Referencia de directiva de prevención de pérdida de datos
las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) tienen muchos componentes que configurar. Para crear una directiva eficaz, debe comprender cuál es el propósito de cada componente y cómo su configuración modifica el comportamiento de la directiva. En este artículo se proporciona una anatomía detallada de una directiva DLP.
Sugerencia
Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para la seguridad en Microsoft Purview.
Antes de empezar
Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales que necesitará al implementar DLP:
- Administrative units
- Más información sobre Prevención de pérdida de datos de Microsoft Purview: en el artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
- Planear la prevención de pérdida de datos (DLP): al trabajar en este artículo, podrá:
- Referencia de directiva de prevención de pérdida de datos: en este artículo que está leyendo ahora se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
- Diseñar una directiva DLP : este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
- Crear e implementar directivas de prevención de pérdida de datos : en este artículo se presentan algunos escenarios de intención de directiva comunes que se asignan a las opciones de configuración. También le guiará a través de la configuración de esas opciones.
- Más información sobre la investigación de alertas de prevención de pérdida de datos : en este artículo se presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.
Además, debe tener en cuenta las siguientes restricciones de la plataforma:
- Número máximo de directivas MIP + MIG en un inquilino: 10 000
- Tamaño máximo de una directiva DLP (100 KB)
- Número máximo de reglas DLP:
- En una directiva: limitado por el tamaño de la directiva
- En un inquilino: 600
- Tamaño máximo de una regla DLP individual: 100 KB (102 400 caracteres)
- Límite de evidencia de GIR: 100, con cada evidencia sit, en proporción de repetición
- Tamaño máximo de texto que se puede extraer de un archivo para el examen: 2 MB
- Límite de tamaño de regex para todas las coincidencias previstas: 20 KB
- Límite de longitud del nombre de la directiva: 64 caracteres
- Límite de longitud de la regla de directiva: 64 caracteres
- Límite de longitud de comentario: 1024 caracteres
- Límite de longitud de descripción: 1024 caracteres
Plantillas de directiva
Las plantillas de directiva DLP se ordenan en cuatro categorías:
- directivas que pueden detectar y proteger tipos de información financiera .
- directivas que pueden detectar y proteger tipos de información médica y de salud .
- directivas que pueden detectar y proteger tipos de información de privacidad .
- Plantilla de directiva personalizada que puede usar para crear su propia directiva si ninguna de las demás satisface las necesidades de su organización.
En la tabla siguiente se enumeran todas las plantillas de directiva y los tipos de información confidencial (SIT) que cubren.
Ámbito de directiva
Consulte Unidades administrativas para asegurarse de que comprende la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa.
Las directivas DLP se limitan a dos niveles diferentes. El primer nivel aplica directivas de ámbito de administración sin restricciones a todas las siguientes directivas de su organización (en función de las ubicaciones seleccionadas) o a subgrupos de la organización, denominados directivas restringidas de unidad administrativa:
- users
- groups
- grupos de distribución
- cuentas
- sitios
- instancias de aplicación en la nube
- repositorios locales
- Áreas de trabajo de Fabric y Power BI
En este nivel, un administrador restringido de unidad administrativa solo podrá elegir entre las unidades administrativas a las que están asignadas.
El segundo nivel de ámbito de la directiva DLP se encuentra en las ubicaciones compatibles con DLP. En este nivel, los administradores restringidos de unidades administrativas y sin restricciones solo ven los usuarios, grupos de distribución, grupos y cuentas que se incluyeron en el primer nivel de ámbito de directiva y que están disponibles para esa ubicación.
Directivas sin restricciones
Los usuarios de estos grupos de roles crean y administran directivas sin restricciones:
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Protección de la información
- Administrador de Information Protection
- Administrador de seguridad
Consulte el artículo Permisos para obtener más información.
Los administradores sin restricciones pueden administrar todas las directivas y ver todas las alertas y eventos que fluyen desde las coincidencias de directiva en el panel Alertas y el Explorador de actividad DLP.
Directivas restringidas de unidad administrativa
Las unidades administrativas son subconjuntos del Microsoft Entra ID y se crean con el fin de administrar colecciones de usuarios, grupos, grupos de distribución y cuentas. Estas colecciones se crean normalmente a lo largo de líneas de grupo de negocios o áreas geopolíticas. Las unidades administrativas tienen un administrador delegado que está asociado a una unidad administrativa del grupo de roles. Se denominan administradores restringidos de unidad administrativa.
DLP admite la asociación de directivas con unidades administrativas. Consulte Unidades administrativas para obtener más información sobre la implementación en el portal de cumplimiento Microsoft Purview. Los administradores de unidades administrativas deben asignarse a uno de los mismos roles o grupos de roles que los administradores de directivas DLP sin restricciones para crear y administrar directivas DLP para su unidad administrativa.
| Grupo de roles administrativos DLP | Enlatar |
|---|---|
| Administrador sin restricciones | - creación y ámbito de directivas DLP en toda la organización : edición de todas las directivas DLP, creación y ámbito de directivas DLP en unidades administrativas: visualización de todas las alertas y eventos de todas las directivas DLP |
| Administrador restringido de unidad administrativa: debe ser miembro o asignado a un grupo o rol de roles que pueda administrar DLP. |
- crear y ámbito de directivas DLP solo a la unidad administrativa a la que están asignadas: editar directivas DLP asociadas a su unidad administrativa: ver alertas y eventos solo desde las directivas DLP que tienen como ámbito su unidad administrativa. |
Ubicaciones
Una directiva DLP puede encontrar y proteger elementos que contienen información confidencial en varias ubicaciones.
| Ubicación | Admite unidades administrativas | Incluir o excluir ámbito | Estado de los datos | Requisitos previos adicionales |
|---|---|---|---|---|
| Exchange Online | Yes | - Grupos de distribución - Grupos de seguridad - Grupos de seguridad no habilitados para correo electrónico - Listas de distribución dinámicas - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad) |
datos en movimiento | No |
| SharePoint Online | No | Sitios | datos en reposo en uso |
No |
| OneDrive | Sí | - Grupos de distribución - Grupos de seguridad - Grupos de seguridad no habilitados para correo electrónico - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad) |
datos en reposo en uso |
No |
| Mensajes de canales y chats de Teams | Yes | - Grupos de distribución - Grupos de seguridad - Grupos de seguridad habilitados para correo - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad) |
datos en movimiento en uso |
Consulte Ámbito de la protección DLP. |
| Instancias | No | Instancia de aplicación en la nube | datos en reposo | - Uso de directivas de prevención de pérdida de datos para aplicaciones en la nube que no son de Microsoft |
| Dispositivos | Yes | - Grupos de distribución - Grupos de seguridad - Grupos de seguridad no habilitados para correo electrónico - Grupos de Microsoft 365 (solo miembros del grupo, no el grupo como entidad) |
datos en uso en movimiento |
-
Más información sobre la prevención - de pérdida de datos de punto de conexiónIntroducción a la prevención - de pérdida de datos de punto de conexiónConfiguración del proxy de dispositivo y la conexión a Internet para Information Protection |
| Repositorios locales (recursos compartidos de archivos y SharePoint) | No | Repositorio | datos en reposo |
-
Más información sobre los repositorios - locales de prevención de pérdida de datosIntroducción a los repositorios locales de prevención de pérdida de datos |
| Tejido y Power BI | No | Áreas de trabajo | datos en uso | No |
| Aplicaciones de terceros | Ninguno | No | No | No |
Ámbito de la ubicación de Exchange
Si decide incluir grupos de distribución específicos en Exchange, la directiva DLP solo se limita a los correos electrónicos enviados por los miembros de ese grupo. Del mismo modo, la exclusión de un grupo de distribución excluye todos los correos electrónicos enviados por los miembros de ese grupo de distribución de la evaluación de directivas.
| El remitente es | El destinatario es | Comportamiento resultante |
|---|---|---|
| En el ámbito | N/D | Se aplica la directiva |
| Fuera de ámbito | En el ámbito | No se aplica la directiva |
Cálculo del ámbito de ubicación de Exchange
Este es un ejemplo de cómo se calcula el ámbito de ubicación de Exchange:
Supongamos que tiene cuatro usuarios en su organización y dos grupos de distribución que usará para definir ámbitos de inclusión y exclusión de ubicación de Exchange. La pertenencia a grupos está configurada de la siguiente manera:
| Grupo de distribución | Pertenencia |
|---|---|
| Grupo 1 | User1, User2 |
| Grupo 2 | User2, User3 |
| Ningún grupo | User4 |
| Incluir configuración | Excluir configuración | La directiva se aplica a | La directiva no se aplica a | Explicación del comportamiento |
|---|---|---|---|---|
| todas | Ninguno | Todos los remitentes de la organización de Exchange (User1, User2, User3, User4) | N/D | Cuando no se define ninguno, se incluyen todos los remitentes. |
| Grupo 1 | Ninguno | Remitentes de miembros de Group1 (User1, User2) | Todos los remitentes que no son miembros de Group1 (User3, User4) | Cuando se define una configuración y la otra no, se usa la configuración definida. |
| todas | Grupo 2 | Todos los remitentes de la organización de Exchange que no son miembros de Group2 (User1, User4) | Todos los remitentes que son miembros de Group2 (User2, User3) | Cuando se define una configuración y la otra no, se usa la configuración definida. |
| Grupo 1 | Grupo 2 | User1 | User2, User3, User4 | Inclusión de invalidaciones de exclusión |
Puede escoger entre definir una directiva para los miembros de las listas de distribución, los grupos de distribución dinámicos y los grupos de seguridad. Una directiva DLP no puede contener más de 50 de estas inclusiones y exclusiones.
Ámbito de la ubicación de OneDrive
Al determinar el ámbito de una directiva para las ubicaciones de OneDrive, además de aplicar las directivas DLP a todos los usuarios y grupos de la organización, puede limitar el ámbito de una directiva a usuarios y grupos específicos. DLP admite directivas de ámbito hasta 100 usuarios individuales.
Por ejemplo, si desea incluir más de 100 usuarios, primero debe colocarlos en grupos de distribución o grupos de seguridad, según corresponda. A continuación, puede limitar la directiva a hasta 50 grupos.
En algunos casos, es posible que quiera aplicar una directiva a uno o dos grupos, además de dos o tres usuarios individuales que no pertenezcan a ninguno de esos grupos. Aquí, el procedimiento recomendado es colocar a esas dos o tres personas en un grupo propio. Esta es la única manera de asegurarse de que el ámbito de la directiva se dirige a todos los usuarios previstos.
El motivo es que, cuando se enumeran solo los usuarios, DLP agrega todos los usuarios especificados al ámbito de la directiva. Del mismo modo, al agregar solo grupos, DLP agrega todos los miembros de todos los grupos al ámbito de la directiva.
Supongamos que tiene los siguientes grupos y usuarios:
| Grupo de distribución | Pertenencia |
|---|---|
| Grupo 1 | User1, User2 |
| Grupo 2 | User2, User3 |
Si limita el ámbito de una directiva solo a usuarios o grupos , DLP aplica la directiva a los usuarios como se muestra en la tabla siguiente:
| Ámbito especificado | Comportamiento de evaluación del ámbito DLP | Usuarios en el ámbito |
|---|---|---|
|
(solo usuarios) User1 User2 |
DLP toma la unión de los usuarios especificados | User1, User2 |
|
(solo Grupos) Grupo 1 Grupo 2 |
DLP toma la unión de los grupos especificados | User1, User2, User3 |
Sin embargo, cuando los usuarios y grupos se mezclan en la configuración de ámbito, las cosas se complican. Este es el motivo: DLP solo limita las directivas a los usuarios a la intersección de los grupos y usuarios enumerados.
DLP usa el siguiente orden de operaciones al determinar qué usuarios y grupos incluir en el ámbito:
- Evaluación de la unión de pertenencia a grupos
- Evaluación de la unión de usuarios
- Evaluar la intersección de miembros y usuarios del grupo, es decir, donde se superponen los resultados
A continuación, aplica el ámbito de la directiva a la intersección de miembros y usuarios del grupo.
Vamos a ampliar nuestro ejemplo, trabajando con el mismo conjunto de grupos y vamos a agregar User4, que no está en un grupo:
| Grupo de distribución | Pertenencia |
|---|---|
| Grupo 1 | User1, User2 |
| Grupo 2 | User2, User3 |
| Ningún grupo | Usuario 4 |
En la tabla siguiente se explica cómo funciona el ámbito de la directiva en los casos en los que los usuarios y los grupos se incluyen en las instrucciones de ámbito.
| Ámbito especificado | Comportamiento de evaluación del ámbito DLP | Usuarios en el ámbito |
|---|---|---|
| Grupo 1 Grupo 2 User3 User4 |
Primera evaluación: Unión de grupos: (Group1 + Group2) = User1, User2, User3 Segunda evaluación: Unión de usuarios: (User3 + User4) = User3, User4 Tercera evaluación: Intersección de grupos y usuarios (superposición): (Group1 + Group2) = User1, User2, User3 (User3 + User4) = User3, User4 |
User3 (User3 es el único usuario que aparece en los resultados de las evaluaciones primera y segunda). |
| Grupo 1 Grupo 2 User1 User3 User4 |
Primera evaluación: Unión de grupos: (Group1 + Group2) = User1, User2, User3 Segunda evaluación: Unión de usuarios: (User1 + User3 + User4) = User1, User3, User4 Tercera evaluación: Intersección de grupos y usuarios (superposición): (Group1 + Group2) = User1, User3 (User1 + User3, User4) = User1, User3, User4 |
User1, User3 (Estos son los únicos usuarios que aparecen en los resultados de la primera y la segunda evaluación). |
Compatibilidad con la ubicación de cómo se puede definir el contenido
Las directivas DLP detectan elementos confidenciales si coinciden con un tipo de información confidencial (SIT), o con una etiqueta de confidencialidad o una etiqueta de retención. Cada ubicación admite diferentes métodos para definir contenido confidencial. Cómo se puede definir el contenido al combinar ubicaciones en una directiva, puede cambiar de cómo se puede definir cuando se limita a una sola ubicación.
Importante
Al seleccionar varias ubicaciones para una directiva, un valor "no" para una categoría de definición de contenido tiene prioridad sobre el valor "sí". Por ejemplo, al seleccionar solo sitios de SharePoint, la directiva admitirá la detección de elementos confidenciales por uno o varios de SIT, por etiqueta de confidencialidad o por etiqueta de retención. Sin embargo, al seleccionar sitios de SharePoint y ubicaciones de mensajes de chat y canal de Teams, la directiva solo admitirá la detección de elementos confidenciales por parte de SIT.
| Ubicación | El contenido se puede definir mediante SIT | El contenido se puede definir como etiqueta de confidencialidad | El contenido se puede definir mediante la etiqueta de retención. |
|---|---|---|---|
| Correo electrónico de Exchange en línea | Sí | Sí | No |
| SharePoint en sitios de Microsoft 365 | Sí | Sí | Sí |
| OneDrive para cuentas profesionales o educativas | Sí | Sí | Sí |
| Mensajes de chat y canal de Teams | Sí | No | No |
| Dispositivos | Sí | Sí | No |
| Instancias | Sí | Sí | Sí |
| Repositorios locales | Sí | Sí | No |
| Tejido y Power BI | Sí | Sí | No |
DLP admite el uso de clasificadores entrenables como condición para detectar documentos confidenciales. El contenido se puede definir mediante clasificadores entrenables en Exchange, sitios de SharePoint, cuentas de OneDrive, chat y canales de Teams y dispositivos. Para obtener más información, vea Clasificadores entrenables.
Nota:
DLP admite la detección de etiquetas de confidencialidad en correos electrónicos y datos adjuntos. Para obtener más información, vea Usar etiquetas de confidencialidad como condiciones en las directivas DLP.
Rules
Las reglas son la lógica de negocios de las directivas DLP. Constan de:
- Condiciones que, cuando coinciden, desencadenan las acciones de directiva
- Notificaciones de usuario para informar a los usuarios cuando están haciendo algo que desencadena una directiva y ayudarles a educarlos sobre cómo su organización quiere tratar la información confidencial.
- Las invalidaciones de usuario cuando las configura un administrador, permiten a los usuarios invalidar de forma selectiva una acción de bloqueo.
- Informes de incidentes que notifican a los administradores y a otras partes interesadas clave cuando se produce una coincidencia de regla
- Opciones adicionales que definen la prioridad para la evaluación de reglas y pueden detener el procesamiento de reglas y directivas adicionales.
Una directiva contiene una o varias reglas. Las reglas se ejecutan secuencialmente, comenzando por la regla de mayor prioridad de cada directiva.
Prioridad por la que se evalúan y aplican las reglas
Ubicaciones de servicio hospedadas
Para las ubicaciones de servicio hospedadas, como Exchange, SharePoint y OneDrive, a cada regla se le asigna una prioridad en el orden en que se crea. Esto significa que la regla creada primero tiene la primera prioridad, la regla creada en segundo lugar tiene segunda prioridad, etc.
Cuando se evalúa el contenido frente a reglas, estas se procesan en orden de prioridad. Si el contenido coincide con varias reglas, se aplica la primera regla evaluada que tiene la acción más restrictiva. Por ejemplo, si el contenido coincide con todas las reglas siguientes, se aplica la regla 3 porque es la regla más restrictiva y de mayor prioridad:
- Regla 1: solo notifica a los usuarios
- Regla 2: notifica a los usuarios, restringe el acceso y permite invalidaciones de usuario
- Regla 3: notifica a los usuarios, restringe el acceso y no permite invalidaciones de usuario.
- Regla 4: restringe el acceso
Las reglas 1, 2 y 4 se evaluarán, pero no se aplicarán. En este ejemplo, las coincidencias de todas las reglas se registran en los registros de auditoría y se muestran en los informes DLP, aunque solo se aplique la regla más restrictiva.
Puede usar una regla para satisfacer un requisito de protección específico y después usar una directiva DLP para agrupar los requisitos de protección comunes, como todas las reglas necesarias para cumplir una normativa específica.
Por ejemplo, podría tener una directiva DLP que ayude a detectar la presencia de información sujeta a la Ley de transferencia y responsabilidad de seguros de salud (HIPAA). Esta directiva DLP podría ayudar a proteger los datos hipaa (el "qué") en todos los sitios de SharePoint y todos los sitios de OneDrive (el "dónde") mediante la búsqueda de cualquier documento que contenga esta información confidencial compartida con personas ajenas a la organización (las condiciones) y, a continuación, bloquear el acceso al documento y enviar una notificación (las acciones). Estos requisitos se almacenan como reglas individuales y se agrupan de forma conjunta como directiva DLP para simplificar la administración y la creación de informes.
Para puntos de conexión
Cuando un elemento coincide con varias reglas DLP, DLP usa un algoritmo complejo para decidir qué acciones aplicar. DLP de punto de conexión aplica el agregado o la suma de la mayoría de las acciones restrictivas. DLP usa estos factores al realizar el cálculo.
Orden de prioridad de directiva Cuando un elemento coincide con varias directivas y esas directivas tienen acciones idénticas, se aplican las acciones de la directiva de mayor prioridad.
Orden de prioridad de regla Cuando un elemento coincide con varias reglas de una directiva y esas reglas tienen acciones idénticas, se aplican las acciones de la regla de mayor prioridad.
Modo de la directiva Cuando un elemento coincide con varias directivas y esas directivas tienen acciones idénticas, las acciones de todas las directivas que están en Estado Activar ( aplicar modo) se aplican preferentemente a las directivas en Ejecutar la directiva en modo de simulación con sugerencias de directiva y Ejecutar la directiva en estado de modo de simulación .
acción Cuando un elemento coincide con varias directivas y esas directivas difieren en las acciones, se aplica el agregado o la suma de las acciones más restrictivas.
Configuración de grupos de autorización Cuando un elemento coincide con varias directivas y esas directivas difieren en acción, se aplica el agregado o la suma de las acciones más restrictivas.
opciones de invalidación Cuando un elemento coincide con varias directivas y esas directivas difieren en la opción de invalidación, las acciones se aplican en este orden:
Sin invalidación>Permitir invalidación
Estos son escenarios que ilustran el comportamiento en tiempo de ejecución. Para los tres primeros escenarios, tiene tres directivas DLP configuradas de esta manera:
| Nombre de la directiva | Condición para coincidir | Acción | Prioridad de directiva |
|---|---|---|---|
| ABECEDARIO | El contenido contiene el número de tarjeta de crédito | Bloquear impresión, auditar todas las demás actividades de salida del usuario | 0 |
| MNO | El contenido contiene el número de tarjeta de crédito | Bloquear copia en USB, auditar todas las demás actividades de salida del usuario | 1 |
| XYZ | El contenido contiene el número de seguro social de EE. UU. | Bloquear copia en el Portapapeles, auditar todas las demás actividades de salida del usuario | 2 |
El elemento contiene números de tarjeta de crédito
Un elemento de un dispositivo supervisado contiene números de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. Tanto ABC como MNO están en modo Activar .
| Policy | Acción de salida de la nube | Copia en la acción del Portapapeles | Copia en la acción USB | Copia en la acción de recurso compartido de red | Acción de aplicaciones no permitidas | Acción imprimir | Copiar a través de la acción bluetooth | Copia en la acción de Escritorio remoto |
|---|---|---|---|---|---|---|---|---|
| ABECEDARIO | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
| MNO | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría |
| Acciones aplicadas en tiempo de ejecución | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
El elemento contiene números de tarjeta de crédito y números de seguro social de EE. UU.
Un elemento de un dispositivo supervisado contiene números de tarjeta de crédito y números de seguro social de EE. UU., por lo que este elemento coincide con la directiva ABC, el MNO de directiva y la directiva XYZ. Las tres directivas están en modo Activar.
| Policy | Acción de salida de la nube | Copia en la acción del Portapapeles | Copia en la acción USB | Copia en la acción de recurso compartido de red | Acción de aplicaciones no permitidas | Acción imprimir | Copiar a través de la acción bluetooth | Copia en la acción de Escritorio remoto |
|---|---|---|---|---|---|---|---|---|
| ABECEDARIO | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
| MNO | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría |
| XYZ | Auditoría | Bloquear | Auditoría | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
| Acciones aplicadas en tiempo de ejecución | Auditoría | Bloquear | Bloquear | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
El elemento contiene números de tarjeta de crédito, estado de directiva diferente
Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Modo de activación y la directiva MNO está en Estado ejecutar la directiva en modo de simulación .
| Policy | Acción de salida de la nube | Copia en la acción del Portapapeles | Copia en la acción USB | Copia en la acción de recurso compartido de red | Acción de aplicaciones no permitidas | Acción imprimir | Copiar a través de la acción bluetooth | Copia en la acción de Escritorio remoto |
|---|---|---|---|---|---|---|---|---|
| ABECEDARIO | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
| MNO | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría |
| Acciones aplicadas en tiempo de ejecución | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
El elemento contiene números de tarjeta de crédito, configuración de invalidación diferente
Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Activar el estado y la directiva MNO está en Activar estado. Tienen diferentes acciones de invalidación configuradas.
| Policy | Acción de salida de la nube | Copia en la acción del Portapapeles | Copia en la acción USB | Copia en la acción de recurso compartido de red | Acción de aplicaciones no permitidas | Acción imprimir | Copiar a través de la acción bluetooth | Copia en la acción de Escritorio remoto |
|---|---|---|---|---|---|---|---|---|
| ABECEDARIO | Auditoría | Auditoría | Bloqueo con invalidación | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
| MNO | Auditoría | Auditoría | Bloquear sin invalidación | Auditoría | Auditoría | Auditoría | Auditoría | Auditoría |
| Acciones aplicadas en tiempo de ejecución | Auditoría | Auditoría | Bloquear sin invalidación | Auditoría | Auditoría | Bloquear | Auditoría | Auditoría |
El elemento contiene números de tarjeta de crédito, configuración de grupos de autorización diferentes
Un elemento de un dispositivo supervisado contiene el número de tarjeta de crédito, por lo que coincide con la directiva ABC y la directiva MNO. La directiva ABC está en Activar el estado y la directiva MNO está en Activar estado. Tienen diferentes acciones de grupo de autorización configuradas.
| Policy | Acción de salida de la nube | Copia en la acción del Portapapeles | Copia en la acción USB | Copia en la acción de recurso compartido de red | Acción de aplicaciones no permitidas | Acción imprimir | Copiar a través de la acción bluetooth | Copia en la acción de Escritorio remoto |
|---|---|---|---|---|---|---|---|---|
| ABECEDARIO | Auditoría | Auditoría | Grupo de autenticación A: bloque | Auditoría | Auditoría | Grupo de autenticación A: bloque | Auditoría | Auditoría |
| MNO | Auditoría | Auditoría | Autenticación del grupo A: bloquear con invalidación | Auditoría | Auditoría | Grupo de autenticación B: bloque | Auditoría | Auditoría |
| Acciones aplicadas en tiempo de ejecución | Auditoría | Auditoría | Grupo de autenticación A: bloque | Auditoría | Auditoría | Grupo de autenticación A: bloque, grupo de autenticación B: bloque | Auditoría | Auditoría |
Condiciones
Las condiciones son donde se define lo que quiere que busque la regla y el contexto en el que se usan esos elementos. Indican la regla: cuando se encuentra un elemento que tiene este aspecto y se usa así, es una coincidencia y el resto de las acciones de la directiva se deben realizar en ella. Puede usar condiciones para asignar acciones diferentes a distintos niveles de riesgo. Por ejemplo, el contenido confidencial compartido internamente podría ser de menor riesgo y necesitar menos acciones que el contenido confidencial compartido con personas de fuera de la organización.
Nota:
Los usuarios que tienen cuentas no invitadas en el inquilino de Active Directory o Microsoft Entra de una organización host se consideran personas dentro de la organización.
El contenido contiene
Todas las ubicaciones admiten la condición Contenido contiene . Puede seleccionar varias instancias de cada tipo de contenido y refinar aún más las condiciones mediante cualquiera de estos operadores (OR lógico) o Todos estos (AND lógico):
- tipos de información confidencial
- etiquetas de confidencialidad
- etiquetas de retención
- Clasificadores entrenables
La regla solo buscará la presencia de las etiquetas de confidencialidad y las etiquetas de retención que elija.
Los SIT tienen un nivel de confianza predefinido que puede modificar si es necesario. Para obtener más información, consulte Más información sobre los niveles de confianza.
Importante
Los SIT tienen dos formas diferentes de definir los parámetros de recuento de instancias únicos máximos. Para obtener más información, consulte Valores admitidos de recuento de instancias para SIT.
Protección adaptable en Microsoft Purview
La protección adaptable integra Administración de riesgos internos de Microsoft Purview perfiles de riesgo en las directivas DLP para que DLP pueda ayudar a protegerse frente a comportamientos de riesgo identificados dinámicamente. Cuando se configura en la administración de riesgos internos, el nivel de riesgo insider para La protección adaptable se mostrará como condición para las ubicaciones de Exchange Online, Dispositivos y Teams. Consulte Más información sobre la protección adaptable en prevención de pérdida de datos para obtener más información.
Condiciones que admite La protección adaptable
- El nivel de riesgo interno para la protección adaptable es...
con estos valores:
- Nivel de riesgo elevado
- Nivel de riesgo moderado
- Nivel de riesgo menor
Contexto de condición
Las opciones de contexto disponibles cambian en función de la ubicación que elija. Si selecciona varias ubicaciones, solo estarán disponibles las condiciones que las ubicaciones tienen en común.
Condiciones que admite Exchange
- El contenido contiene
- El nivel de riesgo interno para la protección adaptable es
- El contenido no está etiquetado
- El contenido se comparte desde Microsoft 365
- El contenido se recibe de
- La dirección IP del remitente es
- El encabezado contiene palabras o frases
- El atributo DE AD del remitente contiene palabras o frases
- El juego de caracteres de contenido contiene palabras
- El encabezado coincide con patrones
- El atributo de AD del remitente coincide con los patrones
- El atributo ad de destinatario contiene palabras o frases
- El atributo de AD del destinatario coincide con los patrones
- El destinatario es miembro de
- La propiedad del documento es
- No se pudo digitalizar algún contenido de los datos adjuntos del correo
- El documento o los datos adjuntos están protegidos con contraseña
- ¿Ha invalidado el remitente la sugerencia de directiva?
- El remitente es miembro de
- No se pudo completar el análisis de algún contenido de los datos adjuntos del correo
- La dirección del destinatario contiene palabras
- La extensión de archivo es
- El dominio del destinatario es
- El destinatario es
- El remitente es
- El dominio del remitente es
- La dirección del destinatario coincide con patrones
- El nombre del documento contiene palabras o frases
- El nombre del documento coincide con los patrones
- El asunto contiene palabras o frases
- El asunto coincide con patrones
- El asunto o el cuerpo contiene palabras o frases
- El asunto o el cuerpo coinciden con los patrones
- La dirección del remitente contiene palabras
- La dirección del remitente coincide con patrones
- El tamaño del documento es igual o mayor que
- El contenido del documento contiene palabras o frases
- El contenido del documento coincide con patrones
- El tamaño del mensaje es igual o mayor que
- El tipo de mensaje es
- La importancia del mensaje es
Sugerencia
Para obtener más información sobre las condiciones que admite Exchange, incluidos los valores de PowerShell, vea: Referencia de las condiciones y acciones de Exchange de prevención de pérdida de datos.
Condiciones que admite SharePoint
- El contenido contiene
- El contenido se comparte desde Microsoft 365
- La propiedad del documento es
- La extensión de archivo es
- El nombre del documento contiene palabras o frases
- El tamaño del documento es igual o mayor que
- Documento creado por
Condiciones compatibles con las cuentas de OneDrive
- El contenido contiene
- El contenido se comparte desde Microsoft 365
- La propiedad del documento es
- La extensión de archivo es
- El nombre del documento contiene palabras o frases
- El tamaño del documento es igual o mayor que
- Documento creado por
- El documento se comparte
Condiciones Compatibilidad con mensajes de canal y chat de Teams
- El contenido contiene
- El nivel de riesgo interno para la protección adaptable es
- El contenido se comparte desde Microsoft 365
- El dominio del destinatario es -Recipient is
- El remitente es
- El dominio del remitente es
Condiciones admitidas para puntos de conexión
El contenido contiene: Especifica el contenido que se va a detectar. Para obtener más información sobre los tipos de archivo admitidos, consulte Tipos de archivo examinados para obtener contenido.
El contenido no está etiquetado: Detecta el contenido que no tiene una etiqueta de confidencialidad aplicada. Para ayudar a garantizar que solo se detecten tipos de archivo admitidos, debe usar esta condición con la extensión Archivo es o El tipo de archivo es condiciones. (Los archivos PDF y Office son totalmente compatibles).
No se pudo examinar el documento: Se aplica a los archivos que no se pueden examinar por una de las siguientes razones:
- El archivo contiene uno o varios errores transitorios de extracción de texto
- El archivo está protegido con contraseña
- El tamaño de archivo supera el límite admitido (tamaños máximos de archivo: 64 MB para archivos sin comprimir; 256 MB para archivos comprimidos)
El nombre del documento contiene palabras o frases: Detecta documentos con nombres de archivo que contienen cualquiera de las palabras o frases que especifique, por ejemplo:
file,credit card,patent, etc.El nombre del documento coincide con los patrones: Detecta documentos en los que el nombre de archivo coincide con patrones específicos. Para definir los patrones, use comodín. Para obtener información sobre los patrones de expresión regular, consulte la documentación de expresiones regulares aquí.
El documento o los datos adjuntos están protegidos con contraseña: Detecta solo los archivos protegidos que están abiertos. Los siguientes archivos son totalmente compatibles:
- Archivos de archivo (ZIP, .7z, RAR)
- Archivos de Office
- Archivos cifrados de Symantec PGP
El tamaño del documento es igual o mayor que: Detecta documentos con tamaños de archivo iguales o mayores que el valor especificado.
Importante
Se recomienda establecer esta condición para detectar elementos que tienen más de 10 KB.
El tipo de archivo es: Detecta los siguientes tipos de archivo:
Tipo de archivo Aplicaciones Extensiones de archivo supervisadas Procesamiento de texto Word, PDF doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf Hoja de cálculo Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv Presentación PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx Correo electrónico Outlook .Msg Importante
Las opciones de extensiones de archivo y tipos de archivono se pueden usar como condiciones en la misma regla. Si desea usarlas como condiciones en la misma directiva, deben estar en reglas independientes.
Para usar la condición Tipo de archivo es , debe tener una de las siguientes versiones de Windows:
Puntos de conexión de Windows (X64):
- Windows 10 (21H2, 22H2)
Puntos de conexión de Windows (ARM64):
- Windows 11 (21H2, 22H2)
La extensión de archivo es: Además de detectar información confidencial en archivos con las mismas extensiones que las cubiertas por el tipo de archivo es condición, puede usar la condición Extensión de archivo es para detectar información confidencial en archivos con cualquier extensión de archivo que necesite supervisar. Para ello, agregue las extensiones de archivo necesarias, separadas por comas a una regla de la directiva. La condición Extensión de archivo solo se admite para las versiones de Windows que admiten el tipo de archivo es condición.
Advertencia
Incluir cualquiera de las siguientes extensiones de archivo en las reglas de directiva podría aumentar significativamente la carga de CPU: .dll, .exe, .mui, .ost, .pf, .pst.
No se completó el examen: Se aplica cuando se inicia el examen de un archivo, pero se detiene antes de examinar todo el archivo. La razón principal de un examen incompleto es que el texto extraído dentro del archivo supera el tamaño máximo permitido. (Tamaños máximos de texto extraído: archivos sin comprimir: 4 MB; Archivos comprimidos: N=1000 / Tiempo de extracción = 5 minutos).
Document (propiedad) es: Detecta documentos con propiedades personalizadas que coinciden con los valores especificados. Por ejemplo:
Department = 'Marketing',Project = 'Secret'. Para especificar varios valores para una propiedad personalizada, use comillas dobles. Por ejemplo, "Departamento: Marketing, Ventas".El usuario accedió a un sitio web confidencial desde Microsoft Edge: Para obtener más información, vea Escenario 6 Supervisar o restringir las actividades de usuario en dominios de servicio confidenciales (versión preliminar).
El nivel de riesgo interno de Adaptive Protection es: Detecta el nivel de riesgo interno.
Consulte también: Actividades de punto de conexión en las que puede supervisar y tomar medidas.
Requisitos del sistema operativo para cinco condiciones
- No se pudo examinar el documento
- El nombre del documento contiene palabras o frases
- El nombre del documento coincide con los patrones
- El tamaño del documento es igual o mayor que
- No se completó el examen
Para usar cualquiera de estas condiciones, los dispositivos de punto de conexión deben ejecutar uno de los siguientes sistemas operativos:
Windows 11 23H2:4 de diciembre de 2023: KB5032288 (compilaciones del sistema operativo 22621.2792 y 22631.2792) (versión preliminar)
Windows 11 22H2:4 de diciembre de 2023: KB5032288 (compilaciones del sistema operativo 22621.2792 y 22631.2792) versión preliminar: Soporte técnico de Microsoft
Windows 11 21H2:12 de diciembre de 2023: KB5033369 (compilación del sistema operativo 22000.2652): Soporte técnico de Microsoft
Windows 10 22H2:30 de noviembre de 2023: KB5032278 (versión preliminar del sistema operativo 19045.3758): Soporte técnico de Microsoft
Windows 10 21H2:30 de noviembre de 2023: KB5032278 (versión preliminar del sistema operativo 19045.3758): Soporte técnico de Microsoft
Windows Server 2022/2019:14 de noviembre de 2023: KB5032198 (compilación del sistema operativo 20348.2113): Soporte técnico de Microsoft (o posterior)
Requisitos del sistema operativo para la condición 'Document Property is'
Windows 11:29 de febrero de 2024: versión preliminar KB5034848 (compilaciones del sistema operativo 22621.3235 y 22631.3235) Soporte técnico de Microsoft (o posterior)
Windows 10:29 de febrero de 2024: KB5034843 (versión preliminar del sistema operativo 19045.4123): Soporte técnico de Microsoft (o posterior)
Importante
Para obtener información sobre los requisitos de Adobe para usar características de Prevención de pérdida de datos de Microsoft Purview (DLP) con archivos PDF, consulte este artículo de Adobe: Microsoft Purview Information Protection Support in Acrobat.
Las instancias de condiciones admiten
- El contenido contiene
- El contenido se comparte desde Microsoft 365
Condiciones compatibles con repositorios locales
- El contenido contiene
- La extensión de archivo es
- La propiedad del documento es
Compatibilidad con Conditions Fabric y Power BI
- El contenido contiene
Grupos de condiciones
A veces, necesita una regla para identificar solo una cosa, como todo el contenido que contiene un número de seguro social de EE. UU., que se define mediante una sola SIT. Sin embargo, en muchos escenarios en los que los tipos de elementos que intenta identificar son más complejos y, por lo tanto, más difíciles de definir, se requiere más flexibilidad para definir las condiciones.
Por ejemplo, para identificar el contenido sujeto a la Ley de seguros de salud (HIPAA) de Estados Unidos, debe buscar:
Contenido que incluye tipos concretos de información confidencial, como un Número de la Seguridad social o un Número de la Agencia antidroga (DEA) de Estados Unidos.
Y
Contenido que es más difícil identificar, como las comunicaciones sobre la atención a un paciente o las descripciones de los servicios médicos proporcionados. La identificación de este tipo de contenido requiere que coincida con las palabras clave de una lista grande, como la Clasificación internacional de enfermedades (ICD-9-CM o ICD-10-CM).
Puede identificar este tipo de datos mediante la agrupación de condiciones y el uso de operadores lógicos (AND, OR) entre los grupos.
En el caso de la Ley de Seguro De Salud (HIPAA) de EE. UU., las condiciones se agrupan de la siguiente manera:
El primer grupo contiene los SIT que identifican a un individuo y el segundo grupo contiene los SIT que identifican el diagnóstico médico.
Las condiciones se pueden agrupar y combinar con operadores booleanos (AND, OR, NOT) para que defina una regla indicando lo que se debe incluir y, a continuación, definiendo exclusiones en un grupo diferente unido al primero por un NOT. Para obtener más información sobre cómo DLP de Purview implementa booleanos y grupos anidados, consulte Diseño de reglas complejas.
Limitaciones de la plataforma DLP para condiciones
| Predicado | Carga de trabajo | Límite | Costo de la evaluación |
|---|---|---|---|
| Contenido contiene | EXO/SPO/ODB | 125 SIT por regla | Alto |
| El contenido se comparte desde Microsoft 365 | EXO/SPO/ODB | - | Alto |
| La dirección IP del remitente es | EXO | Longitud <del intervalo individual = 128; Count <= 600 | Bajo |
| ¿Ha invalidado el remitente la sugerencia de directiva? | EXO | - | Bajo |
| El remitente es | EXO | Longitud <del correo electrónico individual = 256; Count <= 600 | Mediano |
| El remitente es miembro de | EXO | Count <= 600 | Alto |
| El dominio del remitente es | EXO | Longitud <del nombre de dominio = 67; Count <= 600 | Bajo |
| La dirección del remitente contiene palabras | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Bajo |
| La dirección del remitente coincide con patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 600 | Bajo |
| El atributo de AD del remitente contiene palabras | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Mediano |
| El atributo de AD del remitente coincide con los patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 600 | Mediano |
| No se puede examinar el contenido de los datos adjuntos de correo electrónico | EXO | Tipos de archivo admitidos | Bajo |
| Examen incompleto del contenido de datos adjuntos de correo electrónico | EXO | Tamaño > de 1 MB | Bajo |
| Los datos adjuntos están protegidos con contraseña | EXO | Tipos de archivo: archivos de Office, .PDF, .ZIP y 7z | Bajo |
| La extensión del archivo adjunto es | EXO/SPO/ODB | Count <= 600 por regla | Alto |
| El destinatario es un miembro de | EXO | Count <= 600 | Alto |
| El dominio del destinatario es | EXO | Longitud <del nombre de dominio = 67; Count <= 5000 | Bajo |
| El destinatario es | EXO | Longitud <del correo electrónico individual = 256; Count <= 600 | Bajo |
| La dirección del destinatario contiene palabras | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Bajo |
| La dirección del destinatario coincide con patrones | EXO | Count <= 300 | Bajo |
| El nombre del documento contiene palabras o frases | EXO | Longitud de la palabra <individual = 128; Count <=600 | Bajo |
| El nombre del documento coincide con los patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 300 | Bajo |
| La propiedad del documento es | EXO/SPO/ODB | - | Bajo |
| El tamaño del documento es igual o mayor que | EXO | - | Bajo |
| El asunto contiene palabras o frases | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Bajo |
| El encabezado contiene palabras o frases | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Bajo |
| El asunto o el cuerpo contiene palabras o frases | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Bajo |
| El juego de caracteres de contenido contiene palabras | EXO | Count <= 600 | Bajo |
| El encabezado coincide con patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 300 | Bajo |
| El asunto coincide con patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 300 | Bajo |
| El asunto o el cuerpo coinciden con los patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 300 | Bajo |
| El tipo de mensaje es | EXO | - | Bajo |
| Tamaño del mensaje sobre | EXO | - | Bajo |
| Con importancia | EXO | - | Bajo |
| El atributo de AD del remitente contiene palabras | EXO | Cada par de valores de clave de atributo: tiene longitud <Regex = 128 char; Count <= 600 | Mediano |
| El atributo de AD del remitente coincide con los patrones | EXO | Cada par de valores de clave de atributo: tiene longitud <Regex = 128 char; Count <= 300 | Mediano |
| El documento contiene palabras | EXO | Longitud de la palabra <individual = 128; Count <= 600 | Mediano |
| El documento coincide con los patrones | EXO | Longitud de la expresión <regular = 128 caracteres; Count <= 300 | Mediano |
Acciones
Cualquier elemento que lo realice a través del filtro de condiciones tendrá las acciones definidas en la regla que se le aplica. Tendrá que configurar las opciones necesarias para admitir la acción. Por ejemplo, si selecciona Exchange con la acción Restringir acceso o cifrar el contenido en ubicaciones de Microsoft 365 , debe elegir entre estas opciones:
- Impedir que los usuarios accedan al contenido compartido de SharePoint, OneDrive y Teams
- Bloquear a todos. Solo el propietario del contenido, el último modificador y el administrador del sitio seguirán teniendo acceso
- Bloquee solo a personas de fuera de la organización. Los usuarios de la organización seguirán teniendo acceso.
- Cifrar mensajes de correo electrónico (solo se aplica al contenido de Exchange)
Las acciones que están disponibles en una regla dependen de las ubicaciones que se han seleccionado. Las acciones disponibles para cada ubicación individual se enumeran a continuación.
Importante
En el caso de las ubicaciones de SharePoint y OneDrive, los documentos se bloquearán proactivamente justo después de la detección de información confidencial (independientemente de si el documento se comparte o no) para todos los usuarios externos; los usuarios internos seguirán teniendo acceso al documento.
Acciones admitidas: Exchange
Cuando se aplican reglas de directiva DLP en Exchange, es posible que se detengan, no se detengan o ninguna de ellas. La mayoría de las reglas que admite Exchange no se detienen. Las acciones que no se detienen se evalúan y aplican inmediatamente antes de procesar las reglas y directivas posteriores, como se describe en las ubicaciones del servicio hospedado anteriormente en este artículo.
Sin embargo, cuando una regla de directiva DLP desencadena una acción de detención , Purview deja de procesar las reglas posteriores. Por ejemplo, cuando se desencadena la acción Restringir acceso o cifrar el contenido en ubicaciones de Microsoft 365 , no se procesan reglas ni directivas adicionales.
En caso de que una acción no se detenga ni no se detenga, Purview espera a que se produzca el resultado de la acción antes de continuar. Por lo tanto, cuando un correo electrónico saliente desencadena la acción Reenviar el mensaje para su aprobación al administrador del remitente , Purview espera a obtener la decisión del administrador sobre si se puede enviar o no el correo electrónico. Si el administrador lo aprueba, la acción se comporta como una acción que no se detiene y se procesan las reglas posteriores. Por el contrario, si el administrador rechaza enviar el correo electrónico, reenviar el mensaje para su aprobación al administrador del remitente se comporta como una acción de detención y bloquea el envío del correo electrónico; no se procesan reglas o directivas posteriores.
En la tabla siguiente se enumeran las acciones que admite Exchange e indica si se detienen o no.
| Acción | Detención o no detención |
|---|---|
| Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 | Vacilante |
| Establecer encabezados | Sin detención |
| Quitar encabezado | Sin detención |
| Redirigir el mensaje a usuarios específicos | Sin detención |
| Reenviar el mensaje para su aprobación al administrador del remitente | Ninguna |
| Reenviar el mensaje para su aprobación a aprobadores específicos | Ninguna |
| Agregar destinatario al cuadro Para | Sin detención |
| Agregar destinatario al cuadro Cc | Sin detención |
| Agregar destinatario al cuadro CCO | Sin detención |
| Agregar el administrador del remitente como destinatario | Sin detención |
| Eliminación del cifrado de mensajes y la protección de derechos | Sin detención |
| Anteponer Email asunto | Sin detención |
| Agregar declinación de responsabilidades html | Sin detención |
| Modificar Email asunto | Sin detención |
| Entrega del mensaje a la cuarentena hospedada | Vacilante |
| Aplicación de personalización de marca a mensajes cifrados | Sin detención |
Sugerencia
Para la acción Aplicar personalización de marca a mensajes cifrados, si ya ha implementado Cifrado de mensajes de Microsoft Purview, las plantillas se muestran automáticamente en la lista desplegable. Si desea implementar Cifrado de mensajes de Microsoft Purview, consulte Incorporación de la marca de su organización a la Cifrado de mensajes de Microsoft Purview mensajes cifrados para obtener información general sobre el cifrado de mensajes y cómo crear y configurar las plantillas de personalización de marca.
Para obtener más información sobre las acciones que admite Exchange, incluidos los valores de PowerShell, vea: Referencia de las condiciones y acciones de Exchange de prevención de pérdida de datos.
Acciones admitidas: SharePoint
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
Acciones admitidas: OneDrive
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
Acciones admitidas: Mensajes de chat y canal de Teams
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
Acciones admitidas: Dispositivos
Puede indicar a DLP que audite solo, Bloquear con invalidación o Bloquear (las acciones) estas actividades de usuario para dispositivos incorporados.
- Restricción del acceso o cifrado de contenido en ubicaciones de Microsoft 365
- Auditoría o restricción de actividades cuando los usuarios acceden a sitios confidenciales en exploradores Microsoft Edge en dispositivos Windows
- Auditoría o restricción de actividades en dispositivos
- Actividades de dominio y explorador de servicio
- Actividades de archivo para todas las aplicaciones
- Actividades de aplicación restringidas
- Actividades de archivo para aplicaciones en grupos de aplicaciones restringidos (versión preliminar)
Restricción del acceso o cifrado de contenido en ubicaciones de Microsoft 365
Use esta opción para impedir que los usuarios reciban correo electrónico o accedan a sharePoint, OneDrive, archivos de Teams y elementos de Power BI compartidos. Esta acción puede bloquear a todos o bloquear solo a las personas que están fuera de su organización.
Auditoría o restricción de actividades cuando los usuarios acceden a sitios confidenciales en exploradores Microsoft Edge en dispositivos Windows
Use esta acción para controlar cuándo los usuarios intentan:
| Actividad | Descripción/opciones |
|---|---|
| Imprimir el sitio | Detecta cuándo los usuarios intentan imprimir un sitio protegido desde un dispositivo incorporado. |
| Copia de datos del sitio | Detecta cuándo los usuarios intentan copiar datos de un sitio protegido desde un dispositivo incorporado. |
| Guardar el sitio como archivos locales (Guardar como) | Detecta cuándo los usuarios intentan guardar un sitio protegido como archivos locales desde un dispositivo incorporado. |
Auditoría o restricción de actividades en dispositivos
Úselo para restringir las actividades de usuario por dominio de servicio y actividades del explorador, actividades de archivo para todas las aplicaciones, actividades de aplicaciones restringidas. Para usar auditar o restringir actividades en dispositivos, debe configurar opciones en la configuración dlp y en la directiva en la que desea usarlas. Consulte Aplicaciones restringidas y grupos de aplicaciones para obtener más información.
Las reglas DLP con la acción Auditar o restringir actividades en dispositivos pueden tener bloquear con invalidación configurado. Cuando esta regla se aplica a un archivo, se bloquea cualquier intento de realizar una acción restringida en el archivo. Se muestra una notificación con la opción de invalidar la restricción. Si el usuario decide invalidar, la acción se permite durante un período de 1 minuto, durante el cual el usuario puede volver a intentar la acción sin restricciones. La excepción a este comportamiento es cuando se arrastra y coloca un archivo confidencial en Edge, que adjuntará inmediatamente el archivo si se invalida la regla.
Actividades de dominio y explorador de servicio
Al configurar los dominios de servicio en la nube Allow/Block y la lista Exploradores no permitidos (consulte Restricciones de explorador y dominio para datos confidenciales) y un usuario intenta cargar un archivo protegido en un dominio de servicio en la nube o acceder a él desde un explorador no permitido, puede configurar la acción de directiva en Audit only, Block with overrideo Block en la actividad.
| Actividad | Descripción/opciones |
|---|---|
| Carga en un dominio de servicios en la nube restringido o acceso desde una aplicación no permitida | Detecta cuándo se bloquean los archivos protegidos o se permite cargarlos en dominios de servicio en la nube. Consulte Restricciones de explorador y dominio para datos confidenciales y Escenario 6 Supervisar o restringir las actividades del usuario en dominios de servicio confidenciales). |
| Pegar en exploradores admitidos | Detecta cuándo los usuarios pegan información confidencial en un campo de texto o formulario web mediante Microsoft Edge, Google Chrome (con la extensión Microsoft Purview) o Mozilla Firefox (con la extensión Microsoft Purview). La evaluación es independiente de la clasificación del archivo de origen. Para obtener más información, consulte: Actividades de punto de conexión sobre las que puede supervisar y realizar acciones. |
Actividades de archivo para todas las aplicaciones
Con la opción Actividades de archivo para todas las aplicaciones , seleccione No restringir las actividades de archivo o Aplicar restricciones a actividades específicas. Al seleccionar Aplicar restricciones a actividades específicas, las acciones que seleccione aquí se aplicarán cuando un usuario tenga acceso a un elemento protegido dlp.
| Actividad | Descripción/opciones |
|---|---|
| Copiar en el portapapeles | Detecta cuándo se copian los archivos protegidos en el Portapapeles en un dispositivo incorporado. Para obtener más información, consulte Actividades de punto de conexión en las que puede supervisar y realizar acciones y Copiar en el comportamiento del Portapapeles. |
| Copia en un dispositivo extraíble | Detecta cuándo se copian o mueven archivos protegidos de un dispositivo incorporado a un dispositivo USB extraíble. Para obtener más información, consulte Grupos de dispositivos USB extraíbles. |
| Copia en un recurso compartido de red | Detecta cuándo se copian o mueven archivos protegidos de un dispositivo incorporado a cualquier recurso compartido de red. Para obtener más información, consulte Cobertura y exclusiones de recursos compartidos de red. |
| Detecta cuándo se imprime un archivo protegido desde un dispositivo incorporado. Para obtener más información, consulte Grupos de impresoras. | |
| Copiar o mover mediante una aplicación Bluetooth no permitida | Detecta cuándo se copia o mueve un archivo protegido desde un dispositivo Windows incorporado mediante una aplicación Bluetooth no permitida. Para obtener más información, consulte Aplicaciones Bluetooth no permitidas (restringidas). Esto no es compatible con macOS. |
| Copia o movimiento mediante RDP | Detecta cuándo los usuarios copian o mueven archivos protegidos de un dispositivo Windows incorporado a otra ubicación mediante RDP. Esto no es compatible con macOS. |
Actividades de aplicación restringidas
Anteriormente denominadas aplicaciones no permitidas, las actividades de aplicaciones restringidas son aplicaciones en las que quiere aplicar restricciones. Estas aplicaciones se definen en una lista de la configuración dlp de punto de conexión. Cuando un usuario intenta acceder a un archivo protegido dlp mediante una aplicación que se encuentra en la lista, puede , Audit onlyBlock with overrideo Block la actividad . Las acciones DLP definidas en las actividades de aplicaciones restringidas se invalidan si la aplicación es miembro del grupo de aplicaciones restringido. A continuación, se aplican las acciones definidas en el grupo de aplicaciones restringidas.
| Actividad | Descripción/opciones |
|---|---|
| Acceso por aplicaciones restringidas | Detecta cuándo las aplicaciones no permitidas intentan acceder a archivos protegidos en un dispositivo Windows incorporado. Para obtener más información, consulte Aplicaciones restringidas y grupos de aplicaciones. |
Actividades de archivo para aplicaciones en grupos de aplicaciones restringidos (versión preliminar)
Defina los grupos de aplicaciones restringidos en la configuración dlp de punto de conexión y agregue grupos de aplicaciones restringidos a las directivas. Al agregar un grupo de aplicaciones restringido a una directiva, debe seleccionar una de estas opciones:
- No restringir la actividad de archivos
- Aplicar restricciones a toda la actividad
- Aplicación de restricciones a una actividad específica
Al seleccionar cualquiera de las opciones Aplicar restricciones y un usuario intenta acceder a un archivo protegido dlp mediante una aplicación que se encuentra en el grupo de aplicaciones restringidas, puede , Audit onlyBlock with overrideo Block por actividad. Las acciones DLP que defina aquí invalidan las acciones definidas en actividades de aplicación restringidas y actividades de archivo para todas las aplicaciones de la aplicación.
Para obtener más información, consulte Aplicaciones restringidas y grupos de aplicaciones.
Nota:
La ubicación de los dispositivos proporciona muchas actividades secundarias (condiciones) y acciones. Para más información, consulte Actividades de punto de conexión sobre las que puede supervisar y realizar acciones.
Importante
La condición Copiar en el Portapapeles detecta cuándo un usuario copia la información de un archivo protegido en el Portapapeles. Use Copiar en el Portapapeles para bloquear, bloquear con invalidación o auditar cuando los usuarios copien información de un archivo protegido.
La condición Pegar en exploradores admitidos detecta cuándo un usuario intenta pegar texto confidencial en un campo de texto o formulario web mediante Microsoft Edge, Google Chrome con la extensión Microsoft Purview o Mozilla Firefox con la extensión Microsoft Purview , independientemente de dónde procede esa información. Use Pegar en exploradores admitidos para bloquear, bloquear con invalidación o auditoría cuando los usuarios peguen información confidencial en un campo de texto o formulario web.
Acciones de instancias
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Restricción de aplicaciones de terceros
Acciones de repositorios locales
- Restringir el acceso o quitar archivos locales.
- Impedir que las personas accedan a los archivos almacenados en repositorios locales
- Establecer permisos en el archivo (permisos heredados de la carpeta primaria)
- Mover el archivo desde donde se almacena a una carpeta de cuarentena
Consulte Acciones del repositorio local DLP para obtener más información.
Acciones de Fabric y Power BI
- Notificar a los usuarios con sugerencias de directiva y correo electrónico
- Envío de alertas al administrador
Acciones disponibles al combinar ubicaciones
Si selecciona Exchange y cualquier otra ubicación única a la que se va a aplicar la directiva, el
- Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 y todas las acciones para las acciones de ubicación que no son de Exchange están disponibles.
Si selecciona dos o más ubicaciones que no son de Exchange a las que se va a aplicar la directiva, el
- Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365 y todas las acciones para las acciones que no sean de Exchange estarán disponibles.
Por ejemplo, si selecciona las ubicaciones Exchange y Dispositivos, estas acciones estarán disponibles:
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Auditoría o restricción de actividades en dispositivos Windows
Si selecciona Dispositivos e instancias, estas acciones estarán disponibles:
- Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Auditoría o restricción de actividades en dispositivos Windows
- Restricción de aplicaciones de terceros
Si una acción surte efecto o no depende de cómo configure el modo de la directiva. Puede optar por ejecutar la directiva en modo de simulación con o sin mostrar la sugerencia de directiva seleccionando la opción Ejecutar la directiva en modo de simulación . Elija ejecutar la directiva tan pronto como una hora después de su creación seleccionando la opción Activar inmediatamente , o bien puede optar por guardarla y volver a ella más tarde seleccionando la opción Mantenerla desactivada .
Limitaciones de la plataforma DLP para acciones
| Nombre de la acción | Carga de trabajo | Límites |
|---|---|---|
| Restricción del acceso o cifrado de contenido en Microsoft 365 | EXO/SPO/ODB | |
| Establecer encabezados | EXO | |
| Quitar encabezado | EXO | |
| Redirigir el mensaje a usuarios específicos | EXO | Total de 100 en todas las reglas DLP. No puede ser DL/SG |
| Reenviar el mensaje para su aprobación al administrador del remitente | EXO | El administrador debe definirse en AD |
| Reenviar el mensaje para su aprobación a aprobadores específicos | EXO | no se admiten Grupos |
| Agregar destinatario al cuadro Para | EXO | Recuento de <destinatarios = 10; No puede ser DL/SG |
| Agregar destinatario al cuadro Cc | EXO | Recuento de <destinatarios = 10; No puede ser DL/SG |
| Agregar destinatario al cuadro CCO | EXO | Recuento de <destinatarios = 10; No puede ser DL/SG |
| Agregar el administrador del remitente como destinatario | EXO | El atributo manager debe definirse en AD |
| Aplicación de declinación de responsabilidades de HTML | EXO | |
| Anteponer asunto | EXO | |
| Aplicación del cifrado de mensajes | EXO | |
| Eliminación del cifrado de mensajes | EXO |
Sugerencias de directivas y notificaciones de usuario
Cuando un usuario intenta una actividad en un elemento confidencial en un contexto que cumple las condiciones de una regla (por ejemplo, contenido como un libro de Excel en un sitio de OneDrive que contiene información de identificación personal (PII) y se comparte con un invitado), puede informarle sobre ello a través de correos electrónicos de notificación de usuario y elementos emergentes de sugerencias de directiva en contexto. Estas notificaciones son útiles porque aumentan el conocimiento y ayudan a educar a las personas sobre las directivas DLP de su organización.
Importante
- Los correos electrónicos de notificación se envían desprotegidos.
- Email notificaciones solo se admiten para los servicios de Microsoft 365.
Email compatibilidad con notificaciones por ubicación seleccionada
| Ubicación seleccionada | Email notificaciones admitidas |
|---|---|
| Dispositivos | - No compatible |
| Exchange y dispositivos | - Compatible con Exchange : no compatible con dispositivos |
| Exchange | -Soportado |
| SharePoint + Dispositivos | - Compatible con SharePoint : no compatible con dispositivos |
| SharePoint | -Soportado |
| Exchange y SharePoint | - Compatible con Exchange : compatible con SharePoint |
| Dispositivos + SharePoint + Exchange | - No compatible con dispositivos : compatible con SharePoint compatible con Exchange |
| Teams | - No compatible |
| OneDrive | - Compatible con OneDrive para el trabajo o la escuela : no compatible con dispositivos |
| Tejido y Power BI | - No compatible |
| Instancias | - No compatible |
| Repositorios locales | - No compatible |
| Exchange + SharePoint + OneDrive | - Compatible con Exchange : compatible con SharePoint : compatible con OneDrive |
También puede proporcionar a los usuarios la opción de invalidar la directiva, de modo que no se bloqueen si tienen una necesidad empresarial válida o si la directiva detecta un falso positivo.
Las opciones de configuración de notificaciones de usuario y sugerencias de directiva varían en función de las ubicaciones de supervisión que haya seleccionado. Si seleccionó:
- Exchange
- SharePoint
- OneDrive
- Chat y canal de Teams
- Instancias
Puede habilitar o deshabilitar las notificaciones de usuario para varias aplicaciones de Microsoft; consulte Referencia de sugerencias de directivas de prevención de pérdida de datos.
También puede habilitar o deshabilitar notificaciones con una sugerencia de directiva.
- notificaciones por correo electrónico al usuario que envió, compartió o modificó por última vez el contenido O
- notificar a personas específicas
Además, puede personalizar el texto del correo electrónico, el asunto y el texto de la sugerencia de directiva.
Para obtener información detallada sobre cómo personalizar los correos electrónicos de notificación del usuario final, consulte Notificaciones de correo electrónico personalizadas.
Si seleccionó Solo dispositivos, obtendrá todas las mismas opciones que están disponibles para Exchange, SharePoint, OneDrive, Chat y canal de Teams e Instancias, además de la opción de personalizar el título de notificación y el contenido que aparece en el dispositivo Windows 10/11.
Puede personalizar el título y el cuerpo del texto mediante los parámetros siguientes.
| Nombre común | Parámetro | Ejemplo |
|---|---|---|
| nombre de archivo | %%FileName%% | Documento 1 de Contoso |
| nombre del proceso | %%ProcessName%% | Word |
| nombre de directiva | %%PolicyName%% | Contoso extremadamente confidencial |
| acción | %%AppliedActions%% | pegar contenido del documento desde el Portapapeles a otra aplicación |
Elementos emergentes de límites de caracteres de mensaje personalizados
Las notificaciones de usuario están sujetas a los siguientes límites de caracteres:
| Variable | Límite de caracteres |
|---|---|
DLP_MAX-SIZE-TITLE |
120 |
DLP_MAX-SIZE-CONTENT |
250 |
DLP_MAX-SIZE-JUSTIFICATION |
250 |
%%AppliedActions%% sustituye estos valores en el cuerpo del mensaje:
| nombre común de acción | valor sustituido por el parámetro %%AppliedActions%% |
|---|---|
| copiar en el almacenamiento extraíble | escribir en el almacenamiento extraíble |
| copia en el recurso compartido de red | escribir en un recurso compartido de red |
| Impresión | imprenta |
| pegar desde el Portapapeles | pegar desde el Portapapeles |
| copiar a través de bluetooth | transferencia a través de Bluetooth |
| abrir con una aplicación no permitida | abrir con esta aplicación |
| copia en un escritorio remoto (RDP) | transferencia a escritorio remoto |
| cargar en un sitio web no permitido | cargar en este sitio |
| acceso al elemento a través de un explorador no permitido | abrir con este explorador |
Uso de este texto personalizado
%%AppliedActions%% Nombre de archivo %%FileName%% a través de %%ProcessName%% no está permitido por su organización. Seleccione "Permitir" si desea omitir la directiva %%PolicyName%%
genera este texto en la notificación personalizada:
Pegar desde el nombre de archivo del Portapapeles: la organización no permite contoso doc 1 a través de WINWORD.EXE. Seleccione el botón "Permitir" si desea omitir la directiva Contoso extremadamente confidencial.
Puede localizar las sugerencias de directiva personalizadas mediante el cmdlet Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.
Nota:
Las notificaciones de usuario y las sugerencias de directiva no están disponibles para la ubicación local.
Solo se mostrará la sugerencia de directiva de la regla más restrictiva y con mayor prioridad. Por ejemplo, una sugerencia de directiva de una regla que bloquea el acceso al contenido se mostrará por encima de una sugerencia de directiva de una regla que simplemente envía una notificación. Esto impide que las personas vean una cascada de sugerencias de directiva.
Para obtener más información sobre la configuración y el uso de notificaciones de usuario y sugerencias de directiva, incluido cómo personalizar la notificación y el texto de sugerencias, consulte Envío de notificaciones por correo electrónico y mostrar sugerencias de directiva para directivas DLP.
Referencias de sugerencias de directiva
Puede encontrar detalles sobre la compatibilidad con sugerencias de directivas y notificaciones para diferentes aplicaciones aquí:
- Referencia de consejos sobre directivas de prevención de pérdida de datos para Outlook para Microsoft 365
- Referencia de consejos de directivas de prevención de pérdida de datos para Outlook en la Web
- La sugerencia de directiva de prevención de pérdida de datos hace referencia a SharePoint en Microsoft 365 y OneDrive. cliente web
Bloqueo y notificaciones en SharePoint en Microsoft 365 y OneDrive
En la tabla siguiente se muestra el comportamiento de bloqueo y notificación dlp para las directivas que tienen como ámbito SharePoint en Microsoft 365 y OneDrive. Tenga en cuenta que esto no está pensado para ser una lista exhaustiva y hay configuraciones adicionales que no están en el ámbito de este artículo.
Nota:
El comportamiento de notificación descrito en esta tabla puede requerir la habilitación de la siguiente configuración:
Notificaciones de usuario:
- Activada
- Notificar a los usuarios en Office 365 servicio con una sugerencia de directiva
- Notificar al usuario que envió, compartió o modificó por última vez el contenido
Informes de incidentes:
- Envío de una alerta a los administradores cuando se produce una coincidencia de regla
- Enviar alerta cada vez que una actividad coincide con la regla seleccionada
- Uso de informes de incidentes de correo electrónico para notificarle cuando se produce una coincidencia de directiva
| Condiciones | Restricción de la configuración de acceso | Comportamiento de bloqueo y notificación |
|---|---|---|
| - El contenido se comparte desde Microsoft 365**: con personas ajenas a mi organización | No configurado | Las notificaciones de usuario, las alertas y los informes de incidentes solo se enviarán cuando un archivo se comparta con un usuario externo y un usuario externo acceda al archivo. |
| - El contenido se comparte desde Microsoft 365**: solo con personas de mi organización | No configurado | Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo |
| - El contenido se comparte desde Microsoft 365**: solo con personas de mi organización |
-
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 - Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams - Bloquear a todos |
- El acceso a archivos confidenciales se bloquea en cuanto se cargan. - Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo. |
| - El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización |
-
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 - Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams - Bloquear solo a personas ajenas a la organización |
- El acceso a un archivo confidencial se bloquea en cuanto se carga, independientemente de si el documento se comparte o no para todos los usuarios externos. - Si la información confidencial se agrega a un archivo después de que un usuario fuera de la organización la comparta y acceda a ella, se enviarán alertas e informes de incidentes. - Si el documento contiene información confidencial antes de cargarlo, el uso compartido externo se bloqueará de forma proactiva. Dado que el uso compartido externo en este escenario se bloquea cuando se carga el archivo, no se envían alertas ni informes de incidentes. La supresión de las alertas y los informes de incidentes está diseñada para evitar una avalancha de alertas para el usuario para cada archivo bloqueado. - El bloqueo proactivo se mostrará como evento en el Registro de auditoría y el Explorador de actividad. |
| - El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización |
-
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 - Impedir que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams - Bloquear a todos |
- Cuando el primer usuario fuera de la organización accede al documento, el evento hará que se bloquee el documento. - Se espera que, durante un breve período de tiempo, los usuarios externos que tengan el vínculo al archivo puedan acceder al documento. - Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando un archivo se comparte con un usuario externo y un usuario externo accede a ese archivo. |
| - El contenido se comparte desde Microsoft 365 |
-
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365 - Bloquear solo a las personas a las que se les dio acceso al contenido mediante la opción "Cualquiera con el vínculo". |
Las notificaciones de usuario, las alertas y los informes de incidentes se envían cuando se carga un archivo |
Más información sobre la dirección URL
Es posible que los usuarios quieran saber por qué se bloquea su actividad. Puede configurar un sitio o una página que explique más sobre las directivas. Al seleccionar Proporcionar una dirección URL de cumplimiento para que el usuario final obtenga más información sobre las directivas de su organización (solo disponible para Exchange) y el usuario recibe una notificación de sugerencia de directiva en Outlook Win32, el vínculo Más información apuntará a la dirección URL del sitio que proporcione. Esta dirección URL tiene prioridad sobre la dirección URL de cumplimiento global configurada con Set-PolicyConfig -ComplainceURL.
Importante
Debe configurar el sitio o la página a la que más información apunta desde cero. Microsoft Purview no proporciona esta funcionalidad de forma inmediata.
Invalidaciones de usuario
La intención de las invalidaciones de usuario es proporcionar a los usuarios una manera de omitir, con justificación, las acciones de bloqueo de directiva DLP en elementos confidenciales en Exchange, SharePoint, OneDrive o Teams, para que puedan continuar con su trabajo. Las invalidaciones de usuario solo se habilitan cuando notificar a los usuarios de Office 365 servicios con una sugerencia de directiva está habilitado, por lo que las invalidaciones de usuario van de la mano con notificaciones y sugerencias de directiva.
Nota:
Las invalidaciones de usuario no están disponibles para la ubicación de repositorios locales.
Normalmente, las invalidaciones de usuario son útiles cuando la organización implementa por primera vez una directiva. Los comentarios que se obtienen de cualquier justificación de invalidación e identificación de falsos positivos ayudan a ajustar la directiva.
- Si las sugerencias de directiva en la regla más restrictiva permite que los usuarios invaliden la regla, la invalidación de esta regla invalida también otras reglas que coinciden con el contenido.
Encabezado X de justificación empresarial
Cuando un usuario invalida un bloque con acción de invalidación en un correo electrónico, la opción de invalidación y el texto que proporcionan se almacenan en el registro de auditoría y en el encabezado X del correo electrónico. Para ver las invalidaciones de justificación empresarial, busque el valor en el registroExceptionInfo de auditoría para obtener los detalles. Este es un ejemplo de los valores de registro de auditoría:
{
"FalsePositive"; false,
"Justification"; My manager approved sharing of this content",
"Reason"; "Override",
"Rules": [
"<message guid>"
]
}
Si tiene un proceso automatizado que hace uso de los valores de justificación empresarial, el proceso puede acceder a esa información mediante programación en los datos del encabezado X del correo electrónico.
Nota:
Los msip_justification valores se almacenan en el orden siguiente:
False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].
Observe que los valores están separados por punto y coma. El texto libre máximo permitido es de 500 caracteres.
Informes de incidentes
Cuando se coincide con una regla, puede enviar un correo electrónico de alerta al responsable de cumplimiento (o a cualquier persona que elija) con detalles del evento y puede verlos en el panel de alertas de Prevención de pérdida de datos de Microsoft Purview y en el portal de Microsoft 365 Defender. Una alerta incluye información sobre el elemento que coincidió, el contenido real que coincidió con la regla y el nombre de la persona que modificó por última vez el contenido.
En la versión preliminar, los correos electrónicos de alerta de administrador incluyen detalles como:
- Gravedad de la alerta
- El momento en que se produjo la alerta
- Actividad.
- Datos confidenciales detectados.
- Alias del usuario cuya actividad desencadenó la alerta.
- Directiva que coincidió.
- Identificador de alerta
- La operación de punto de conexión que se intentó si la ubicación dispositivos está en el ámbito de la directiva.
- La aplicación que se estaba usando.
- Nombre del dispositivo, si la coincidencia se produjo en un dispositivo de punto de conexión.
DLP proporciona información sobre incidentes a otros servicios de Microsoft Purview Information Protection, como la administración de riesgos internos. Para obtener información sobre incidentes en la administración de riesgos internos, debe establecer el nivel de gravedad informes de incidentes en Alto.
Tipo de alerta
Las alertas se pueden enviar cada vez que una actividad coincide con una regla, lo que puede ser ruidoso o puede agregarse en función del número de coincidencias o el volumen de elementos durante un período de tiempo establecido. Hay dos tipos de alertas que se pueden configurar en las directivas DLP.
Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización.
Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.
Otras opciones de alerta
Al seleccionar Usar informes de incidentes de correo electrónico para notificarle cuando se produce una coincidencia de directiva, puede elegir incluir:
- Nombre de la persona que modificó por última vez el contenido.
- Tipos de contenido confidencial que coincidieron con la regla.
- Nivel de gravedad de la regla.
- Contenido que coincidía con la regla, incluido el texto circundante.
- Elemento que contiene el contenido que coincidió con la regla.
Para obtener más información sobre las alertas, consulte:
- Alertas en directivas DLP: describe las alertas en el contexto de una directiva DLP.
- Introducción a las alertas de prevención de pérdida de datos: cubre los requisitos previos, permisos y licencias necesarios para las alertas DLP y los detalles de referencia de alertas.
- Crear e implementar directivas de prevención de pérdida de datos: incluye instrucciones sobre la configuración de alertas en el contexto de la creación de una directiva DLP.
- Obtenga información sobre la investigación de alertas de prevención de pérdida de datos: trata los distintos métodos para investigar las alertas DLP.
- Investigar incidentes de pérdida de datos con Microsoft Defender XDR: Cómo investigar alertas DLP en Microsoft Defender portal.
Recopilación de evidencias para actividades de archivos en dispositivos
Si ha habilitado la recopilación de pruebas de instalación para las actividades de archivos en dispositivos y ha agregado cuentas de almacenamiento de Azure, puede seleccionar Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en Punto de conexión y la cuenta de Almacenamiento de Azure a la que desea copiar los elementos. También debe elegir las actividades para las que desea copiar elementos. Por ejemplo, si selecciona Imprimir pero no Copiar en un recurso compartido de red, solo los elementos que se imprimen desde dispositivos supervisados se copiarán en la cuenta de almacenamiento de Azure.
Opciones adicionales
Si tiene varias reglas en una directiva, puede usar las opciones Adicionales para controlar el procesamiento de reglas adicionales si hay una coincidencia con la regla que está editando, así como establecer la prioridad para la evaluación de la regla.