Introducción a la recolección de archivos de dispositivos que cumplen las directivas de prevención de pérdida de datos

En este artículo se le guiará por los requisitos previos y los pasos de configuración para la recopilación de pruebas para las actividades de archivo en dispositivos y se presenta cómo ver los elementos que se copian y guardan.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Estos son los pasos de alto nivel para configurar y usar la recopilación de evidencias para las actividades de archivos en los dispositivos.

1. Incorporar dispositivos
2. Descripción de los requisitosCreación de una cuenta de Azure Storage administrada
3. Adición de un blob de Azure Storage a la cuenta
4. Habilitación y configuración de la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft (versión preliminar)
5. Configuración de la directiva DLP
6. Vista previa de la evidencia

Antes de empezar

Antes de iniciar estos procedimientos, debe revisar Información sobre la recopilación de evidencias para las actividades de archivos en los dispositivos.

Licencias y suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Consulte los requisitos previos de licencia para Microsoft Entra ID P1 o P2 necesarios para crear un control de acceso basado en rol (RBAC) personalizado.

Permissions

Se requieren permisos de Prevención de pérdida de datos de Microsoft Purview estándar (DLP). Para más información, consulte Permisos.

Incorporar dispositivos

Para poder usar los elementos coincidentes de copia que tiene que incorporar dispositivos Windows 10/11 en Purview, consulte Introducción a la incorporación de dispositivos Windows a Microsoft 365.

Descripción de los requisitos

Importante

Cada contenedor hereda los permisos de la cuenta de almacenamiento en la que se encuentra. No se pueden establecer permisos diferentes por contenedor. Si necesita configurar permisos diferentes para diferentes regiones, debe crear varias cuentas de almacenamiento, no varios contenedores.

Debe tener respuestas a la siguiente pregunta antes de configurar Azure Storage y determinar el ámbito de la característica a los usuarios.

¿Necesita compartimentar los elementos y el acceso a lo largo del rol o las líneas departamentales?

Por ejemplo, si su organización quiere tener un conjunto de administradores o investigadores de eventos DLP que puedan ver los archivos guardados de su dirección sénior y otro conjunto de administradores o investigadores de eventos DLP para los elementos guardados de los recursos humanos, debe crear una cuenta de almacenamiento de Azure para la dirección sénior de la organización y otra para el departamento de recursos humanos. Esto garantiza que los administradores de Azure Storage o los investigadores de eventos DLP solo puedan ver los elementos que coinciden con las directivas DLP de sus grupos respectivos.

¿Desea usar contenedores para organizar los elementos guardados?

Puede crear varios contenedores de pruebas dentro de la misma cuenta de almacenamiento para ordenar los archivos guardados. Por ejemplo, uno para los archivos guardados desde el departamento de RR. HH. y otro para los del departamento de TI.

¿Cuál es su estrategia para protegerse frente a la eliminación o modificación de elementos guardados?

En Azure Storage, la protección de datos hace referencia a las estrategias para proteger la cuenta de almacenamiento y los datos dentro de ella de su eliminación o modificación, así como a la restauración de datos después de su eliminación o modificación. Azure Storage también ofrece opciones para la recuperación ante desastres, incluidos varios niveles de redundancia, para proteger los datos frente a interrupciones del servicio debido a problemas de hardware o desastres naturales. También puede proteger los datos mediante la conmutación por error administrada por el cliente si el centro de datos de la región primaria deja de estar disponible. Para obtener más información, consulte Introducción a la protección de datos.

También puede configurar directivas de inmutabilidad para los datos de blob que protegen contra los elementos guardados que se sobrescriben o eliminan. Para obtener más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.

Tipos de archivo admitidos para almacenar y obtener una vista previa de pruebas

Se puede almacenar	Se puede obtener una vista previa
Todos los tipos de archivo supervisados por DLP de punto de conexión	Todos los tipos de archivo compatibles con la vista previa de archivos en OneDrive, SharePoint y Teams

Guardar elementos coincidentes en Azure Blob Storage

Para guardar la evidencia que Microsoft Purview detecta cuando se aplican las directivas de prevención de pérdida de datos, debe configurar Azure Blob Storage. Hay dos formas de hacerlo:

1. Creación de almacenamiento administrado por el cliente
2. Creación de almacenamiento administrado por Microsoft (versión preliminar)

Para obtener más información y una comparación de estos dos tipos de almacenamiento, consulte Almacenamiento de evidencia cuando se detecta información confidencial (versión preliminar).

Creación de almacenamiento administrado por el cliente

Los procedimientos para configurar la cuenta de Almacenamiento de Azure, el contenedor y los blobs se documentan en el conjunto de documentos de Azure. Estos son vínculos a artículos relevantes que puede consultar para ayudarle a empezar:

1. Introducción a Azure Blob Storage
2. Creación de una cuenta de almacenamiento
3. El valor predeterminado es y autoriza el acceso a blobs mediante Microsoft Entra ID
4. Administración de contenedores de blobs mediante el Azure Portal
5. Administración de blobs en bloques con PowerShell

Asegúrese de guardar el nombre y la dirección URL del contenedor de blobs de Azure. Para ver la dirección URL, abra laspropiedades delcontenedor>de cuentas> de almacenamiento principal> del portal > de Almacenamiento de Azure.

El formato de la dirección URL del contenedor de blobs de Azure es:https://storageAccountName.blob.core.windows.net/containerName

Adición de un blob de Azure Storage a la cuenta

Hay varias maneras de agregar un blob de Azure Storage a la cuenta. Elija uno de los métodos siguientes.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Microsoft Purview Portal

Para agregar Azure Blob Storage mediante el portal de Microsoft Purview:

1. Inicie sesión en el portal de Microsoft Purview y elija el engranaje Configuración en la barra de menús.
2. Elija Prevención de pérdida de datos.
3. Seleccione Configuración de DLP de punto de conexión.
4. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivos en dispositivos).
5. Cambie el botón de alternancia de Desactivado a Activado.
6. En el campo Set evidence cache on device (Establecer caché de evidencia en el dispositivo ), seleccione la cantidad de tiempo que la evidencia debe guardarse localmente cuando el dispositivo esté sin conexión. Puede elegir 7, 30 o 60 días.
7. Seleccione un tipo de almacenamiento (Tienda administrada por el cliente o Tienda administrada de Microsoft (versión preliminar)) y, a continuación, seleccione + Agregar almacenamiento.
   1. Para el almacenamiento administrado por el cliente:
      1. Elija Tienda administrada por el cliente: y, a continuación, elija + Agregar almacenamiento.
      2. Escriba un nombre para asignar un nombre a la cuenta y escriba la dirección URL del blob de almacenamiento.
      3. Seleccione Guardar.
   2. Para el almacenamiento administrado por Microsoft:
      1. Elección de Microsoft Managed Store (versión preliminar)

Directiva DLP en el portal de Microsoft Purview

Para agregar Azure Blob Storage mediante el flujo de trabajo de creación de directivas DLP en el portal de Microsoft Purview:

1. Inicie sesión en el portal de Microsoft Purview y elija Prevención de pérdida de datos.
2. Siga los pasos para crear una nueva directiva.
3. En el paso Ubicaciones , asegúrese de que solo está seleccionada la ubicación Dispositivos y, a continuación, elija Siguiente.
4. En el paso Configuración de directiva, seleccione Crear o personalizar reglas DLP avanzadas.
5. Seleccione +Crear regla y agregue Condiciones, Acciones, Notificaciones de usuario e Invalidaciones de usuario con los valores que elija.
6. En la sección Informes de incidentes , el botón de alternancia Enviar una alerta a los administradores cuando se produce una coincidencia de regla debe estar Activado de forma predeterminada. (Si no es así, enciéndalo).
7. Active la casilla situada junto a Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en Punto de conexión.
8. Seleccione las actividades para las que desea recopilar pruebas.
9. Seleccione Agregar almacenamiento junto al elemento de casilla.
10. En la página Configuración de DLP de punto de conexión, expanda Colección de evidencias de configuración para las actividades de archivo en los dispositivos y asegúrese de que la opción esté activada.

Portal de cumplimiento

Para agregar Azure Blob Storage mediante el portal de cumplimiento:

1. A partir del panel de navegación izquierdo del portal de cumplimiento, vaya aInformación general sobre> la prevención de pérdida> de datos Configuración de prevención > depérdida de datosConfiguración de DLP de punto de conexión.
2. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivo en dispositivos ) y establezca el botón de alternancia en Activado.
3. En el campo Set evidence cache on device (Establecer caché de evidencia en el dispositivo ), seleccione la cantidad de tiempo que la evidencia debe guardarse localmente cuando el dispositivo esté sin conexión. Puede elegir 7, 30 o 60 días.
4. Seleccione un tipo de almacenamiento (Tienda administrada por el cliente o Tienda administrada de Microsoft (versión preliminar)) y, a continuación, seleccione + Agregar almacenamiento.
   1. Para el almacenamiento administrado por el cliente:
      1. Elija Tienda administrada por el cliente: y, a continuación, elija + Agregar almacenamiento.
      2. Escriba un nombre para asignar un nombre a la cuenta y escriba la dirección URL del blob de almacenamiento.
      3. Seleccione Guardar.
   2. Para el almacenamiento administrado por Microsoft:
      1. Elección de Microsoft Managed Store (versión preliminar)

Flujo de trabajo de directiva DLP en el portal de cumplimiento

Para agregar Azure Blob Storage mediante el flujo de trabajo de creación de directivas DLP en el portal de cumplimiento:

1. En el panel de navegación izquierdo, vaya a Directivas de prevención> de pérdida de datos.
2. Elija editar una directiva existente o crear una nueva.
3. Trabaje a través del flujo de trabajo de creación de directivas. En la página Configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas.
4. En la página Ubicaciones , asegúrese de que solo está seleccionada la ubicación Dispositivos y, a continuación, elija Siguiente.
5. En la página Definir configuración de directiva , seleccione Crear o personalizar reglas DLP avanzadas.
6. Seleccione + Crear regla.
7. Trabaje con el generador de reglas como de costumbre, seleccionando las siguientes opciones:
   1. En la sección Informes de incidentes , seleccione una opción para Usar este nivel de gravedad en alertas e informes de administración*.
   2. Cambie la opción Enviar una alerta a los administradores cuando se produce una coincidencia de regla a Activado.
   3. Active la casilla situada junto a Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en Punto de conexión.
   4. Elija Agregar almacenamiento. La página Configuración de DLP de punto de conexión se abre en una nueva ventana.
   5. En la página Configuración de DLP de punto de conexión, expanda Colección de evidencias de configuración para las actividades de archivo en los dispositivos y asegúrese de que la opción esté activada.
   6. En Set evidence cache on device (Establecer caché de pruebas en el dispositivo), especifique el número de días que deben conservarse los archivos si el dispositivo está desconectado del servidor.
   7. Seleccione + Agregar almacenamiento.
   8. En el control flotante Agregar cuenta , escriba un nombre y una dirección URL para el blob.
   9. Seleccione Guardar.
   10. En el generador de reglas, seleccione Enviar alerta cada vez que una actividad coincida con la regla.
   11. Elija Guardar.
   12. Termine de crear o editar la regla y, a continuación, elija Enviar.

Establecimiento de permisos en Azure Blob Storage

Con Microsoft Entra autorización, debe configurar dos conjuntos de permisos (grupos de roles) en los blobs:

1. Uno para los administradores e investigadores para que puedan ver y administrar pruebas
2. Uno para los usuarios que necesitan cargar elementos en Azure desde sus dispositivos

El procedimiento recomendado es aplicar privilegios mínimos para todos los usuarios, independientemente del rol. Al aplicar los privilegios mínimos, se asegura de que los permisos de usuario se limitan solo a los permisos necesarios para su rol. Para configurar los permisos de usuario, cree roles y grupos de roles en Microsoft Defender para Office 365 y Microsoft Purview.

Permisos en blobs de Azure para administradores e investigadores

Una vez creado el grupo de roles para los investigadores de incidentes DLP, debe configurar los permisos descritos en las secciones Acciones del investigador y Acciones de datos del investigador que se indican a continuación.

Para obtener más información sobre cómo configurar el acceso a blobs, consulte estos artículos:

• Cómo autorizar el acceso a los datos de blob en el Azure Portal
• Asignar permisos de nivel de recurso compartido.

Acciones del investigador

Configure estos permisos de objeto y acción para el rol de investigador:

Objeto	Permissions
Microsoft.Storage/storageAccounts/blobServices	Lectura: Enumeración de Blob Services
Microsoft.Storage/storageAccounts/blobServices	Lectura: Obtención de propiedades o estadísticas de Blob Service
Microsoft.Storage/storageAccounts/blobServices/containers	Lectura: Obtención de un contenedor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers	Lectura: Lista de contenedores de blobs
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Lectura: Lectura de blobs

Acciones de datos del investigador

Objeto	Permissions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Lectura: Leer blob

El json para el grupo de roles de investigador debe tener este aspecto:

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

Permisos en blobs de Azure para usuarios

Asigne estos permisos de objeto y acción al blob de Azure para el rol de usuario:

Acciones del usuario

Objeto	Permissions
Microsoft.Storage/storageAccounts/blobServices	Lectura: Enumeración de Blob Services
Microsoft.Storage/storageAccounts/blobServices/containers	Lectura: Obtención de un contenedor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers	Escritura: Colocar contenedor de blobs

Acciones de datos de usuario

Objeto	Permissions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Escritura: Escribir blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	Otro: Agregar contenido de blob

El json para el grupo de roles de usuario debe tener este aspecto:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Habilitación y configuración de la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft (versión preliminar)

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

Para habilitar y configurar la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft desde el portal de Microsoft Purview:

1. Inicie sesión en el engranajeconfiguración del portal > de Microsoft Purviewen la barra de menús.
2. Elija Prevención de pérdida de datos.
3. Seleccione Configuración de DLP de punto de conexión.
4. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivo en dispositivos ) y establezca el botón de alternancia en Activado.
5. En Seleccionar tipo de almacenamiento, elija Almacenamiento administrado por Microsoft.

Portal de cumplimiento

Para habilitar y configurar la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft desde el portal de cumplimiento:

1. Abra portal de cumplimiento Microsoft Purview>Configuración> de prevención de pérdida> de datosConfiguración de DLP de punto de conexión.
2. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivo en dispositivos ) y establezca el botón de alternancia en Activado.
3. En el campo Set evidence cache on device (Establecer caché de evidencia en el dispositivo ), seleccione la cantidad de tiempo que la evidencia debe guardarse localmente cuando el dispositivo esté sin conexión. Puede elegir 7, 30 o 60 días.
4. En Seleccionar tipo de almacenamiento, elija Almacenamiento administrado de Microsoft (versión preliminar).

Configuración de la directiva DLP

Cree una directiva DLP como lo haría normalmente. Para ver ejemplos de configuración de directivas, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Configure la directiva con esta configuración:

• Asegúrese de que Dispositivos es la única ubicación seleccionada.
• En Informes de incidentes, active Send an alert to admins when a rule match (Enviar una alerta a los administradores cuando se produzca una coincidencia de regla ) en Activado.
• En Informes de incidentes, seleccione Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en punto de conexión.
• Seleccione la cuenta de almacenamiento que desee.
• Seleccione las actividades para las que desea copiar elementos coincidentes en Azure Storage, como:
  • Copia en un dispositivo USB extraíble
  • Copia en un recurso compartido de red
  • Print
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copia o movimiento mediante RDP

Vista previa de la evidencia

Hay diferentes maneras de obtener una vista previa de la evidencia, en función del tipo de almacenamiento que seleccione.

Tipo de almacenamiento	Opciones de vista previa
Administrado por el cliente	- Uso del explorador de actividad - Uso del portal de cumplimiento
Microsoft Managed (versión preliminar)	- Uso del explorador de actividad

Vista previa de la evidencia a través del Explorador de actividad

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en elexplorador de actividades de prevención > depérdida de datosdel portal > de Microsoft Purview.
2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
3. En la lista de resultados, haga doble clic en el elemento de línea de la actividad que desea investigar.
4. En el panel flotante, el vínculo al blob de Azure donde se almacena la evidencia aparece en Archivo de evidencia.
5. Seleccione el vínculo Azure Blob Storage para mostrar el archivo que ha coincidido.

Portal de cumplimiento

1. Abra portal de cumplimiento Microsoft Purview> Explorador deactividad de prevención > de pérdida de datos.
2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
3. En la lista de resultados, seleccione la actividad que desea investigar.
4. En el panel flotante, el vínculo al blob de Azure donde se almacena la evidencia aparece en Archivo de evidencia.
5. Seleccione el vínculo Azure Blob Storage para mostrar el archivo que ha coincidido.

Vista previa de pruebas a través de la página Alertas del portal de cumplimiento

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal > de Microsoft PurviewAlertas de prevención > depérdida de datos.
2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
3. En la lista de resultados, haga doble clic en el elemento de línea de la actividad que desea investigar.
4. En el panel flotante, seleccione Ver detalles.
5. Seleccione la pestaña Eventos .
6. En el panel Detalles , seleccione la pestaña Origen. Se muestra el archivo que coincidió.

Portal de cumplimiento

1. Abra el portal de cumplimiento Microsoft Purview y vaya aAlertas de prevención > de pérdida de datos.
2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
3. En la lista de resultados, seleccione la actividad que desea investigar.
4. En el panel flotante, seleccione Ver detalles.
5. Seleccione la pestaña Eventos .
6. En el panel Detalles , seleccione la pestaña Origen . Se muestra el archivo que coincidió.

Nota:

Si el archivo coincidente ya existe en el blob de Almacenamiento de Azure, no se volverá a cargar hasta que se realicen cambios en el archivo y un usuario realice una acción en él.

Comportamientos conocidos

• Los archivos almacenados en la memoria caché del dispositivo no se conservan si el sistema se bloquea o se reinicia.
• El tamaño máximo de los archivos que se pueden cargar desde un dispositivo es de 500 MB.
• Si se desencadena Just-In-Time Protection en un archivo examinado, O si el archivo se almacena en un recurso compartido de red, no se recopila el archivo de evidencia.
• Si se detectan varias reglas de directiva en un único archivo, el archivo de evidencia solo se almacena si la regla de directiva más restrictiva está configurada para recopilar pruebas.