Introducción a Prevención de pérdida de datos de Microsoft Purview protección Just-In-Time

Use la protección Just-In-Time (JIT) de prevención de pérdida de datos de punto de conexión (DLP) para detectar y bloquear las actividades de salida en los archivos supervisados mientras se completa la evaluación de directivas.

Se aplica a

JIT Protection para DLP de punto de conexión admite estos dispositivos:

  • Windows 10
  • Windows 11
  • macOS (las tres versiones más recientes)

Procedimiento recomendado para implementar la protección Just-In-Time

Nota:

Espere al menos una hora para que las actualizaciones de configuración jit, incluida la deshabilitación de JIT, se inserten en los dispositivos cliente.

Paso 1: Preparación del entorno

Para poder implementar la protección Just-In-Time, primero debe implementar la versión de cliente antimalware 4.18.23080 o posterior. La experiencia del usuario final de la protección Just-In-Time se ha mejorado en la versión 4.18.25080 o posterior.

Sugerencia

Para maximizar la productividad del usuario, configure e implemente las directivas DLP de punto de conexión en los dispositivos antes de habilitar la protección Just-In-Time. Este enfoque evita el bloqueo innecesario de la actividad del usuario durante la evaluación de directivas.

Incorporación page_Defender versión de Mocamp

Nota:

En el caso de las máquinas con una versión obsoleta del cliente antimalware, deshabilite la protección Just-In-Time mediante la instalación de uno de los siguientes KB:

  1. Para averiguar qué dispositivos tienen el cliente antimalware necesario, vaya a Investigación del portal> de seguridad& respuesta>Búsqueda avanzada y ejecute esta consulta.
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

Este es un ejemplo de la salida de la consulta.

Imagen de la salida de la consulta que muestra una lista de cuántos dispositivos tienen la versión de cliente antimalware

También puede ir a lapágina Diagnósticos de prevención> de pérdida de datos y seleccionar Endpoint DLP not working card (Endpoint DLP no tarjeta de trabajo) para comprobar si un dispositivo específico cumple los requisitos previos JIT.

Captura de pantalla del control flotante revisar diagnósticos que muestra la versión de cliente antimalware para el dispositivo seleccionado

Paso 2: Implementación de la protección JIT

  1. Inicie sesión en el portal de Microsoft Purview.

  2. Seleccione Configuración Protección>just-in-timede prevención> de pérdida de datos.

  3. En Elegir las ubicaciones que se van a supervisar, active la casilla situada junto a Dispositivos.

  4. En Acción de reserva en caso de error, seleccione Permitir que los usuarios completen acciones. Esta opción permite completar la acción del usuario si se produce un error en la clasificación.

Precaución

No elija la opción Bloquear que los usuarios completen acciones hasta que comprenda completamente el impacto de esta característica.

Al seleccionar Permitir que los usuarios completen acciones o Bloquear a los usuarios para que no completen acciones , no cambia si se desencadena el bloque JIT . El bloqueo por JIT se aplica si el usuario está en el ámbito. La opción Permitir a los usuarios completar acciones o Bloquear que los usuarios completen acciones controla la aplicación dlp de punto de conexión cuando se produce un error en la clasificación.

Si selecciona Permitir que los usuarios completen acciones, DLP de punto de conexión permite la actividad de salida cuando se produce un error en la clasificación. Si selecciona Bloquear usuarios para completar acciones, DLP de punto de conexión bloquea la actividad de salida cuando se produce un error en la clasificación.

Paso 3: Calcular el número de eventos de protección JIT para la implementación

Valide la configuración en cada fase hasta que el número de eventos sea estable. Asegúrese de comprender el tamaño posible del grupo de usuarios en el que desea aplicar la directiva, en función de los siguientes cálculos de telemetría.

Calcule el impacto de la implementación de la protección JIT mediante el cálculo siguiente en función de los eventos del explorador de actividad:

  • N = El número de máquinas únicas que desencadenan eventos JIT.

  • S = El número total de máquinas dentro del ámbito de la implementación.

N/S produce el porcentaje de máquinas que pueden experimentar un evento de bloque de protección JIT.

Con esta información, debe saber cuántas máquinas se verán afectadas por la implementación del modo de bloque JIT al expandir el ámbito y cuántos posibles vales de soporte técnico puede ver. A continuación, puede decidir si desea expandir o no el ámbito.

Paso 4: Ajuste preciso de la protección JIT a través de otras configuraciones adicionales

Además de Retroceder en caso de error, como se describe en el paso 1, también puede usar la siguiente configuración para ajustar la protección JIT:

  • Control de la copia en el Portapapeles: active esta configuración para evitar que los usuarios copien contenido en el Portapapeles mientras la protección JIT está evaluando el archivo.

Nota:

Activar La copia de control en el Portapapeles podría afectar a la productividad del usuario. Asegúrese de probar el impacto en la productividad antes de activar esta configuración.

  • Exclusiones de aplicaciones para Windows: las aplicaciones que incluyas aquí no se evalúan mediante la protección JIT en dispositivos Windows.
  • Exclusiones de aplicaciones para Mac: las aplicaciones que incluya aquí no se evalúan mediante la protección JIT en dispositivos macOS.
  • Exclusiones de extensiones de archivo: la protección JIT no evalúa Files con las extensiones que agregue aquí.
  • Exclusiones de ruta de acceso de archivo para Windows: la protección JIT no evalúa Files en estas ubicaciones.
  • Exclusiones de ruta de acceso de archivo para Mac: la protección JIT no evalúa Files en estas ubicaciones.

Si desea cambiar el ámbito de la protección JIT después de ajustar toda esta configuración, vuelva al paso 2.

Más detalles sobre las exclusiones

La configuración de exclusión de ruta de acceso de archivo en JIT es diferente de las exclusiones de ruta de acceso de archivo para la configuración de Windows que se encuentra a través deconfiguración dela> prevención de pérdida de datos Configuración > delpunto de conexión Exclusiones> deruta de acceso de archivo para Windows.

  • Las exclusiones de rutas de acceso de archivo en JIT solo excluyen rutas de acceso de archivo específicas de la protección JIT. En todos los demás casos, Microsoft Purview sigue aplicando la clasificación y protección DLP de punto de conexión para los archivos de esas carpetas.

  • Las exclusiones de ruta de acceso de archivo para la configuración de Windows impiden que Purview aplique la clasificación y protección DLP de punto de conexión para los archivos en las carpetas especificadas.

  • Exclusiones de extensiones de archivo: la protección JIT no evalúa Files con estas extensiones.

Paso 5: Implementación de la protección JIT en "Impedir que los usuarios completen acciones" para la configuración "Acción de reserva en caso de error"

Esta configuración controla el modo de cumplimiento que DLP aplica cuando se produce un error en la clasificación. No controla JIT Block ni JIT Audit para los archivos candidatos JIT. Jit Block o JIT Audit se controla mediante el ámbito de la directiva. Independientemente del valor que seleccione aquí, la telemetría pertinente se muestra en el explorador de actividad.

Protección de archivos sin guardar

La protección de archivos sin guardar (versión preliminar) amplía la protección JIT (auditoría o bloqueo) en las actividades de salida de los archivos que aún no se guardan. Un archivo sin guardar es:

  • Un archivo nuevo que nunca se ha guardado en el disco.
  • Un archivo existente que se ha modificado pero que aún no se ha guardado, incluida la ventana antes de que se complete el autoguardado.

Al guardar un archivo (manualmente o mediante el guardado automático), deja el estado sin guardar y el flujo de trabajo de protección JIT estándar lo evalúa.

Nota:

La protección de archivos sin guardar y la protección de archivos sin clasificar son dos características independientes. No es necesario activar la protección de archivos sin clasificar para usar la protección de archivos no guardada.

Configuración de la protección de archivos sin guardar

Requisitos previos

  • Se requiere la versión de cliente antimalware 4.18.26040 o posterior para la protección de archivos no guardados. Use la misma consulta en el paso 1 de este artículo para comprobar qué dispositivos tienen la versión de cliente antimalware necesaria para la protección de archivos sin guardar.

Para configurar la protección de archivos no guardados:

  1. Inicie sesión en el portal de Microsoft Purview.
  2. Seleccione Configuración Protección>just-in-timede prevención> de pérdida de datos.
  3. Para auditar las actividades de salida en archivos no guardados, active Auditar las actividades de impresión y transferencia de archivos no guardados y seleccione los usuarios que desea incluir en el ámbito.
  4. Para bloquear las actividades de salida en archivos no guardados, active Bloquear las actividades de impresión y transferencia de archivos no guardados y seleccione los usuarios que desea incluir en el ámbito.

Nota:

En Copy to a removable media (Copiar en un medio extraíble ) y Copy to a network share scenarios (Copiar en un recurso compartido de red ), habilite la cuarentena automática para interceptar contenido confidencial y moverlo a una ubicación protegida en lugar de escribirlo en el destino externo. Para obtener más información, consulte Configuración de las opciones de cuarentena automática.

Sugerencia

Para empezar, active Auditar y determinar el ámbito a algunos usuarios. Este enfoque le ayuda a comprender el volumen de eventos de protección de archivos no guardados en su organización antes de habilitar Bloquear. Puede expandir continuamente el ámbito a medida que gana confianza. Cuando se sienta cómodo con el volumen, active Bloquear con ámbito al mismo conjunto de usuarios o expandido.

Para obtener información sobre los conceptos subyacentes a la protección de archivos no guardados, consulte Más información sobre la protección de archivos no guardados.

  • Last updated on