integración de Microsoft Purview Information Protection

Nota:

  • Hemos cambiado el nombre de Microsoft Cloud App Security. Ahora se llama Microsoft Defender for Cloud Apps. En las próximas semanas, actualizaremos las capturas de pantalla y las instrucciones aquí y en las páginas relacionadas. Para obtener más información sobre el cambio, consulte este anuncio. Para obtener más información sobre el cambio de nombre reciente de los servicios de seguridad de Microsoft, consulte el blog seguridad de Microsoft Ignite.

  • Microsoft Defender for Cloud Apps ahora forma parte de Microsoft 365 Defender. El portal de Microsoft 365 Defender permite a los administradores de seguridad realizar sus tareas de seguridad en una ubicación. Esto simplificará los flujos de trabajo y agregará la funcionalidad de los demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el hogar de la supervisión y administración de la seguridad en las identidades, los datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para obtener más información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en Microsoft 365 Defender.

Microsoft Defender for Cloud Apps permite aplicar automáticamente etiquetas de confidencialidad de Microsoft Purview Information Protection. Estas etiquetas se aplicarán a los archivos como una acción de gobernanza de directivas de archivos y, en función de la configuración de la etiqueta, puede aplicar cifrado para protección adicional. También puede investigar los archivos filtrando por la etiqueta de confidencialidad aplicada en el portal de Defender for Cloud Apps. El uso de etiquetas permite una mayor visibilidad y control de los datos confidenciales en la nube. La integración de Microsoft Purview Information Protection con Defender for Cloud Apps es tan fácil como seleccionar una sola casilla.

Al integrar Microsoft Purview Information Protection en Defender for Cloud Apps, puede usar toda la eficacia de los servicios y los archivos seguros en la nube, entre los que se incluyen:

  • La capacidad de aplicar etiquetas de confidencialidad como una acción de gobernanza a los archivos que coinciden con directivas específicas
  • La capacidad de ver todos los archivos clasificados en una ubicación central.
  • La capacidad de investigar en función del nivel de clasificación y cuantificar la exposición de la información confidencial en las aplicaciones en la nube.
  • La capacidad de crear directivas para asegurarse de que los archivos clasificados se controlan correctamente.

Prerrequisitos

Nota:

Para habilitar esta característica, necesita una licencia de Defender for Cloud Apps y una licencia para Azure Information Protection Premium P1. En cuanto ambas licencias estén implementadas, Defender for Cloud Apps sincroniza las etiquetas de la organización desde el servicio Azure Information Protection.

Para que Defender for Cloud Apps aplique etiquetas de confidencialidad, deben publicarse como parte de una directiva de etiquetas de confidencialidad en el portal de cumplimiento Microsoft Purview.

Defender for Cloud Apps admite actualmente la aplicación de etiquetas de confidencialidad de Microsoft Purview Information Protection para los siguientes tipos de archivo:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Nota:

    Para PDF, debe usar etiquetas unificadas.

Esta característica está disponible actualmente para los archivos almacenados en Box, Google Workspace, SharePoint Online y OneDrive para la Empresa. Se admitirán más aplicaciones en la nube en futuras versiones.

Funcionamiento

Puede ver las etiquetas de confidencialidad de Microsoft Purview Information Protection en Defender for Cloud Apps. Tan pronto como integre Defender for Cloud Apps con Microsoft Purview Information Protection, Defender for Cloud Apps examina los archivos de la siguiente manera:

  1. Defender for Cloud Apps recupera la lista de todas las etiquetas de confidencialidad que se usan en el inquilino. Esta acción se realiza cada hora para mantener actualizada la lista.

  2. A continuación, Defender for Cloud Apps examina los archivos para buscar etiquetas de confidencialidad, como se indica a continuación:

    • Si ha habilitado el examen automático, se agregan todos los archivos nuevos o modificados a la cola de examen y se examinarán todos los archivos y repositorios existentes.
    • Si establece una directiva de archivo para buscar etiquetas de confidencialidad, estos archivos se agregan a la cola de examen para las etiquetas de confidencialidad.
  3. Como se indicó anteriormente, estos exámenes son para las etiquetas de confidencialidad detectadas en el examen inicial que Defender for Cloud Apps realiza para ver qué etiquetas de confidencialidad se usan en el inquilino. Las etiquetas externas, es decir, las etiquetas de clasificación establecidas por una persona externa al inquilino, se agregan a la lista de etiquetas de clasificación. Si no desea buscarlos, active la casilla Solo examinar los archivos de etiquetas de confidencialidad de Microsoft Purview Information Protection y advertencias de inspección de contenido de este inquilino.

  4. Después de habilitar Microsoft Purview Information Protection en Defender for Cloud Apps, se analizarán todos los archivos nuevos que se agregan a las aplicaciones en la nube conectadas para las etiquetas de confidencialidad.

  5. Puede crear nuevas directivas en Defender for Cloud Apps que apliquen automáticamente las etiquetas de confidencialidad.

Nota

  • Las etiquetas con protección fuera de Defender for Cloud Apps se pueden invalidar mediante Defender for Cloud Apps, pero no se pueden quitar. Además, puede examinar estos archivos concediéndoles permisos para inspeccionar el contenido de los archivos protegidos.
  • Defender for Cloud Apps no admite la invalidación de etiquetas para los archivos etiquetados por Defender for Cloud Apps.
  • Defender for Cloud Apps no admite la eliminación de etiquetas con protección de archivos etiquetados fuera de Defender for Cloud Apps.
  • Defender for Cloud Apps no admite la lectura de etiquetas de archivos protegidos con contraseña.
  • Los archivos vacíos no se etiquetarán.
  • Defender for Cloud Apps no admite el etiquetado de archivos en una biblioteca configurada para requerir la desprotección.

Integración de Microsoft Purview Information Protection con Defender for Cloud Apps

Habilitar Microsoft Purview Information Protection

Todo lo que tiene que hacer para integrar Microsoft Purview Information Protection con Defender for Cloud Apps es seleccionar una sola casilla. Al habilitar el examen automático, se habilita la búsqueda de etiquetas de confidencialidad de Microsoft Purview Information Protection en los archivos de Office 365 sin necesidad de crear una directiva. Después de habilitarlo, si tiene archivos en el entorno de nube etiquetados con etiquetas de confidencialidad de Microsoft Purview Information Protection, los verá en Defender for Cloud Apps.

Para permitir que Defender for Cloud Apps examine los archivos con la inspección de contenido habilitada para las etiquetas de confidencialidad:

  1. En Defender for Cloud Apps, en el engranaje de configuración, seleccione la página Configuración en el encabezado Sistema .

    Menú Configuración.

  2. En Microsoft Purview Information Protection, seleccione Examen automático de nuevos archivos para las etiquetas de confidencialidad de Microsoft Purview Information Protection y advertencias de inspección de contenido.

    Habilite Microsoft Purview Information Protection.

Después de habilitar Microsoft Purview Information Protection, podrá ver los archivos que tienen etiquetas de confidencialidad y filtrarlos por etiqueta en Defender for Cloud Apps. Una vez que Defender for Cloud Apps esté conectado a la aplicación en la nube, podrá usar las características de integración de Microsoft Purview Information Protection para aplicar etiquetas de confidencialidad desde Microsoft Purview Information Protection (con o sin cifrado) en el portal de Defender for Cloud Apps, agregándolos directamente a archivos o configurando una directiva de archivo para aplicar etiquetas de confidencialidad automáticamente como una acción de gobernanza.

Nota

El examen automático no examina los archivos existentes hasta que se vuelvan a modificar. Para examinar los archivos existentes en busca de etiquetas de confidencialidad de Microsoft Purview Information Protection, debe tener al menos una directiva de archivo que incluya la inspección de contenido. Si no tiene ninguno, cree una nueva directiva de archivo, elimine todos los filtros preestablecidos y, en Método de inspección , seleccione DLP integrado. En el campo Inspección de contenido , seleccione Incluir archivos que coincidan con una expresión preestablecida y seleccione cualquier valor predefinido y guarde la directiva. Esto permite la inspección de contenido, que detecta automáticamente las etiquetas de confidencialidad de Microsoft Purview Information Protection.

Establecimiento de etiquetas internas y externas

De forma predeterminada, Defender for Cloud Apps examina las etiquetas de confidencialidad definidas en su organización, así como las externas definidas por otras organizaciones.

Para omitir las etiquetas de confidencialidad establecidas externamente en la organización, en el portal de Defender for Cloud Apps, vaya a Configuración y, a continuación, Microsoft Purview Information Protection. Seleccione Examinar solo los archivos de etiquetas de confidencialidad en Microsoft Purview Information Protection y advertencias de inspección de contenido de este inquilino.

Omita las etiquetas.

Aplicar etiquetas directamente a archivos

  1. En la página Files (Archivos) en Investigate (Investigar), seleccione el archivo que quiere proteger. Seleccione los tres puntos al final de la fila del archivo y, a continuación, elija Aplicar etiqueta de confidencialidad.

    Aplicar etiqueta de confidencialidad.

    Nota

    Defender for Cloud Apps puede aplicar Microsoft Purview Information Protection en archivos de hasta 30 MB.

  2. Elija una de las etiquetas de confidencialidad de su organización para aplicar al archivo y seleccione Aplicar.

    Etiqueta de confidencialidad de protección.

  3. Después de elegir una etiqueta de confidencialidad y seleccionar Aplicar, Defender for Cloud Apps aplicará la etiqueta de confidencialidad al archivo original.

  4. También puede quitar etiquetas de confidencialidad si elige la opción Quitar etiqueta de confidencialidad .

Para obtener más información sobre cómo Funcionan conjuntamente Defender for Cloud Apps y Microsoft Purview Information Protection, consulte Aplicar automáticamente etiquetas de confidencialidad de Microsoft Purview Information Protection.

Etiquetar archivos automáticamente

Puede aplicar automáticamente etiquetas de confidencialidad a los archivos mediante la creación de una directiva de archivos y la configuración Aplicar etiqueta de confidencialidad como acción de gobernanza.

Siga estas instrucciones para crear la directiva de archivo:

  1. Cree una directiva de archivo.

  2. Establezca la directiva para incluir el tipo de archivo que quiere detectar. Por ejemplo, seleccione todos los archivos en los que el nivel de acceso no sea igual a Interno y donde la unidad organizativa del propietario sea igual a su equipo financiero.

  3. En Acciones de gobernanza para la aplicación pertinente, seleccione Aplicar etiqueta de confidencialidad y, a continuación, seleccione el tipo de etiqueta.

    Aplicar etiqueta.

Nota:

  • La capacidad de aplicar una etiqueta de confidencialidad es una funcionalidad eficaz. Para impedir que los clientes apliquen por error una etiqueta a gran cantidad de archivos, como medida de seguridad existe un límite diario de 100 acciones Aplicar etiqueta por aplicación y por inquilino. Cuando se alcanza el límite diario, la acción de aplicar etiqueta se detiene temporalmente y continúa automáticamente al día siguiente (después de 12:00 UTC). Para aumentar el límite del inquilino, abra una incidencia de soporte técnico.
  • Cuando se deshabilita una directiva, se suspenden todas las tareas de etiquetado pendientes para esa directiva.
  • En la configuración de la etiqueta, los permisos se deben asignar a cualquier usuario autenticado o a todos los usuarios de la organización, para que Defender for Cloud Apps lea la información de etiquetas.

Controlar la exposición del archivo

  • Por ejemplo, si ha etiquetado el documento siguiente con una etiqueta de confidencialidad Microsoft Purview Information Protection:

    Pantalla de Microsoft Purview Information Protection de ejemplo.

  • Para ver este documento en Defender for Cloud Apps, filtre por la etiqueta de confidencialidad para Microsoft Purview Information Protection en la página Archivos.

    Defender for Cloud Apps en comparación con Microsoft Purview Information Protection.

  • Puede obtener más información sobre estos archivos y sus etiquetas de confidencialidad en el cajón de archivos. Solo tiene que seleccionar el archivo correspondiente en la página Archivos y comprobar si tiene una etiqueta de confidencialidad.

    Cajón de archivos.

  • A continuación, puede crear directivas de archivo en Defender for Cloud Apps para controlar los archivos que se comparten de forma inapropiada y encontrar archivos etiquetados y modificados recientemente.

  • Puede crear una directiva que aplique automáticamente una etiqueta de confidencialidad a archivos específicos.

  • También puede desencadenar alertas en las actividades relacionadas con la clasificación de archivos.

Nota

Cuando las etiquetas de confidencialidad están deshabilitadas en un archivo, las etiquetas deshabilitadas aparecen como deshabilitadas en Defender for Cloud Apps. No se muestran las etiquetas eliminadas.

Directiva de ejemplo: datos confidenciales que se comparten externamente en Box:

  1. Cree una directiva de archivo.

  2. Establezca el nombre, la gravedad y la categoría de la directiva.

  3. Agregue los siguientes filtros para buscar todos los datos confidenciales que se comparten externamente en Box:

    Directiva de confidencialidad.

Directiva de ejemplo: datos restringidos modificados recientemente fuera de la carpeta Datos del cliente en SharePoint:

  1. Cree una directiva de archivo.

  2. Establezca el nombre, la gravedad y la categoría de la directiva.

  3. Agregue los siguientes filtros para buscar todos los archivos restringidos modificados recientemente, excepto la carpeta Datos del cliente en la opción de selección de carpetas:

    Directiva de datos restringida.

También puede establecer alertas, notificaciones al usuario o emprender acciones inmediatas para estas directivas. Obtenga más información sobre acciones de gobernanza.

Obtenga más información sobre Microsoft Purview Information Protection.

Pasos siguientes

Si surgen problemas, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.