Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
El explorador de actividades le permite supervisar lo que se hace con el contenido etiquetado. El Explorador de actividades proporciona una vista histórica de las actividades en el contenido etiquetado. La información de actividad procede de los registros de auditoría unificados de Microsoft 365. Se transforma y, a continuación, se hace disponible en la interfaz de usuario del explorador de actividad. El explorador de actividad informa de datos de hasta 30 días.
El Explorador de actividades le ofrece varias maneras de ordenar y ver los datos.
Filtros
Los filtros son los bloques de creación del explorador de actividad. Cada filtro se centra en una dimensión diferente de los datos recopilados. Puede usar aproximadamente 50 filtros individuales diferentes, entre los que se incluyen:
- Intervalo de fechas
- Tipo de actividad
- Ubicación
- Etiqueta de confidencialidad
- Usuario
- IP de cliente
- Nombre del dispositivo
- Está protegido
Para ver todos los filtros, abra el panel de filtros en el explorador de actividad y examine la lista desplegable.
Nota:
Las opciones de filtro se generan en función de los primeros 500 registros para garantizar un rendimiento óptimo. Esta limitación puede hacer que algunos valores no aparezcan en la lista desplegable de filtros. En el caso de los eventos de punto de conexión, solo aparece la regla DLP más restrictiva. Los filtros que se aplican en el explorador de actividad también funcionan en función de esta regla más restrictiva.
Conjuntos de filtros
El explorador de actividades incluye conjuntos predefinidos de filtros para ahorrar tiempo cuando se desea centrarse en una actividad específica. Use conjuntos de filtros para proporcionar rápidamente una vista de las actividades de nivel superior que los filtros individuales. Algunos de los conjuntos de filtros predefinidos son:
- Actividades DLP de punto de conexión
- Etiquetas de confidencialidad aplicadas, modificadas o eliminadas
- Actividades de salida
- Directivas DLP que detectaron actividades
- Actividades DLP de red
- Explorador protegido
También puede crear y guardar sus propios conjuntos de filtros mediante la combinación de filtros individuales.
Microsoft Security Copilot en el Explorador de actividad (versión preliminar)
En versión preliminar, Microsoft Security Copilot en Microsoft Purview se inserta en el explorador de actividad. Puede ayudar a explorar en profundidad de forma eficaz los datos de actividad y ayudarle a identificar actividades, archivos con información confidencial, usuarios y otros detalles que son relevantes para una investigación.
Importante
Asegúrese de comprobar la precisión y la integridad de las respuestas de Security Copilot antes de realizar cualquier acción basada en la información proporcionada. Puede proporcionar comentarios para ayudar a mejorar la precisión de las respuestas.
Búsqueda de datos
Security Copilot aptitudes usan todos los datos disponibles para Microsoft Purview, filtros y conjuntos de filtros disponibles en el explorador de actividades y usan el aprendizaje automático para proporcionarle información sobre la actividad (a veces denominada búsqueda de datos) en los datos que es más importante para usted.
- Mostrarme las 5 actividades principales de la semana pasada
- Filtrar e investigar actividades
- Búsqueda de archivos usados en actividades específicas
Al seleccionar una solicitud, se abre automáticamente la Security Copilot tarjeta lateral y se muestran los resultados de la consulta. A continuación, puede refinar aún más la consulta.
Lenguaje natural para filtrar la generación de conjuntos
Use el cuadro de solicitud para escribir consultas complejas de lenguaje natural para generar conjuntos de filtros. Por ejemplo, puede escribir:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot genera un conjunto de filtros para la consulta. Revise el filtro para asegurarse de que se ajusta a sus necesidades y, a continuación, aplíquelo a los datos.
Requisitos previos
Licencias de SKU/suscripciones
Para obtener información sobre las licencias, consulte
Permissions
Una cuenta debe tener asignada explícitamente la pertenencia a cualquiera de estos grupos de roles o debe concederse explícitamente el rol.
Roles y grupos de roles
Use roles y grupos de roles para ajustar los controles de acceso. Para obtener más información, consulte Permisos en el portal de Microsoft Purview.
Roles de Microsoft Purview
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Grupos de roles de Microsoft Purview
- Protección de la información
- Investigadores de Information Protection
- Analistas de Information Protection
- Information Protection Administradores & Information Protection lectores (ambos grupos de roles deben asignarse)
Roles de Microsoft 365
- Administradores de cumplimiento
- Administradores de seguridad
- Administradores de datos de cumplimiento
Grupos de roles de Microsoft 365
- Administrador de cumplimiento
- Administrador de seguridad
- Lector de seguridad
Tipos de actividad
El Explorador de actividades recopila información de los registros de auditoría de varios orígenes de actividades.
Algunos ejemplos de las actividades de etiqueta de confidencialidad y las actividades de etiquetado de retención de aplicaciones nativas de Microsoft Office, el cliente y el analizador de Microsoft Purview Information Protection, SharePoint, Exchange (solo etiquetas de confidencialidad) y OneDrive incluyen:
- Etiqueta aplicada
- Etiqueta cambiada (actualizada, degradada o eliminada)
- Simulación de etiquetado automático
- Archivo leído
Para obtener la lista actual de actividades enumeradas en el Explorador de actividades, vaya al Explorador de actividades y abra el filtro de actividad. La lista de actividades está disponible en la lista desplegable.
La actividad de etiquetado específica del cliente y el analizador de Microsoft Purview Information Protection que entra en el explorador de actividad incluye:
- Protección aplicada
- Protección cambiada
- Protección eliminada
- Archivos detectados
Para obtener información más detallada sobre qué actividad de etiquetado la convierte en explorador de actividad, vea Eventos de etiquetado disponibles en el Explorador de actividad.
Además, el Explorador de actividades recopila eventos de coincidencia de directiva DLP de cargas de trabajo de Microsoft 365, como Exchange, SharePoint, OneDrive, canales y chat de Teams, y carpetas, bibliotecas y recursos compartidos de archivos locales de SharePoint. Al habilitar la prevención de pérdida de datos de punto de conexión (DLP), el Explorador de actividad también incluye actividades de nivel de dispositivo de Windows 10 incorporados, Windows 11 y las tres versiones principales de macOS más recientes.
Condiciones coincidentes mejoradas para eventos DLP de Exchange (versión preliminar)
Para Exchange Online eventos DLP, el Explorador de actividad muestra detalles de condición coincidentes mejorados para las condiciones de tipo de información no confidencial (SIT) además de las coincidencias sit. Cada condición que no sea sit que ha contribuido a una coincidencia de directiva DLP se muestra con tres niveles de detalle:
- Nombre de condición: la condición de directiva específica que coincidió, por ejemplo, dominio remitente es o extensión de archivo de datos adjuntos.
-
Valor coincidente: el valor real que desencadenó la coincidencia de condición, por ejemplo,
contoso.como.docx. - Origen: la parte del mensaje donde se encontró la coincidencia, por ejemplo, el encabezado, el sobre o los datos adjuntos del mensaje.
Los detalles de la condición coincidente mejorada aparecen en el control flotante de detalles del evento para los eventos DLP de Exchange en el Explorador de actividad y el panel Alertas DLP. Se admiten las siguientes categorías de condición:
- Condiciones del remitente: el remitente es, el dominio del remitente es, la dirección del remitente contiene palabras, la dirección del remitente coincide con los patrones, el remitente es un miembro de, la dirección IP del remitente es, el atributo de AD del remitente
- Condiciones del destinatario: el destinatario es, el dominio del destinatario es, la dirección del destinatario contiene palabras, la dirección del destinatario coincide con los patrones, el destinatario es un miembro de, el atributo de AD del destinatario
- Condiciones de datos adjuntos: la extensión de archivo de datos adjuntos es, El nombre del documento contiene palabras, el nombre del documento coincide con los patrones, la propiedad Document es, el tamaño del documento es igual o mayor que, el documento está protegido con contraseña, no se pudo examinar el documento, el documento no ha completado el examen
- Condiciones de contenido: el juego de caracteres de contenido contiene palabras, el contenido se comparte desde M365, el contenido se recibe de
- Condiciones de encabezado: el encabezado contiene palabras, el encabezado coincide con los patrones
- Condiciones de la propiedad del mensaje: Tamaño del mensaje, Tipo de mensaje es, Importancia del mensaje es, Asunto contiene palabras, Asunto coincide con patrones, Asunto o cuerpo contiene palabras, Asunto o cuerpo coincide con patrones, El remitente ha invalidado la sugerencia de directiva
Para obtener la referencia completa de las condiciones DLP de Exchange, consulte Data loss prevention Exchange conditions and actions reference (Referencia de acciones y condiciones de Exchange de prevención de pérdida de datos).
Algunos eventos de ejemplo recopilados de dispositivos incluyen las siguientes acciones realizadas en archivos:
- Eliminación
- Creación
- Copiar en el portapapeles
- Modify
- Lectura
- Imprimir
- Cambiar nombre
- Copia en el recurso compartido de red
- Acceso mediante una aplicación no permitida
Comprender las acciones que se realizan en el contenido con etiquetas de confidencialidad le ayuda a determinar si los controles que tiene en su lugar, como las directivas de Prevención de pérdida de datos de Microsoft Purview, son eficaces. Si no es así, o si detecta algo inesperado (como un gran número de elementos etiquetados highly confidential que se han degradado a general), puede administrar las directivas y realizar nuevas acciones para restringir el comportamiento no deseado.
Nota:
- El Explorador de actividades no supervisa las actividades de retención de Exchange.
- Las etiquetas de Azure Information Protection heredadas (AIP) no se admiten; como resultado, pueden aparecer como GUID en el Explorador de actividades.
Nota:
Si un usuario notifica el veredicto DLP de Teams como falso positivo, la actividad se muestra como información dlp en la lista del Explorador de actividad. La entrada no tiene detalles de coincidencia de reglas y directivas, pero muestra valores sintéticos. Tampoco se genera ningún informe de incidentes para la generación de informes falsos positivos.
Alertas y eventos de tipo de actividad
En esta tabla se muestran los eventos que desencadena el Explorador de actividad para tres configuraciones de directiva de ejemplo. Los eventos dependen de si se detecta una coincidencia de directiva.
| Configuración de directiva | Evento del Explorador de actividad desencadenado para este tipo de acción | Evento del Explorador de actividad desencadenado cuando se coincide con una regla DLP | Alerta del Explorador de actividad desencadenada |
|---|---|---|---|
| La directiva contiene una sola regla que permite la actividad sin auditarla. | Sí | No | No |
| La directiva contiene dos reglas: se permiten coincidencias para la regla 1; se auditan las coincidencias de directiva de la regla 2. | Sí (Solo regla 2) |
Sí (Solo regla 2) |
Sí (Solo regla 2) |
| La directiva contiene dos reglas: se permiten coincidencias para ambas reglas y no se auditan. | Sí | No | No |