Obtenga más información sobre la investigación de alertas de prevención de pérdida de datos
En este artículo se presenta el flujo de investigación de alertas y las herramientas que puede usar para investigar las alertas DLP.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Antes de empezar
Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales con los que debe estar familiarizado al implementar la práctica de prevención de pérdida de datos:
- Administrative units
- Más información sobre Prevención de pérdida de datos de Microsoft Purview: en el artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
- Planear la prevención de pérdida de datos (DLP): al trabajar con este artículo, hará lo siguiente:
- Referencia de directiva de prevención de pérdida de datos: en este artículo se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
- Diseñar una directiva DLP: este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
- Crear e implementar directivas de prevención de pérdida de datos: presenta algunos escenarios de intención de directiva comunes que se asignan a las opciones de configuración. A continuación, le guiará a través de la configuración de esas opciones y proporciona instrucciones sobre la implementación de una directiva.
- Más información sobre la investigación de alertas de prevención de pérdida de datos: este artículo que está leyendo ahora le presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.
Ciclo de vida de una alerta DLP
Todas las alertas y su interacción con ellas pasan por estos seis pasos:
Trigger
La vida útil de una alerta de Prevención de pérdida de datos de Microsoft Purview (DLP) se inicia cuando se coinciden las condiciones definidas en la directiva. Cuando se produce una coincidencia de directiva, se desencadenan las acciones definidas en la directiva, lo que puede incluir la generación de una alerta si la directiva está configurada para hacerlo.
Normalmente, las directivas DLP se configuran para supervisar y generar alertas cuando:
- La información confidencial, como la identificación personal de datos o la propiedad intelectual, se filtra de su organización.
- La información confidencial se comparte de forma inapropiada con personas de fuera o dentro de la organización.
- Los usuarios se involucran en actividades de riesgo, como descargar información confidencial en medios extraíbles.
Notificar
Cuando se genera una alerta, se envía al portal de Microsoft Defender como un incidente y al panel de administración de alertas DLP. Las directivas DLP se pueden configurar para enviar notificaciones a usuarios, administradores y otras partes interesadas por correo electrónico.
En la fase de notificación De Microsoft Purview:
- Informes sobre coincidencias de directiva DLP e invalidaciones de usuario.
- Puede usar el Explorador de actividades para ver las actividades relacionadas con DLP y filtrar con fines de generación de informes.
Para exportar datos de actividad para informes, use Export-ActivityExplorerData (ExchangePowerShell) | Microsoft Doc mediante la API de actividad de administración de O365 o la API de incidentes.
Nota:
El portal de Microsoft Defender conserva los incidentes durante seis meses. El panel de administración de alertas DLP conserva las alertas durante 30 días.
Clasificación
En este paso, analizará una alerta y los registros asociados y decidirá si la alerta es un verdadero positivo o un falso positivo. Si es un verdadero positivo, establezca la prioridad de la alerta en función de la gravedad del problema y su impacto en su organización y asigne un propietario. Si es un falso positivo, puede desbloquear al usuario y pasar a la siguiente alerta.
El portal de Defender agrupa los eventos DLP en incidentes. Los incidentes son una colección de alertas relacionadas que se agrupan en función de todas las demás señales que Defender está recibiendo. Por ejemplo, cuando tiene una directiva DLP configurada para supervisar y alertar sobre archivos confidenciales en sitios de SharePoint, y un usuario descarga un archivo de un sitio de SharePoint y, a continuación, lo carga en un OneDrive personal y, a continuación, lo comparte con un usuario externo, Defender agrupa todas esas alertas en un único incidente. Se trata de una característica eficaz que le permite centrarse primero en las alertas más importantes.
En el portal de Defender, puede empezar a evaluar inmediatamente los incidentes y usar etiquetas, comentarios y otras características para estructurar la administración de incidentes. Debe usar la página Incidentes del portal de Microsoft Defender para administrar las alertas DLP. Puede filtrar la cola incidentes para ver todos los incidentes con alertas DLP de Microsoft Purview seleccionando Filtros y eligiendo Origen de servicio: Prevención de pérdida de datos.
Si ha habilitado el uso compartido de datos de administración de riesgos internos con Microsoft Defender XDR (versión preliminar): verá el nivel de gravedad de la directiva insider Risk Management asociada a un usuario en la página de alertas DLP. Los niveles de gravedad de Administración de riesgos internos son: Bajo, Medio, Alto y Ninguno. Puede usar esta información para priorizar los esfuerzos de investigación y corrección. Esta información también estará disponible en el portal de Microsoft 365 Defender en los detalles del incidente.
Investigación
El objetivo principal de la fase de investigación es que el propietario asignado correlacione las pruebas, determine la causa y el impacto total de la alerta y decida un plan de corrección. El propietario asignado es responsable de una investigación y corrección más detalladas de la alerta. Las herramientas de investigación de alertas principales son el portal de Microsoft Defender y el panel de administración de alertas DLP. También puede usar el Explorador de actividad para investigar alertas. También puede compartir alertas con otros usuarios de su organización.
Puede aprovechar las características dlp como:
- La recopilación de evidencias para las actividades de archivos en dispositivos hace que archivos como el correo electrónico y los documentos que coincidieron con una directiva sea fácilmente accesible.
- Use el Explorador de contenido para investigar en profundidad el contenido del incidente.
Puede usar Microsoft Defender portal y las herramientas de Purview para evaluar e investigar alertas, pero el portal de Microsoft Defender proporciona más funcionalidades para administrar alertas e incidentes, como:
- Vea todas las alertas DLP agrupadas en incidentes en la cola de incidentes de Microsoft Defender XDR.
- Vea las alertas entre soluciones inteligentes (DLP-MDE, DLP-MDO) y entre soluciones (DLP-DLP) correlacionadas en un único incidente.
- Busque registros de cumplimiento junto con la seguridad en Búsqueda avanzada.
- Acciones de corrección del administrador local en el usuario, el archivo y el dispositivo.
- Asocie etiquetas personalizadas a incidentes DLP y filtre por ellos.
- Filtre por nombre de directiva DLP, etiqueta, fecha, origen del servicio, estado de incidente y usuario en la cola de incidentes unificada.
Si comparte datos de administración de riesgos internos con Defender (versión preliminar), puede ver el resumen de actividad de usuario de todas las actividades de filtración en las que el usuario ha participado hasta los últimos 120 días.
Corregir
El plan de corrección es único para las directivas de su organización, el sector, las regulaciones geopolíticas que debe cumplir y las prácticas empresariales. La forma en que su organización elige responder a una alerta gira en torno a la precisión de la alerta (verdadero positivo, falso positivo, falso negativo), la gravedad del problema y el impacto en la organización.
Las acciones de corrección pueden incluir:
- Solo supervisar, no se requiere ninguna acción adicional.
- No se requiere ninguna acción adicional porque las acciones realizadas por la directiva mitigaron suficientemente el riesgo.
- Riesgo mitigado por acciones de directiva automatizadas, pero es necesaria la educación del usuario.
- La directiva no ha mitigado completamente el problema, por lo que se requiere una mayor limpieza y mitigación de riesgos junto con más entrenamiento de usuarios.
- A través de La protección adaptable en la prevención de pérdida de datos (versión preliminar) donde DLP se integra con Insider Risk Management, puede asignar un nivel de riesgo al usuario para una supervisión y acciones adicionales.
Con el portal de Defender, puede realizar inmediatamente acciones de corrección en alertas e incidentes. Por ejemplo:
- Restablecer contraseña
- Deshabilitar cuenta
- Visualización de la actividad del usuario
- Acciones en detecciones DLP
- Quitar documento
- Aplicar etiqueta de confidencialidad
- No compartir
- Descargar correo electrónico
- Búsqueda avanzada de amenazas
- Aislar dispositivo
- Recopilación del paquete de investigación del dispositivo
- Ejecución del examen de AV
- Poner archivo en cuarentena
- Deshabilitar usuario
- Restablecimiento de pwd
- Eliminar correo electrónico
- Mover correo a otra carpeta de buzón
- Descargar archivo
Melodía
En función de la precisión y eficacia de la directiva, es posible que tenga que actualizarla para que siga siendo eficaz. Ya ha optimizado la directiva durante el proceso de creación e implementación de directivas, pero a medida que cambian el patrimonio de datos y las necesidades empresariales, las directivas deben actualizarse para que sigan siendo eficaces. Estos cambios se realizan mejor en la instrucción de intención de directiva y la configuración de la directiva.
Elementos que ajuste:
- Ámbito de la directiva.
- Condiciones necesarias para una coincidencia de directiva.
- Acciones realizadas cuando se produce una coincidencia de directiva.
- Notificaciones enviadas a usuarios y administradores.
Para obtener más información sobre las necesidades empresariales de asignación para diseñar directivas y probar directivas, consulte:
- Diseño de una directiva de prevención de pérdida de datos
- Prueba de las directivas de prevención de pérdida de datos
Conjuntos de herramientas
Hay varias herramientas que puede usar para investigar y administrar alertas de Prevención de pérdida de datos de Microsoft Purview (DLP). Hay:
- Portal de Microsoft Defender
- Panel de alertas de portal de cumplimiento Microsoft Purview
- Explorador de actividad
- Explorador de contenido
- Microsoft Copilot para la seguridad en la experiencia insertada de Purview
- Microsoft Copilot para la seguridad en la experiencia independiente de Purview
Microsoft recomienda usar la cola de incidentes unificada en Microsoft Defender portal para administrar las alertas DLP. Sin embargo, es posible que la organización tenga necesidades que se puedan satisfacer mediante el panel de administración de alertas DLP, además del portal de Microsoft Defender.
Portal de Microsoft Defender
- Las alertas DLP se integran con otros eventos y alertas en una sola cola de incidentes, lo que proporciona una imagen más completa del incidente.
- Hay seis meses de historial de incidentes disponibles.
- La búsqueda avanzada está disponible.
- Investigar incidentes de pérdida de datos con Microsoft Defender XDR: puede administrar incidentes DLP junto con incidentes de seguridad de Incidentes & alertas>Incidentes en el inicio rápido del portal de Microsoft Defender.
- Respuesta al primer incidente en Microsoft Defender XDR
- Respuesta a incidentes con Microsoft Defender XDR
- Priorización de incidentes en Microsoft Defender XDR
- Administración de incidentes en Microsoft Defender XDR
- Investigar incidentes en Microsoft Defender XDR
- Investigación de alertas en Microsoft Defender XDR
- Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR
Portal de cumplimiento de Microsoft Purview.
- El panel de alertas, el Explorador de actividad y el Explorador de contenido están disponibles en el portal de cumplimiento Microsoft Purview. Puede resumir las alertas mediante Microsoft Copilot para la seguridad Investigar una alerta DLP
- Puede establecer un estado de alerta en Investigar.
- Puede compartir alertas con otros usuarios de su organización.
- Descargar archivos de OneDrive y SharePoint (el rol visor de contenido de clasificación de datos es necesario para esta acción)
Si no está familiarizado con el uso del panel Alertas DLP, debe leer estos artículos para ayudarle a empezar.
- Introducción al panel alertas de prevención de pérdida de datos
- Compartir alertas de prevención de pérdida de datos (versión preliminar)
- Introducción a las alertas de prevención de pérdida de datos
- Introducción al explorador de actividad
- Introducción al explorador de contenido