365, Enterprise Mobility + Security y suscripciones de Windows 11.

La protección adaptable ayuda a mitigar los posibles riesgos mediante el uso de:

• Detección con reconocimiento de contexto. Ayuda a identificar los riesgos más críticos con el análisis controlado por ML del contenido y las actividades del usuario.
• Controles dinámicos. Ayuda a aplicar controles eficaces a los usuarios de alto riesgo, mientras que otros mantienen la productividad.
• Mitigación automatizada. Ayuda a minimizar el impacto de posibles incidentes de seguridad de datos y a reducir la sobrecarga de administración.

La protección adaptable asigna dinámicamente directivas adecuadas de prevención de pérdida de datos, administración del ciclo de vida de los datos y acceso condicional a los usuarios en función de los niveles de riesgo interno definidos y analizados por los modelos de aprendizaje automático en la administración de riesgos internos. Las directivas se adaptan en función del contexto del usuario, lo que garantiza que la directiva más eficaz, como el bloqueo del uso compartido de datos mediante la prevención de pérdida de datos o el bloqueo del acceso a las aplicaciones a través del acceso condicional, solo se aplica a los usuarios de alto riesgo, mientras que los usuarios de bajo riesgo mantienen la productividad. La prevención de pérdida de datos y los controles de directiva de acceso condicional se ajustan constantemente, por lo que cuando cambia el nivel de riesgo interno de un usuario, se aplica dinámicamente una directiva adecuada para que coincida con el nuevo nivel de riesgo interno. En el caso de la administración del ciclo de vida de los datos, la administración de riesgos internos detecta el Nivel de riesgo elevado de los usuarios y conserva sus datos eliminados durante 120 días mediante una directiva de etiqueta de retención de administración del ciclo de vida de datos creada automáticamente.

Importante

La administración de riesgos internos está disponible actualmente en inquilinos hospedados en regiones geográficas y países compatibles con las dependencias del servicio de Azure. Para comprobar que la solución de administración de riesgos internos es compatible con su organización, consulte Disponibilidad de dependencias de Azure por país o región. La administración de riesgos internos está disponible para nubes comerciales, pero no está disponible para los programas en la nube de la Administración Pública de Estados Unidos en este momento.

Vea el siguiente vídeo para ver un resumen de cómo Adaptive Protection puede ayudar a identificar y mitigar los riesgos más críticos de su organización:

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Niveles de riesgo interno y controles preventivos

Con la Protección Adaptativa, los administradores pueden configurar los factores de riesgo o las actividades para los niveles de riesgo internos personalizables en función de las necesidades de su organización. Los niveles de riesgo internos para la Protección adaptativa se actualizan de forma continua y automática en función de los factores de riesgo y la información de los usuarios, por lo que cuando los riesgos de seguridad de los datos de los usuarios aumentan o disminuyen, sus niveles de riesgo internos se ajustan en consecuencia. En función de los niveles de riesgo internos, las directivas de prevención de pérdida de datos y las directivas de acceso condicional aplican automáticamente el nivel correcto de controles preventivos configurados por los administradores (como bloquear, bloquear con invalidación, o advertencia).

Sugerencia

Los niveles de riesgo interno en la Protección adaptativa son diferentes de niveles de gravedad de alerta que se asignan a los usuarios de administración de riesgos internos en función de la actividad detectada en las directivas de administración de riesgos internos.

• Los niveles de riesgo interno (Elevado, Moderado o Menor), como se describe en este artículo, son una medida de riesgo determinada por condiciones definidas por el administrador, como el número de actividades de filtración que los usuarios realizan en un día o si su actividad generó una alerta de riesgo interno de gravedad alta.
• Los niveles de gravedad de alerta (Bajo, Medio o Alto) se asignan a los usuarios en función de la actividad detectada en las directivas de administración de riesgos internos. Estos niveles se calculan en función de las puntuaciones de riesgo de alerta asignadas a todas las alertas activas asociadas al usuario. Estos niveles ayudan a los analistas de riesgos internos y a los investigadores a priorizar y responder a la actividad de los usuarios en consecuencia.

Para la administración del ciclo de vida de datos, la directiva de administración del ciclo de vida de datos supervisa a los usuarios a los que se asigna un Nivel de riesgo elevado por la Protección adaptativa de administración de riesgos internos. Cuando un usuario de riesgo elimina cualquier contenido de SharePoint, OneDrive o Exchange Online, el contenido se conserva automáticamente durante 120 días. Los administradores pueden ponerse en contacto con el soporte técnico de Microsoft para restaurar cualquier contenido conservado.

Según la directiva de administración de riesgos internos asignada en la Protección adaptativa, se usan diferentes criterios (usuarios, grupos, indicadores, umbrales, etc.) para determinar los niveles de riesgo internos aplicables. Los niveles de riesgo interno se basan en la información del usuario, no solo en el número de instancias de actividades de usuario específicas. Insights es un cálculo del número agregado de actividades y el nivel de gravedad de estas actividades.

Por ejemplo, los niveles de riesgo interno para el usuario A no se determinarían mediante el usuario A que realiza una actividad potencialmente arriesgada más de tres veces. Los niveles de riesgo interno para el usuario A se determinarían mediante una conclusión del número agregado de actividades y las puntuaciones de riesgo se asignarían a la actividad en función de los umbrales configurados en la directiva seleccionada.

Niveles de riesgo interno

Los niveles de riesgo interno en la Protección adaptativa definen el nivel de riesgo de la actividad de un usuario y se pueden basar en criterios como el número de actividades de filtración que realizaron o si su actividad generó una alerta de riesgo interno de gravedad alta. Estos niveles de riesgo interno tienen definiciones de nivel de riesgo interno integradas, pero estas definiciones se pueden personalizar según sea necesario:

• Nivel de riesgo elevado: Este es el nivel de riesgo interno más alto. Incluye definiciones integradas para usuarios con alertas de gravedad alta, usuarios con al menos tres conclusiones de secuencia que tienen una alerta de gravedad alta para actividades de riesgo específicas o una o varias alertas de gravedad alta confirmadas.
• Nivel de riesgo moderado: El nivel de riesgo interno medio incluye definiciones integradas para usuarios con alertas de gravedad media o usuarios con al menos dos actividades de filtración de datos con puntuaciones de gravedad alta.
• Nivel de riesgo menor: El nivel de riesgo interno más bajo incluye definiciones integradas para usuarios con alertas de gravedad baja o usuarios con al menos una actividad de filtración de datos con una puntuación de gravedad alta.

Para asignar un nivel de riesgo interno a un usuario, el número de conclusiones y la gravedad asignadas a la actividad deben coincidir con la definición del nivel de riesgo interno. El número de actividades para una información puede ser una sola actividad o varias actividades que se acumulan en la información única. El número de conclusiones se evalúa para la definición del nivel de riesgo interno, no el número de actividades contenidas en una conclusión.

Por ejemplo, supongamos que las condiciones de la directiva de administración de riesgos internos asignada a la Protección adaptativa tienen como ámbito identificar descargas de sitios de SharePoint en su organización. Si la directiva detecta que un usuario descargó 10 archivos de un sitio de SharePoint en un solo día que se determina que son de gravedad alta, esto contaría como una sola información que consta de 10 eventos de actividad. Para que esta actividad sea apta para asignar un Nivel de riesgo elevado al usuario, se necesitarían dos conclusiones adicionales (con gravedad alta) para el usuario. La información adicional puede contener o no una o varias actividades.

Personalización de los niveles de riesgo interno

Los niveles de riesgo interno personalizados le permiten crear niveles de riesgo interno en función de las necesidades de su organización. Puede personalizar los criterios en los que se basa el nivel de riesgo interno y, a continuación, definir condiciones para controlar cuándo se asigna el nivel de riesgo interno a los usuarios.

Considere los siguientes ejemplos para usar la Protección adaptativa junto con la prevención de pérdida de datos, la administración del ciclo de vida de los datos y las directivas de acceso condicional.

• Directivas de prevención de pérdida de datos:
  • Permitir que los usuarios con el Nivel de riesgo menor o Nivel de riesgo medio reciban sugerencias de directiva y educación sobre procedimientos recomendados de tratamiento de datos confidenciales. De este modo, puede influir en los cambios de comportamiento positivos a lo largo del tiempo y reducir los riesgos de los datos de la organización.
  • Impedir que los usuarios con el Nivel de riesgo elevado guarden o compartan datos confidenciales para minimizar el impacto de posibles incidentes de datos.
• Directiva de administración del ciclo de vida de datos:
  • Conservar cualquier contenido de SharePoint, OneDrive o Exchange Online eliminado por un usuario de riesgo durante 120 días. En este caso, un usuario de riesgo es un usuario al que la Protección adaptativa ha asignado el Nivel de riesgo elevado.
• Directivas de acceso condicional:
  • Requerir Nivel de riesgo menor que los usuarios reconozcan los Términos de uso antes de usar una aplicación.
  • Impedir que Nivel de riesgo medio los usuarios accedan a determinadas aplicaciones.
  • Bloquear completamente Nivel de riesgo elevado que los usuarios usen cualquier aplicación. Más información sobre las directivas de acceso condicional que se aplican habitualmente

Condiciones y criterios de nivel de riesgo interno

La personalización de condiciones y criterios de nivel de riesgo interno se puede basar en las siguientes áreas:

• Alertas generadas o confirmadas para un usuario: Esta opción le permite elegir condiciones según elnivel de gravedad de las alertas que se generan o confirman para un usuario para la directiva de administración de riesgos internos seleccionada. Las condiciones de las alertas no son aditivas y el nivel de riesgo interno se asigna a un usuario si se cumple una de las condiciones.
• Actividad de usuario específica: Esta opción le permite elegir las condiciones para que la actividad detecte, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior (opcional). Las condiciones para la actividad del usuario son aditivas y el nivel de riesgo interno se asigna a un usuario solo si se cumplen todas las condiciones.

Detección de actividad anterior

Esta configuración de nivel de riesgo interno determina el número de días que la Protección adaptativa examina para detectar si un usuario cumple las condiciones definidas por cualquiera de los niveles de riesgo internos. La configuración predeterminada es de 7 días, pero puede elegir entre 5 y 30 días de actividad anterior para aplicar condiciones de nivel de riesgo interno. Esta configuración solo se aplica a los niveles de riesgo internos que se basan en la actividad diaria de un usuario y excluye los niveles de riesgo internos en función de las alertas.

En el ejemplo siguiente se muestra cómo interactúan la configuración de detección de actividad pasada y los niveles de riesgo interno para determinar si la actividad pasada de un usuario está dentro del ámbito:

• Configuración de Nivel de riesgo elevado: El usuario realiza al menos tres secuencias, cada una con una puntuación de riesgo de gravedad alta de (67 a 100)
• Configuración de Detección de actividad anterior: 3 días

Actividad de usuario	Actividad dentro del ámbito de nivel de riesgo interno
El usuario tiene 1 secuencia de gravedad alta cada día el Día T-3, T-2, T-1	Yes
El usuario tiene 3 secuencias de gravedad alta en el Día T-3	Yes
El usuario tiene 1 secuencia de gravedad alta en el Día T-4 y 2 secuencias de gravedad alta en el Día T-3	No

Período de tiempo de nivel de riesgo interno

Esta configuración de nivel de riesgo interno determina cuánto tiempo permanece asignado un nivel de riesgo interno a un usuario antes de que se restablezca automáticamente. La configuración predeterminada es de 7 días, pero puede elegir entre 5 y 30 días antes de restablecer el nivel de riesgo interno de un usuario.

Los niveles de riesgo interno también se restablecen para un usuario cuando:

• Se descarta la alerta asociada para el usuario.
• Se resuelve el caso asociado para el usuario.
• La fecha de finalización del nivel de riesgo interno ha expirado manualmente.

Nota:

Si a un usuario se le asigna actualmente un nivel de riesgo interno y ese usuario vuelve a cumplir los criterios para ese nivel de riesgo interno, el período de tiempo del nivel de riesgo interno se amplía durante el número definido de días para el usuario.

Opciones de expiración de nivel de riesgo

Cuando esta opción está habilitada (está habilitada de forma predeterminada), los niveles de riesgo de Protección adaptativa para un usuario expiran automáticamente cuando se descarta la alerta asociada para un usuario o se cierra el caso asociado para el usuario. Si desea mantener el nivel de riesgo de Protección adaptativa para un usuario incluso si se descarta la alerta o se cierra el caso, deshabilite la opción.

Permisos para Protección adaptativa

Importante

Para obtener información sobre los requisitos de licencia para usar la protección adaptable con prevención de pérdida de datos, administración del ciclo de vida de datos y acceso condicional, consulte Microsoft 365, Office 365, Enterprise Mobility + Security y suscripciones de Windows 11.

En función de cómo use los grupos de roles integrados de administración de riesgos internos y los grupos de roles para la prevención de pérdida de datos o el acceso condicional, es posible que tenga que actualizar permisos para administradores, analistas e investigadores de su organización.

En la tabla siguiente se describen los permisos necesarios para tareas específicas de Protección adaptativa.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol de administrador global ayuda a mejorar la seguridad de su organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.

Tarea	Grupo de roles necesario
Configuración de la Protección adaptativa y actualización	Administración de riesgos internos o Administradores de administración de riesgos internos
Creación y administración de directivas de prevención de pérdida de datos con la condición de Protección adaptativa	Uno de los siguientes: Administrador de cumplimiento, Administrador de datos de cumplimiento, Administración de cumplimiento DLP, Administrador global
Creación y administración de directivas de acceso condicional con la condición de protección adaptable	Uno de los siguientes: Administrador global, Administrador de acceso condicional, Administrador de seguridad
Ver detalles sobre los niveles de riesgo interno asignados a los usuarios	Administración de riesgos internos, Analistas de administración de riesgos internos, o Investigadores de administración de riesgos internos

Importante

Las cuatro categorías de grupos de roles corresponden a las siguientes pestañas de la página Protección adaptativa: Niveles de riesgo internos, Niveles de riesgo internos asignados por los usuarios, Prevención de pérdida de datos, Acceso condicional. Si no está asignado al grupo de roles adecuado, la pestaña no aparecerá en la página Protección adaptativa.

Más información sobre los grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview

Configurar la Protección adaptativa

En función de las necesidades de su organización o de dónde esté configurado actualmente con la administración de riesgos internos, la prevención de pérdida de datos, la administración del ciclo de vida de los datos y el acceso condicional, tiene dos opciones para empezar a usar la Protección adaptativa:

• Configuración rápida
• Configuración personalizada

Configuración rápida

La opción de configuración rápida es la forma más rápida de empezar a trabajar con la Protección adaptativa. Con esta opción, no necesita ninguna administración previa de riesgos internos, prevención de pérdida de datos, administración del ciclo de vida de datos o directivas de acceso condicional, y no es necesario configurar previamente ninguna configuración o característica. Si su organización no tiene una suscripción o licencia actual que admita la administración de riesgos internos, la prevención de pérdida de datos o la administración del ciclo de vida de los datos, regístrese para obtener una Prueba de soluciones de cumplimiento y riesgos de Microsoft Purview antes de iniciar el proceso de configuración rápida. También puede Registrarse para obtener una versión de prueba de Microsoft Entra para el Acceso condicional.

Para comenzar, seleccione Activar la Protección adaptativa en las tarjetas de Protección adaptativa en la página principal de Microsoft Purview portal o en la página de información general de prevención de pérdida de datos. También puede comenzar a trabajar con el proceso de configuración rápida yendo a Administración de riesgos internos>Protección adaptativa>Panel>Configuración rápida.

Nota:

Si ya es un administrador con ámbito de Microsoft Purview, no puede activar la configuración rápida.

Esto es lo que se configura al usar el proceso de configuración rápida de la Protección adaptativa:

Área	Configuración
Configuración de riesgo interno (si aún no está configurada)	- Privacidad: Mostrar versiones anónimas de nombres de usuario. Nota: Los nombres de usuario no se anonimizan en el acceso condicional ni en la prevención de pérdida de datos. - Períodos de tiempo de directiva: Valores predeterminados - Indicadores de directiva: Un subconjunto de indicadores de Office (puede verlos en la configuración de administración de riesgos internos) - Refuerzos de puntuación de riesgo: Todos - Detecciones inteligentes: Volumen de alerta = Volumen predeterminado - Análisis: Activado - Notificaciones de administrador: Enviar un correo electrónico de notificación cuando se genere la primera alerta a todos
Configuración de riesgo interno (si ya está configurada)	- Indicadores de directiva: Los indicadores de Office aún no están configurados (puede verlos en la configuración de administración de riesgos internos) - Todas las demás opciones configuradas previamente no se actualizan ni cambian. - Análisis: Activado (los umbrales para desencadenar eventos en las directivas son la configuración predeterminada determinada por Recomendaciones de Análisis)
Una nueva directiva de riesgo interno	- Plantilla de directiva: Pérdidas de datos - Nombre de directiva: Directiva de Protección adaptativa para la administración de riesgos internos - Ámbito de directiva para usuarios y grupos: Todos los usuarios y grupos - Contenido prioritario: Ninguno - Desencadenando eventos: Eventos de filtración seleccionados (puede verlos en la configuración de administración de riesgos internos) - Indicadores de directiva: Un subconjunto de indicadores de Office (puede verlos en la configuración de administración de riesgos internos) - Refuerzos de puntuación de riesgo: La actividad está por encima de la actividad habitual del usuario para ese día
Niveles de riesgo interno de Protección adaptativa	- Nivel de riesgo elevado: Los usuarios deben tener al menos tres secuencias de filtración de gravedad alta - Nivel de riesgo moderado: Los usuarios deben tener al menos dos actividades de gravedad alta (excepto algunos tipos de descargas) - Nivel de riesgo menor: Los usuarios deben tener al menos una actividad de gravedad alta (excepto algunos tipos de descargas)
Dos nuevas directivas de prevención de pérdida de datos	Directiva de Protección adaptativa para DLP de punto de conexión Regla de - Nivel de riesgo elevado: Bloqueado Regla de - Moderado/Nivel de riesgo menor: Auditoría - La directiva se inicia en modo de prueba (solo auditoría) Directiva de Protección adaptativa para Teams y DLP de Exchange Regla de - Nivel de riesgo elevado: Bloqueado Reglas de - Moderado/Nivel de riesgo menor: Auditoría - La directiva se inicia en modo de prueba (solo auditoría)
Nueva directiva de administración del ciclo de vida de los datos	Una directiva de etiqueta de aplicación automática para toda la organización que supervisa los usuarios asignados al Nivel de riesgo elevado. Cualquier contenido de SharePoint, OneDrive o Exchange Online eliminado por un usuario de riesgo se conserva durante 120 días. Si aún no ha activado la Protección adaptativa, la directiva se crea y aplica automáticamente al activar la Protección adaptativa. Si ya ha activado la Protección adaptativa, tendrá que participar explícitamente en la directiva de administración del ciclo de vida de los datos que se crea automáticamente.
Nueva directiva de acceso condicional (creada en modo de solo informe para que los usuarios no se bloqueen)	1-Bloquear el acceso para los usuarios con Riesgo interno (versión preliminar) - Usuarios incluidos: Todos los usuarios - Usuarios externos o invitados excluidos: Usuario de B2bDirectConnect; OtherExternalUser; ServiceProvider - Aplicaciones en la nube: Aplicaciones de Office 365 - Niveles de riesgo interno: Elevados - Bloquear acceso: Seleccionado

Una vez iniciado el proceso de configuración rápida, pueden pasar hasta 72 horas antes de que se completen los análisis, se creen la administración de riesgos internos asociada, la prevención de pérdida de datos, la administración del ciclo de vida de los datos y las directivas de acceso condicional, y puede esperar ver los niveles de riesgo internos de Protección adaptativa, la prevención de pérdida de datos, la administración del ciclo de vida de los datos y las acciones de acceso condicional aplicadas a las actividades de usuario aplicables. Los administradores reciben un correo electrónico de notificación una vez completado el proceso de configuración rápida.

Configuración personalizada

La opción de configuración personalizada le permite personalizar la directiva de administración de riesgos internos, los niveles de riesgo interno y las directivas de prevención de pérdida de datos y acceso condicional configuradas para la Protección adaptativa.

Nota:

Para la administración del ciclo de vida de los datos, si aún no ha activado la Protección adaptativa, la directiva se crea y aplica automáticamente al activar la Protección adaptativa. Si ya ha activado la Protección adaptativa para su organización, tendrá que Participar explícitamente para aplicar la directiva de administración del ciclo de vida de los datos que se crea automáticamente.

Esta opción también permite configurar estos elementos antes de habilitar realmente las conexiones de Protección adaptativa entre la administración de riesgos internos y la prevención de pérdida de datos. En la mayoría de los casos, esta opción la deben usar las organizaciones que ya tienen directivas de administración de riesgos internos o de prevención de pérdida de datos.

Complete los pasos siguientes para configurar la Protección adaptativa mediante la configuración personalizada.

Paso 1: Creación de una directiva de administración de riesgos internos

Los niveles de riesgo interno se asignan a los usuarios cuando una directiva asignada en la Protección adaptativa detecta la actividad del usuario o genera alertas que coinciden con las condiciones de nivel de riesgo interno que defina en el paso siguiente. Si no desea usar una directiva de administración de riesgos internos existente (seleccionada en el paso 2), debe crear una nueva directiva de administración de riesgos internos. La directiva de administración de riesgos internos para Protección adaptativa debe incluir:

• Usuarios cuya actividad desea detectar. Pueden ser todos los usuarios y grupos de la organización o solo un subconjunto para escenarios específicos de mitigación de riesgos o propósitos de prueba.
• Actividades que considere umbrales de riesgo y personalizados que influyen en la puntuación de riesgo de una actividad. Las actividades de riesgo pueden incluir enviar correos electrónicos a personas ajenas a la organización o copiar archivos en dispositivos USB.

Seleccione Crear directiva de riesgo interno para iniciar el asistente para nueva directiva. La plantilla de directiva Pérdidas de datos se selecciona automáticamente en el asistente, pero puede seleccionar cualquier plantilla de directiva.

Importante

Según la plantilla de directiva seleccionada, es posible que tenga que configurar configuración adicional para que la directiva detecte correctamente actividades potencialmente arriesgadas y cree alertas aplicables.

Paso 2: Configurar valores de nivel de riesgo interno

Seleccione la pestaña Niveles de riesgo interno. Para empezar, seleccione la directiva de administración de riesgos internos que desea usar para la protección adaptable. Puede ser la nueva directiva que creó en el paso 1 o una directiva existente o directivas que ya ha configurado.

A continuación, acepte las condiciones de nivel de riesgo interno integradas aplicables o cree las suyas propias. Según el tipo de directiva que haya seleccionado, las condiciones de nivel de riesgo interno reflejarán las condiciones aplicables asociadas a los indicadores y actividades que haya configurado en la directiva.

Por ejemplo, si ha elegido una directiva basada en la plantilla de directiva de Pérdida de datos, las opciones de condición de nivel de riesgo interno integradas se aplicarán a los indicadores y actividades disponibles en esa directiva. Si ha seleccionado una directiva basada en la plantilla de directiva deInfracciones de directivas de seguridad, las condiciones de nivel de riesgo interno integradas se limitan automáticamente a los indicadores y actividades disponibles en esa directiva.

Personalizar un nivel de riesgo interno para la directiva

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.

2. Vaya a la solución de Administración de riesgos internos.

3. Seleccione Protección adaptativa en el panel de navegación izquierdo y, a continuación, seleccione Niveles de riesgo interno.

4. En la página Niveles de riesgo interno, seleccione Editar para el nivel de riesgo interno que quiera personalizar (Elevado, Moderado, o Menor).

5. En el panel nivel de riesgo interno personalizado, seleccione una opción en la sección nivel de riesgo interno en función de:

   • Alerta generada o confirmada para un usuario
   • Actividad de usuario específica

6. Si seleccionó la opción Alerta generada o confirmada para un usuario, elija los niveles de gravedad de las alertas que se generan o confirman para un usuario que debe usar este nivel de riesgo interno. Puede mantener las condiciones Gravedad para las alertas generadas y la Gravedad de las alertas confirmadas o quitar una de estas condiciones si solo desea usar una. Si necesita volver a agregar una de estas condiciones, seleccione Agregar condición y, a continuación, seleccione la condición. Para cada condición, elija el nivel de gravedad que se debe aplicar a la condición (Alto, Medio, o Bajo). Si se cumple cualquiera de las condiciones, el nivel de riesgo interno se asigna a un usuario.

7. Si seleccionó la opción Actividad de usuario específica, elija la actividad que desea detectar, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior. Debe configurar las condiciones Actividades, Gravedad de la actividad, y lasRepeticiones de actividad durante la ventana de detección para este nivel de riesgo interno.

   Para la condición Actividades, las opciones que puede elegir se actualizan automáticamente para los tipos de actividades que ha definido con los indicadores configurados en la directiva asociada. Si es necesario, seleccione la casilla Asignar este nivel de riesgo interno a cualquier usuario que tenga una alerta futura confirmada, incluso si no se cumplen las condiciones anteriores. Si se cumplen todas las condiciones, el nivel de riesgo interno se asigna a un usuario.

   Para la condición Gravedad de la actividad, especifique el nivel de gravedad de las actividades incluidas en la información de actividad diaria. Las opciones son Alta, Media, y Baja, y se basan en intervalos de puntuación de riesgo.

   Para la condición Repeticiones de actividad durante la ventana de detección, especifique el número de veces que se deben detectar las actividades seleccionadas dentro del período de Detección de actividad anterior especificado. Este número no está relacionado con el número de eventos que pueden producirse para una actividad. Por ejemplo, si la directiva detecta que un usuario descargó 20 archivos de SharePoint en un día, cuenta como una información de actividad diaria que consta de 20 eventos.

8. Seleccione Confirmar para aplicar las condiciones personalizadas de nivel de riesgo interno.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador de su organización Microsoft 365.

2. Vaya a la solución de Administración de riesgos internos.

3. Seleccione la pestaña Protección adaptativa y, a continuación, seleccione Niveles de riesgo interno.

4. En la página Niveles de riesgo interno, seleccione Editar para el nivel de riesgo interno que quiera personalizar (Elevado, Moderado, o Menor).

5. En el panel nivel de riesgo interno personalizado, seleccione una opción en la sección nivel de riesgo interno en función de:

   • Alerta generada o confirmada para un usuario
   • Actividad de usuario específica

6. Si seleccionó la opción Alerta generada o confirmada para un usuario, elija los niveles de gravedad de las alertas que se generan o confirman para un usuario que debe usar este nivel de riesgo interno. Puede mantener las condiciones Gravedad para las alertas generadas y la Gravedad de las alertas confirmadas o quitar una de estas condiciones si solo desea usar una. Si necesita volver a agregar una de estas condiciones, seleccione Agregar condición y, a continuación, seleccione la condición. Para cada condición, elija el nivel de gravedad que se debe aplicar a la condición (Alto, Medio, o Bajo). Si se cumple cualquiera de las condiciones, el nivel de riesgo interno se asigna a un usuario.

7. Si seleccionó la opción Actividad de usuario específica, elija la actividad que desea detectar, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior. Debe configurar las condiciones Actividades, Gravedad de la actividad, y lasRepeticiones de actividad durante la ventana de detección para este nivel de riesgo interno.

   Para la condición Actividades, las opciones que puede elegir se actualizan automáticamente para los tipos de actividades que ha definido con los indicadores configurados en la directiva asociada. Si es necesario, active la casillaAsignar este nivel de riesgo a cualquier usuario que tenga una alerta futura confirmada, incluso si no se cumplen las condiciones anteriores. Si se cumplen todas de las condiciones, el nivel de riesgo interno se asigna a un usuario.

   Para la condición Gravedad de la actividad, especifique el nivel de gravedad de las actividades incluidas en la información de actividad diaria. Las opciones son Alta, Media, y Baja, y se basan en intervalos de puntuación de riesgo.

   Para la condición Repeticiones de actividad durante la ventana de detección, especifique el número de veces que se deben detectar las actividades seleccionadas dentro del período de Detección de actividad anterior especificado. Este número no está relacionado con el número de eventos que pueden producirse para una actividad. Por ejemplo, si la directiva detecta que un usuario descargó 20 archivos de SharePoint en un día, cuenta como una información de actividad diaria que consta de 20 eventos.

8. Seleccione Confirmar para aplicar las condiciones personalizadas de nivel de riesgo interno.

Cómo se asigna el nivel de riesgo interno si un usuario está en el ámbito de varias directivas

Si un usuario está en el ámbito de varias directivas, si recibe alertas de distintos niveles de gravedad, de forma predeterminada, al usuario se le asigna el nivel de gravedad más alto recibido. Por ejemplo, considere una directiva que asigna un Nivel de riesgo elevado si los usuarios reciben una alerta de gravedad alta. Si un usuario recibe una alerta de gravedad baja de la directiva 1, una alerta de gravedad media de la directiva 2 y una alerta de gravedad alta de la directiva 3, al usuario se le asigna un nivel de riesgo elevado, el nivel de gravedad de alerta más alto recibido.

Tenga en cuenta que las condiciones de nivel de riesgo interno deben estar presentes en las directivas seleccionadas para que se detecten. Por ejemplo, si selecciona la actividad Copiar en USB para asignar un Nivel de riesgo moderado, pero la actividad se selecciona en solo una de las tres directivas seleccionadas, solo la actividad de esa directiva asignará un Nivel de riesgo moderado para esa actividad.

Paso 3: Crear o editar una directiva de prevención de pérdida de datos

A continuación, cree una nueva directiva de prevención de pérdida de datos (o edite una directiva existente) para restringir las acciones de los usuarios que coincidan con las condiciones de nivel de riesgo interno en la Protección adaptativa. Use las siguientes directrices para la configuración de la directiva de prevención de pérdida de datos:

• Debe incluir la condición de Nivel de riesgo interno del usuario para la protección adaptable es en la directiva de prevención de pérdida de datos. Esta directiva de prevención de pérdida de datos puede incluir otras condiciones según sea necesario.
• Aunque puede incluir otras ubicaciones en la directiva de prevención de pérdida de datos, la Protección adaptativa actualmente solo admite Exchange, Microsoft Teams y dispositivos.

Seleccione Crear directiva para iniciar el Asistente para directivas de prevención de pérdida de datos y crear una nueva directiva de prevención de pérdida de datos. Si tiene una directiva de prevención de pérdida de datos existente que quiere configurar para la Protección adaptativa, vaya a Prevención de pérdida de datos>Directivas en el portal de cumplimiento y seleccione la directiva de prevención de pérdida de datos que desea actualizar para Protección adaptativa. Para obtener instrucciones sobre cómo configurar una nueva directiva de prevención de pérdida de datos o actualizar una directiva de prevención de pérdida de datos existente para Protección adaptativa, consulte Más información sobre la Protección adaptativa en la prevención de pérdida de datos: Configuración manual.

Sugerencia

Se recomienda probar la directiva de prevención de pérdida de datos (con sugerencias de directiva) para que pueda revisar las alertas de prevención de pérdida de datos para comprobar que la directiva funciona según lo esperado antes de habilitar la Protección adaptativa.

Paso 4: Crear o editar una directiva de acceso condicional

A continuación, cree una nueva directiva de acceso condicional (o edite una directiva existente) para restringir las acciones de los usuarios que coincidan con las condiciones de nivel de riesgo interno en la Protección adaptativa. Use las siguientes directrices para la configuración de la directiva de acceso condicional:

• En la página Acceso condicional en la que se controla el acceso en función de las señales de las condiciones, establezca la condición de Riesgo interno en Sí y, a continuación, seleccione un nivel de riesgo interno (Elevado, Moderado, o Menor). Este es el nivel de riesgo interno que los usuarios deben tener para que se aplique la directiva.

Seleccione Crear directivas para iniciar el Asistente para directivas de acceso condicional y crear una nueva directiva de acceso condicional. Si tiene una directiva de acceso condicional existente que desea configurar para la Protección adaptativa, vaya a Protección>Acceso condicional en el Centro de administración Microsoft Entra y seleccione la directiva de acceso condicional que desea actualizar para la Protección adaptativa. Para obtener instrucciones sobre cómo configurar una nueva directiva de acceso condicional o actualizar una directiva de acceso condicional existente para la Protección adaptativa, consulte Directiva de acceso condicional común: Directiva basada en riesgo interno.

Paso 5: Activar la Protección adaptativa

Una vez completados todos los pasos anteriores, estará listo para habilitar la Protección adaptativa. Al activar la Protección adaptativa:

• La directiva de administración de riesgos internos empieza a buscar actividad de usuario que coincida con las condiciones de nivel de riesgo interno. Si se detecta, los niveles de riesgo interno se asignan a los usuarios.
• Los usuarios a los que se les asignan niveles de riesgo interno aparecen en la pestaña Usuarios asignados a niveles de riesgo interno en la Protección adaptativa.
• La directiva de prevención de pérdida de datos aplica acciones de protección para cualquier usuario asignado a los niveles de riesgo interno incluidos en la directiva de prevención de pérdida de datos. La directiva de prevención de pérdida de datos se agrega a la pestaña Prevención de pérdida de datos en Protección adaptativa. Puede ver detalles sobre la directiva de prevención de pérdida de datos y editar las condiciones de la directiva desde el panel.
• La directiva de administración del ciclo de vida de los datos, que se crea automáticamente, aplica acciones de protección para cualquier usuario asignado a el Nivel de riesgo elevado. El siguiente mensaje aparece con un fondo verde en la pestaña Protección adaptativa para informar a los usuarios de que se está aplicando la conservación proactiva de datos: "Su organización también se protege dinámicamente de los usuarios que podrían eliminar datos críticos." El mensaje también proporciona un vínculo a la configuración de administración del ciclo de vida de los datos, donde puede desactivar la característica de conservación proactiva de datos, si lo desea.
• La directiva de acceso condicional aplica acciones de protección para cualquier usuario asignado a los niveles de riesgo interno incluidos en la directiva de acceso condicional. La directiva de acceso condicional se agrega a la pestaña Directivas de acceso condicional en Protección adaptativa. Puede ver detalles sobre la directiva de acceso condicional y editar las condiciones de la directiva desde el panel.

Para habilitar la Protección adaptativa, seleccione la pestaña Configuración de Protección adaptativa y, a continuación, active Protección adaptativa para Activar. Puede tardar hasta 36 horas antes de que pueda esperar ver los niveles de riesgo internos de Protección adaptativa y la prevención de pérdida de datos, la administración del ciclo de vida de los datos y las acciones de acceso condicional aplicadas a las actividades de usuario aplicables.

Vea el siguiente vídeo en el canal de Microsoft Mechanics para ver cómo la Protección adaptativa puede ajustar automáticamente la intensidad de la protección de datos en función de los niveles de riesgo interno de seguridad de datos calculados de los usuarios.

Administrar la Protección adaptativa

Una vez que haya habilitado la Protección adaptativa y se configuren la administración de riesgos internos, la prevención de pérdida de datos y las directivas de acceso condicional, tendrá acceso a información sobre las métricas de directiva, los usuarios en el ámbito actual y los niveles de riesgo interno actualmente en el ámbito.

Nota:

En este momento, las métricas de administración del ciclo de vida de los datos no aparecen en el panel. Pero sabrá si la conservación proactiva de datos está activada si ve el siguiente mensaje en la pestaña Protección adaptativa: "Su organización también se protege dinámicamente de los usuarios que podrían eliminar datos críticos".

Panel

Después de completar el proceso de configuración Rápida o Personalizada, la pestaña Panel de Protección adaptativa muestra widgets para obtener información resumida sobre los niveles de riesgo interno del usuario, las directivas de acceso condicional y las directivas de prevención de pérdida de datos.

• Usuarios asignados a niveles de riesgo interno: Muestra el número de usuarios para cada nivel de riesgo interno (Elevado, Moderado, y Menor).
• Directivas que usan niveles de riesgo internos: Muestra el estado de las directivas (No iniciada o Completar), el tipo de directiva (Acceso condicional o Prevención de pérdida de datos) y el número de directivas configuradas para cada tipo de directiva. Si no se ha configurado un tipo de directiva, seleccione Configuración rápida para configurar la directiva.

Usuarios asignados a niveles de riesgo interno

Los usuarios a los que se ha asignado un nivel de riesgo interno en Protección adaptativa aparecen en la pestaña Usuarios asignados a los niveles de riesgo interno. Puede revisar la siguiente información para cada usuario:

• Usuarios: Muestra el nombre de usuario. En el caso de las directivas de prevención de pérdida de datos, si la opción Mostrar versiones anónimas de nombres de usuario está seleccionada en la configuración de administración de riesgos internos, verá nombres de usuario anónimos. En el caso de las directivas de acceso condicional, los nombres de usuario no se anonimizan aunque la opción Mostrar versiones anónimas de nombres de usuario esté seleccionada.

  Importante

  Para mantener la integridad referencial, la anonimización de los nombres de usuario (si está activada) no se conserva para los usuarios de Protección adaptativa cuyas alertas o actividad aparezcan fuera de la administración de riesgos internos. Los nombres de usuario reales aparecerán en las alertas de prevención de pérdida de datos relacionadas y en el explorador de actividades.

• Nivel de riesgo interno: El nivel de riesgo interno actual asignado al usuario.

• Asignado al usuario: El número de días o meses transcurridos desde que se asignó un nivel de riesgo interno al usuario.

• Restablecimientos del nivel de riesgo interno: El número de días hasta que el nivel de riesgo interno se restablezca automáticamente para el usuario.

  Para restablecer manualmente el nivel de riesgo interno de un usuario, selecciónelo y, a continuación, seleccione Expire. A este usuario ya no se le asignará un nivel de riesgo interno. No se quitarán las alertas o los casos existentes para este usuario. Si este usuario se incluye en la directiva de administración de riesgos internos seleccionada, se volverá a asignar un nivel de riesgo interno si se detecta un evento desencadenante.

• Alertas activas: El número de alertas actuales de administración de riesgos internos para el usuario.

• Casos confirmados como infracción: El número de casos confirmados para el usuario.

• Caso: El nombre del caso.

Si es necesario, puede filtrar los usuarios por nivel de riesgo interno.

Para ver información detallada sobre el riesgo interno y la Protección adaptativa de un usuario específico, seleccione el usuario para abrir el panel de detalles del usuario. El panel de detalles contiene tres pestañas: Perfil de usuario, Actividad del usuario y Resumen de Protección adaptativa. Para obtener información sobre las pestañas Perfil de usuario y Actividad de usuario, consulte Ver detalles del usuario.

La pestaña Resumen de Protección adaptativa agrega información en cuatro secciones:

• Protección adaptativa: En esta sección se muestra información sobre el Nivel de riesgo actual, Nivel de riesgo asignado en, y Nivel de riesgo restablecido en para el usuario.
• Directivas de prevención de pérdida de datos en el ámbito (dinámico): En esta sección se muestran todas las directivas de prevención de pérdida de datos actualmente en el ámbito del usuario y la fecha de inicio y finalización de la directiva. Esto se basa en el nivel de riesgo interno para la configuración de la directiva de prevención de pérdida de datos y usuarios para los niveles de riesgo internos. Por ejemplo, si un usuario tiene actividades que se han definido como Nivel de riesgo elevado para las directivas de administración de riesgos internos y dos directivas de prevención de pérdida de datos se configuran con la condición deNivel de riesgo elevado, estas dos directivas de prevención de pérdida de datos se mostrarán aquí para el usuario.
• Directivas de acceso condicional en el ámbito (dinámico): En esta sección se muestran todas las directivas de acceso condicional actualmente en el ámbito del usuario y la fecha de inicio y finalización de la directiva. Esto se basa en el nivel de riesgo interno para la configuración de directiva de acceso condicional y usuario para los niveles de riesgo internos. Por ejemplo, si un usuario tiene actividades que se han definido como Nivel de riesgo elevado para las directivas de administración de riesgos internos y se configura una directiva de Acceso condicional con la condición Nivel de riesgo elevado, la directiva de Acceso condicional se mostrará aquí para el usuario.
• Directiva de riesgos internos para la Protección adaptativa: En esta sección se muestra cualquier directiva de administración de riesgos internos en la que el usuario está actualmente dentro del ámbito.

Directivas de acceso condicional

La página Directivas de acceso condicional muestra todas las directivas de Acceso condicional que usan la condición de Riesgo interno. Puede revisar la siguiente información para cada directiva:

• Nombre de directiva: El nombre de la directiva de Acceso condicional.
• Estado de la directiva: El estado actual de la directiva. Los valores son Activo o Inactivo.
• Niveles de riesgo interno: Los niveles de riesgo interno incluidos en la directiva de Acceso condicional mediante la condición de Riesgo interno. Las opciones son Elevado, Moderado, o Menor.
• Estado de la directiva: El estado actual de la directiva de Acceso condicional. Las opciones son Activado o Probar con notificaciones.
• Creado el: La fecha en que se creó la directiva de Acceso condicional.
• Última modificación: La fecha en que se editó por última vez la directiva condicional.

Directivas de prevención de pérdida de datos

La página Directivas de prevención de pérdida de datos muestra todas las directivas de prevención de pérdida de datos que usan el Nivel de riesgo interno del usuario para la Protección adaptativa. Puede revisar la siguiente información para cada directiva:

• Nombre de directiva: El nombre de la directiva de prevención de pérdida de datos.
• Estado de la directiva: El estado actual de la directiva. Los valores son Activo o Inactivo.
• Ubicación de la directiva: Las ubicaciones incluidas en la directiva de prevención de pérdida de datos. Actualmente, Protección adaptativa admite Exchange, Teams y Dispositivos.
• Niveles de riesgo interno: Los niveles de riesgo interno incluidos en la directiva de prevención de pérdida de datos que usa la condición Nivel de riesgo interno para la Protección adaptativa es. Las opciones son Elevado, Moderado, o Menor.
• Estado de la directiva: El estado actual de la directiva de prevención de pérdida de datos. Las opciones son Activado o Probar con notificaciones.
• Creado: La fecha en que se creó la directiva de prevención de pérdida de datos.
• Última modificación: La fecha en que se editó por última vez la directiva de prevención de pérdida de datos.

Ajuste de la configuración de nivel de riesgo interno

Después de revisar los usuarios con niveles de riesgo interno, es posible que encuentre que tiene demasiados o muy pocos usuarios a los que se les asigna un nivel de riesgo interno. Puede usar dos métodos para ajustar las configuraciones de directiva con el fin de reducir o aumentar el número de usuarios a los que se asignan niveles de riesgo interno:

• Modificar la configuración de nivel de riesgo interno. Puede ajustar los umbrales para asignar un nivel de riesgo interno a un usuario:
  • Aumente o disminuya la gravedad de la actividad necesaria para asignar un nivel de riesgo interno. Por ejemplo, si ve muy pocos usuarios con niveles de riesgo interno, puede reducir la actividad o la gravedad de la alerta.
  • Si el nivel de riesgo interno se basa en una actividad de usuario específica, aumente o disminuya las repeticiones de actividad durante la ventana de detección. Por ejemplo, si ve muy pocos usuarios con niveles de riesgo interno, puede reducir las repeticiones de la actividad.
  • Cambiar en qué se basa el nivel de riesgo interno. Por ejemplo, si ve demasiados usuarios con niveles de riesgo interno, para reducir el número de usuarios, podría asignar un nivel de riesgo interno solo si se confirma la alerta.
• Modificar umbrales de directiva. Dado que los niveles de riesgo interno se asignan en función de las detecciones de directivas, también puede modificar la directiva, lo que a su vez cambiará los requisitos para asignar un nivel de riesgo interno. Puede modificar una directiva aumentando o reduciendo los umbrales de directiva que conducen a alertas y actividades de gravedad alta, media o baja.

Deshabilitar la Protección adaptativa

Puede haber ciertos escenarios en los que es posible que deba deshabilitar la Protección adaptativa temporalmente. Para deshabilitar la Protección adaptativa, seleccione la pestaña Configuración de Protección adaptativa y desactive la Protección adaptativa a Desactivado.

Si la Protección adaptativa está desactivada después de haber estado activada y activa, los niveles de riesgo interno dejarán de asignarse a los usuarios y se compartirán con la prevención de pérdida de datos, la administración del ciclo de vida de los datos y el acceso condicional, y se restablecerán todos los niveles de riesgo interno existentes para los usuarios. Después de desactivar la Protección adaptativa, puede tardar hasta 6 horas en dejar de asignar niveles de riesgo internos a la actividad del usuario y restablecerlos todos. La administración de riesgos internos, la prevención de pérdida de datos, la administración del ciclo de vida de los datos y las directivas de acceso condicional no se eliminan automáticamente.

Nota:

Puede optar por no participar en la protección de administración del ciclo de vida de los datos sin deshabilitar la Protección adaptativa de administración de riesgos internos desactivando la configuración de Protección adaptativa en administración del ciclo de vida de los datos en administración del ciclo de vida de los datos. Si desactiva esta opción, se elimina la directiva de administración del ciclo de vida de los datos. La configuración no se volverá a habilitar a menos que la vuelva a activar. Obtenga más información sobre la configuración de Protección adaptativa en administración del ciclo de vida de los datos