Compartir a través de

Investigar alertas de prevención de pérdida de datos con Microsoft Defender XDR

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Puede administrar e responder a alertas e incidentes de Prevención de pérdida de datos de Microsoft Purview (DLP) en el portal de Microsoft Defender. Abra Incidentes & alertas>Incidentes en el inicio rápido del portal de Microsoft Defender. En esta página, puede hacer lo siguiente:

  • Vea todas las alertas DLP agrupadas en incidentes en la cola de incidentes de Microsoft Defender XDR.
  • Vea las alertas DLP correlacionadas con otras alertas DLP o con alertas de otras soluciones (Defender para punto de conexión, Defender para Office 365, Microsoft Sentinel, etc.) en un único incidente.
  • Busque amenazas de seguridad mediante consultas que combinen registros de cumplimiento con registros de seguridad, en Búsqueda avanzada.
  • Realice acciones de corrección en contexto en usuarios, archivos y dispositivos.
  • Asocie etiquetas personalizadas a incidentes DLP y filtre por ellos.
  • Filtre la cola de incidentes unificada por nombre de directiva DLP, etiqueta, fecha, origen del servicio, estado de incidente y usuario.

Requisitos previos

Requisitos de licencias

Para investigar Prevención de pérdida de datos de Microsoft Purview incidentes en el portal de Microsoft Defender, necesita una licencia de una de las siguientes suscripciones:

  • Microsoft Office 365 E5/A5
  • Microsoft 365 (E5/A5)
  • Cumplimiento de Microsoft 365 E5/A5
  • Gobernanza e Information Protection de Microsoft 365 E5/A5

Nota:

Cuando tenga licencia y sea apto para esta característica, las alertas DLP fluirán automáticamente a Microsoft Defender XDR. Si no desea que las alertas DLP fluyan a Defender, abra un caso de soporte técnico para deshabilitar esta característica. Si deshabilita esta característica, las alertas DLP aparecerán en el portal de Defender como Microsoft Defender para las alertas de Office.

Funciones

Se recomienda conceder solo permisos mínimos a las alertas en el portal de Microsoft Defender. Puede crear un rol personalizado con estos roles y asignarlo a los usuarios que necesitan investigar las alertas DLP.

Permiso Acceso a alertas de Defender
Administrar alertas DLP + Seguridad
View-Only Administrar alertas DLP + Seguridad
Analista de Information Protection Solo DLP
Administración de cumplimiento de DLP Solo DLP
View-Only administración de cumplimiento de DLP Solo DLP

Antes de empezar

Active alertas para todas las directivas DLP en el portal de Microsoft Purview.

Nota:

Las restricciones de unidades administrativas fluyen desde la prevención de pérdida de datos (DLP) al portal de Defender. Si es un administrador restringido de unidad administrativa, solo verá las alertas DLP de la unidad administrativa.

Investigación de alertas DLP en el portal de Microsoft Defender

  1. Vaya al portal de Microsoft Defender y seleccione Incidentes en el menú de navegación izquierdo para abrir la página incidentes.

  2. Seleccione Agregar filtro en la barra de herramientas y elija el filtro Orígenes de servicio o detección . A continuación, seleccione ese filtro y elija Prevención de pérdida de datos de Microsoft para ver todos los incidentes con alertas DLP. También puede filtrar la cola por nombres de usuario y dispositivo (mediante el filtro Entidades ) y por directivas; con el filtro De directiva o regla de directiva , puede buscar nombres de archivo, usuarios, nombres de dispositivo y rutas de acceso de archivo.

    1. (en versión preliminar) En las directivas de alertas> de la cola > de incidentes, título de la directiva de alertas. Puede buscar en el nombre de la directiva DLP.

  3. Busque el nombre de la directiva DLP de las alertas e incidentes que le interesan.

  4. Para ver la página de resumen de incidentes, seleccione el incidente en la cola. De forma similar, seleccione la alerta para ver la página de alerta DLP. Seleccione Resumir (versión preliminar) para Security Copilot para generar un resumen de la alerta. El resumen de la alerta contendrá lo siguiente:

  • gravedad de alerta
  • título de alerta
  • el nombre de la directiva que coincidió
  • el archivo de nombre implicado y un vínculo al archivo
  • estado de alerta
  • dirección de correo electrónico del usuario que realizó la acción que coincidió con la directiva

  1. Vea la historia de alertas para obtener más información sobre la directiva y los tipos de información confidencial detectados en la alerta. Seleccione el evento en la sección Eventos relacionados para ver los detalles de la actividad del usuario.

  2. Vea el contenido confidencial coincidente en la pestaña Tipos de información confidencial y el contenido del archivo en la pestaña Origen si tiene el permiso necesario (consulte los detalles aquí).

Extensión de la investigación de alertas DLP con búsqueda avanzada

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de registros de auditoría de usuarios, archivos y ubicaciones de sitio para ayudar en la investigación. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

La tabla CloudAppEvents contiene todos los registros de auditoría en todas las ubicaciones, como SharePoint, OneDrive, Exchange y Dispositivos.

Antes de empezar

Si no está familiarizado con la búsqueda avanzada, debe revisar Introducción a la búsqueda avanzada.

Para poder usar la búsqueda avanzada, debe tener acceso a la tabla CloudAppEvents que contiene los datos de Microsoft Purview.

Uso de consultas integradas

Importante

Esta característica está en versión preliminar. Las características en versión preliminar no están diseñadas para su uso en producción y pueden tener una funcionalidad restringida. Estas características están disponibles antes de una versión oficial para que los clientes puedan obtener acceso anticipado y proporcionar comentarios.

El portal de Defender ofrece varias consultas integradas que puede usar para ayudar con la investigación de alertas DLP.

  1. Vaya al portal de Microsoft Defender y seleccione Incidentes & alertas en el menú de navegación izquierdo para abrir la página incidentes. Seleccione Incidentes.
  2. Seleccione Filtros en la parte superior derecha y elija Origen de servicio: Prevención de pérdida de datos para ver todos los incidentes con alertas DLP.
  3. Abra un incidente DLP.
  4. Seleccione en una alerta para ver sus eventos asociados.
  5. Seleccione un evento.
  6. En el panel de detalles del evento, seleccione el control Go Hunt .
    1. Defender muestra una lista de consultas integradas que son relevantes para la ubicación de origen del evento. Por ejemplo, si el evento es de SharePoint, verá
      1. Archivo compartido con
      2. Actividades de archivo
      3. Actividad del sitio
      4. Infracciones dlp de usuario durante los últimos 30 días
  7. Puede elegir Ejecutar consulta inmediatamente, cambiar el intervalo de tiempo, editar o guardar la consulta para su uso posterior.
  8. Una vez que ejecute la consulta, vea los resultados en la pestaña Resultados .

Si la alerta es para un mensaje de correo electrónico, puede descargarlo seleccionando Acciones>Descargar correo electrónico.

Si la alerta es para un archivo en SharePoint Online o One Drive for Business, puede realizar estas acciones:

Para las acciones de corrección, seleccione la tarjeta Usuario en la parte superior de la página de alertas para abrir los detalles del usuario.

En Alertas DLP de dispositivos, seleccione la tarjeta del dispositivo en la parte superior de la página de alertas para ver los detalles del dispositivo y realizar acciones de corrección en el dispositivo.

Vaya a la página resumen de incidentes y seleccione Administrar incidente para agregar etiquetas de incidente, asignar o resolver un incidente.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.