Obtenga información sobre el panel de alertas de prevención de pérdida de datos
Cuando los criterios de una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP) coinciden con las acciones que un usuario está realizando en un elemento confidencial, la directiva puede generar una alerta. Esta situación puede dar lugar a un gran volumen de alertas. Las alertas DLP se recopilan en el panel de alertas. El panel de alertas le proporciona un único lugar donde ir para realizar una investigación profunda de todos los detalles sobre la coincidencia de directiva.
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Cargas de trabajo
El panel de administración de alertas DLP, en el portal de cumplimiento Microsoft Purview, muestra alertas para directivas DLP en estas cargas de trabajo:
- Exchange
- SharePoint
- OneDrive
- Teams
- Dispositivos Windows 10
Sugerencia
Los clientes que usan DLP de punto de conexión que son aptos para DLP de Teams verán sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.
Alerta única y alerta de agregado
Hay dos tipos de alertas que se pueden configurar en las directivas DLP.
Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización.
Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.
Tipos de eventos
Estos son algunos de los eventos asociados a una alerta. En la interfaz de usuario, puede elegir un evento determinado para ver sus detalles.
Detalles del evento
| Nombre de propiedad | Descripción | Tipos de eventos |
|---|---|---|
| Id. | identificador único asociado al evento | todos los eventos |
| Ubicación | carga de trabajo donde se detectó el evento | todos los eventos |
| tiempo de actividad | hora de la actividad del usuario que coincidió con los criterios de la directiva DLP |
Entidades afectadas
| Nombre de propiedad | Descripción | Tipos de eventos |
|---|---|---|
| usuario | usuario que realizó la acción que provocó la coincidencia de directiva | todos los eventos |
| Host | nombre de host del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
| Dirección IP | Dirección IP del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
| sha1 | Hash SHA-1 del archivo | eventos de dispositivo |
| sha256 | Hash SHA-256 del archivo | eventos de dispositivo |
| Id. de dispositivo MDATP | id. MDATP del dispositivo de punto de conexión | |
| tamaño de archivo | tamaño del archivo | Eventos de SharePoint, OneDrive y dispositivo |
| ruta de acceso del archivo | la ruta de acceso absoluta del elemento implicado en la coincidencia de directiva DLP | Eventos de SharePoint, OneDrive y dispositivos |
| destinatarios de correo electrónico | si un correo electrónico era el elemento confidencial que coincidía con la directiva DLP, este campo incluye a los destinatarios de ese correo electrónico. | Eventos de Exchange |
| asunto del correo electrónico | asunto del correo electrónico que coincidió con la directiva DLP | Eventos de Exchange |
| datos adjuntos de correo electrónico | nombres de los datos adjuntos del correo electrónico que coincidieron con la directiva DLP | Eventos de Exchange |
| propietario del sitio | nombre del propietario del sitio | Eventos de SharePoint y OneDrive |
| dirección URL del sitio | lleno de la dirección URL del sitio de SharePoint o OneDrive donde se produjo la coincidencia de directiva DLP | Eventos de SharePoint y OneDrive |
| archivo creado | hora de creación del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
| archivo modificado por última vez | la última vez que se cambió el archivo que coincidía con la directiva DLP | Eventos de SharePoint y OneDrive |
| tamaño de archivo | tamaño del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
| propietario del archivo | propietario del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
Detalles de la directiva
| Nombre de propiedad | Descripción | Tipos de eventos |
|---|---|---|
| Directiva DLP coincidente | nombre de la directiva DLP coincidente | todos los eventos |
| regla coincidente | nombre de la regla de directiva DLP coincidente | todos los eventos |
| tipos de información confidencial (SIT) detectados | SIT que se detectaron como parte de la coincidencia de directiva DLP | todos los eventos |
| acciones realizadas | acciones que se realizaron que provocaron la coincidencia de la directiva DLP | todos los eventos |
| violación de la acción | acción en el dispositivo de punto de conexión que generó la alerta DLP | eventos de dispositivo |
| directiva de superada por el usuario | el usuario invalidó la directiva a través de una sugerencia de directiva | todos los eventos |
| usar justificación de invalidación | el texto de la razón proporcionada por el usuario para la invalidación | todos los eventos |
Investigación de incidentes DLP en Microsoft 365 Defender portal
Los incidentes de Prevención de pérdida de datos de Microsoft Purview (DLP) se pueden administrar en el portal de Microsoft 365 Defender. Consulte Investigación de incidentes de pérdida de datos con Microsoft 365 Defender para obtener más información. Puede administrar incidentes DLP junto con incidentes de seguridad de alertas &> de incidentesIncidentes incidentes en el inicio rápido del portal de Microsoft 365 Defender.
En esta página, puede hacer lo siguiente:
- Vea todas las alertas DLP agrupadas en incidentes en la cola de incidentes de Microsoft 365 Defender.
- Visualización de alertas correlacionadas entre soluciones inteligentes (DLP-MDE, DLP-MDO) y entre soluciones (DLP-DLP) en un único incidente.
- Busque registros de cumplimiento junto con la seguridad en Búsqueda avanzada.
- Acciones de corrección del administrador local en el usuario, el archivo y el dispositivo.
- Asocie etiquetas personalizadas a incidentes DLP y filtre por ellos.
- Filtre por nombre de directiva DLP, etiqueta, fecha, origen del servicio, estado de incidente y usuario en la cola de incidentes unificada.