Creación e implementación de directivas de prevención de pérdida de datos

Hay muchas opciones de configuración en una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP). Cada opción cambia el comportamiento de la directiva. En este artículo se presentan algunos escenarios de intención comunes para las directivas que se asignan a las opciones de configuración. A continuación, le guiará a través de la configuración de esas opciones. Una vez que se familiarice con estos escenarios, se sentirá cómodo con la experiencia de usuario de creación de directivas DLP para crear sus propias directivas.

La implementación de una directiva es tan importante como el diseño de directivas. Tiene varias opciones para controlar la implementación de directivas. En este artículo se muestra cómo usar estas opciones para que la directiva alcance su intención y evitar interrupciones empresariales costosas.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Antes de empezar

Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales con los que debe estar familiarizado al implementar DLP:

1. Administrative units
2. Más información sobre Prevención de pérdida de datos de Microsoft Purview: en el artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
3. Planear la prevención de pérdida de datos (DLP): al trabajar con este artículo, hará lo siguiente:
   1. Identificación de las partes interesadas
   2. Describir las categorías de información confidencial que se van a proteger
   3. Establecer objetivos y estrategias
4. Referencia de directiva de prevención de pérdida de datos: en este artículo se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
5. Diseñar una directiva DLP : este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
6. Crear e implementar directivas de prevención de pérdida de datos : en este artículo, que está leyendo ahora, se presentan algunos escenarios de intención de directiva comunes que se asignan a las opciones de configuración. A continuación, le guiará a través de la configuración de esas opciones y proporciona instrucciones sobre la implementación de una directiva.
7. Más información sobre la investigación de alertas de prevención de pérdida de datos : en este artículo se presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.

Licencias de SKU/suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Permissions

La cuenta que use para crear e implementar directivas debe ser miembro de uno de estos grupos de roles.

• Administrador de cumplimiento
• Administrador de datos de cumplimiento
• Protección de la información
• Administrador de Information Protection
• Administrador de seguridad

Importante

Asegúrese de comprender la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa ; para ello, lea Unidades administrativas antes de empezar.

Roles y grupos de roles granulares

Hay roles y grupos de roles que puede usar para ajustar los controles de acceso.

Esta es una lista de los roles aplicables. Para obtener más información, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Administración de cumplimiento de DLP
• Administrador de Information Protection
• Analista de Information Protection
• Investigador de protección de información
• Lector de protección de información

Esta es una lista de los grupos de roles aplicables. Para más información, consulte Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Protección de la información
• Administradores de Information Protection
• Analistas de Information Protection
• Investigadores de Information Protection
• Lectores de Information Protection

Escenarios de creación de directivas

En el artículo anterior Diseño de una directiva DLP se introdujo en la metodología de creación de una instrucción de intención de directiva y, a continuación, se asigna esa instrucción de intención a las opciones de configuración de directiva. En esta sección se toman esos ejemplos, además de algunos más, y se le guía por el proceso de creación de directivas real. Debe trabajar en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.

Hay tantas opciones de configuración en el flujo de creación de directivas que no es posible cubrir todas o incluso la mayoría de las configuraciones. Por lo tanto, en este artículo se tratan varios de los escenarios de directiva DLP más comunes. Pasar por esto le ofrece experiencia práctica en una amplia gama de configuraciones.

Escenario 1 Bloquear correos electrónicos con números de tarjeta de crédito

Importante

Se trata de un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Debe sustituir sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.

Requisitos previos y supuestos del escenario 1

En este escenario se usa la etiqueta de confidencialidad altamente confidencial , por lo que requiere que haya creado y publicado etiquetas de confidencialidad. Para más información, vea:

• Información sobre las etiquetas de confidencialidad
• Introducción a las etiquetas de confidencialidad
• Crear y configurar etiquetas de confidencialidad y sus directivas

Este procedimiento usa un grupo de distribución hipotético Finance team en Contoso.com y un hipotético destinatario adele.vance@fabrikam.comSMTP.

Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.

Asignación y instrucción de intención de directiva del escenario 1

Debemos bloquear los correos electrónicos a todos los destinatarios que contengan números de tarjeta de crédito o que tengan aplicada la etiqueta de confidencialidad "extremadamente confidencial", excepto si el correo electrónico se envía de alguien del equipo financiero a adele.vance@fabrikam.com. Queremos notificar al administrador de cumplimiento cada vez que se bloquea un correo electrónico y notificar al usuario que envió el elemento y a nadie se le puede permitir invalidar el bloque. Realice un seguimiento de todas las repeticiones de este evento de alto riesgo en el registro y queremos los detalles de los eventos capturados y disponibles para su investigación.

Instrucción	Pregunta de configuración respondida y asignación de configuración
"Tenemos que bloquear los correos electrónicos a todos los destinatarios..."	- Dónde supervisar: Ámbito administrativo de Exchange- : acción de directorio - completo: restringir el acceso o cifrar el contenido en ubicaciones > de Microsoft 365 Impedir que los usuarios reciban correo electrónico o accedan a archivos > compartidos de SharePoint, OneDrive y Teams Bloquear a todos
"... que contienen números de tarjeta de crédito o tienen aplicada la etiqueta de confidencialidad "altamente confidencial"..."	- Qué supervisar usa las condiciones de plantilla - personalizada para que una coincidencia la edite para agregar la etiqueta de confidencialidad altamente confidencial
"... excepto si..."	- Configuración del grupo de condiciones: cree un grupo de condición NOT booleano anidado unido a las primeras condiciones mediante un valor booleano AND
"... el correo electrónico se envía desde alguien del equipo financiero..."	- Condición para la coincidencia: el remitente es miembro de
"... y..."	- Condición para la coincidencia: agregue una segunda condición al grupo NOT
"... para adele.vance@fabrikam.com..."	- Condición para la coincidencia: el remitente es
"... Notificar..."	- Notificaciones de usuario: sugerencias de directiva habilitadas - : habilitadas
"... el administrador de cumplimiento cada vez que se bloquea un correo electrónico y notificar al usuario que envió el elemento..."	- Sugerencias de directiva: habilitada - Notificar a estas personas: seleccionada - La persona que envió, compartió o modificó el contenido: seleccionada - Enviar el correo electrónico a estas personas adicionales: agregue la dirección de correo electrónico del administrador de cumplimiento.
"... y no se puede permitir que nadie invalide el bloque...	- Permitir invalidaciones de M365 Services: no seleccionado
"... Realice un seguimiento de todas las repeticiones de este evento de alto riesgo en el registro y queremos los detalles de los eventos capturados y disponibles para su investigación".	- Use este nivel de gravedad en alertas e informes de administración: alto Enviar una alerta a los administradores cuando se produzca una coincidencia de regla: se selecciona - Enviar alerta cada vez que una actividad coincide con la regla: seleccionada-

Pasos para crear la directiva para el escenario 1

Importante

Para los fines de este procedimiento de creación de directivas, aceptará los valores predeterminados de inclusión o exclusión y dejará la directiva desactivada. Los cambiará al implementar la directiva.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicio de sesión en el portal de Microsoft Purview

2. Abra la solución de prevención de pérdida de datos y vaya a Directivas>+ Crear directiva.

3. Seleccione Personalizado en la lista Categorías .

4. Seleccione Personalizado en la lista Reglamentos .

5. Elija Siguiente.

6. Asigne a la directiva un nombre Nombre y una Descripción. Puede usar la instrucción de intención de directiva aquí.

   Importante

   No se puede cambiar el nombre de las directivas

7. Seleccione Siguiente.

8. Asignar unidades de administración. Para aplicar la directiva a todos los usuarios, acepte la configuración predeterminada.

9. Elija Siguiente.

10. Elija dónde aplicar la directiva. Seleccione solo la ubicación del correo electrónico de Exchange . Anule la selección de todas las demás ubicaciones.

11. Elija Siguiente.

12. En la página Definir configuración de directiva , ya debe seleccionarse la opción Crear o personalizar reglas DLP avanzadas .

13. Seleccione Siguiente.

14. Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.

15. En Condiciones , seleccione Agregar condición>que contiene el contenido

16. (Opcional) Escriba un nombre de grupo.

17. (Opcional) Seleccionar un operador Group

18. Seleccione Agregar> tipos >de información confidencialNúmero de tarjeta de crédito.

19. Seleccione Agregar.

20. Aún dentro de la sección Contenido contiene , seleccione Agregar>etiquetas de confidencialidad>Extremadamente confidencial y, a continuación, elija Agregar.

21. A continuación, debajo de la sección Contenido contiene , elija Agregar grupo.

22. Deje el operador booleano establecido en AND y, a continuación, establezca el botón de alternancia en NOT.

23. Seleccione Agregar condición.

24. Seleccione Remitente del que es miembro.

25. Seleccione Agregar o quitar grupos.

26. Seleccione Equipo financiero y, a continuación, elija Agregar.

27. Elija Agregar condición>El destinatario es.

28. En el campo correo electrónico, escriba adele.vance@fabrikam.com y seleccione Agregar .

29. En Acciones, seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365

30. Seleccione Bloquear que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams y, a continuación, seleccione Bloquear a todos.

31. Establezca el botón de alternancia Notificaciones de usuarioen Activado.

32. Seleccione Email notificaciones>Notificar a la persona que envió, compartió o modificó por última vez el contenido.

33. Elija si desea adjuntar un mensaje de correo electrónico coincidente a la notificación.

34. Elija si desea agregar sugerencias de directiva.

35. En Ovverides de usuario, asegúrese de que No se selecciona Permitir invalidaciones de aplicaciones y servicios de Microsoft 365... .

36. En Informes de incidentes, establezca Use this severity level in admin alerts and reports (Usar este nivel de gravedad en alertas e informes de administración) enAlto.

37. Establezca Enviar alerta cada vez que una actividad coincida con la alternancia de regla en Activado.

38. Seleccione Guardar.

39. Elija Siguiente y, después, ejecutar la directiva en modo de simulación.

40. Elija Siguiente y, a continuación, elija Enviar.

41. Seleccione Listo.

Portal de cumplimiento

1. Inicie sesión en la directiva de prevención de pérdida de datos portal de cumplimiento Microsoft Purview >Solutions>>>+ Crear.

2. Seleccione Personalizado en la lista Categorías .

3. Seleccione Personalizado en la lista Reglamentos y, a continuación, elija Siguiente.

4. Asignar a la directiva un nombre.

   Importante

   No se puede cambiar el nombre de las directivas.

5. Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.

6. Elija Siguiente.

7. Acepte el valor predeterminado de Directorio completo en unidades de Administración.

8. Establezca el estado de la ubicación del correo electrónico de Exchangeen Activado. Anule la selección de todas las demás ubicaciones.

9. Elija Siguiente.

10. La opción Crear o personalizar reglas DLP avanzadas ya debe estar seleccionada. Elija Siguiente.

11. Seleccione + Crear regla. Asigne un nombre a la regla y proporcione una descripción.

12. En Condiciones, seleccione Agregar contenido de condición>que contiene>Agregar>tipos de> información confidencialNúmero de tarjeta de crédito. Seleccione Agregar.

13. Seleccione Agregar>etiquetas de confidencialidad>Extremadamente confidencial. Seleccione Agregar.

14. Seleccione Agregar grupo>Y>NO>Agregar condición.

15. Seleccione Remitente como miembro delequipo financiero>Agregar o quitar grupos> de distribución.

16. Seleccione Agregar.

17. Elija Agregar condición>El destinatario es. Agregue adele.vance@fabrikam.com y, a continuación, elija Agregar.

18. En Acción, seleccione Agregar y acción>Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.

19. Seleccione Bloquear que los usuarios reciban correo electrónico o accedan a archivos compartidos de SharePoint, OneDrive y Teams y elementos de Power BI.

20. Seleccione Bloquear a todos.

21. Establezca Notificaciones de usuarioen Activado.

22. Seleccione Email notificación>Notificar a estas personas:>la persona que envió, compartió o modificó el contenido.

23. En Enviar el correo electrónico a estas personas adicionales y agregue la dirección de correo electrónico del administrador de cumplimiento.

24. En Invalidaciones de usuario, asegúrese de que no esté seleccionada la opción Permitir invalidación de servicios M365.

25. En Informes de incidentes, establezca Usar este nivel de gravedad en alertas e informes de administración enalto.

26. Establezca Enviar una alerta a los administradores cuando se produzca una coincidencia de regla en Activado.

27. Seleccione Enviar alerta cada vez que una actividad coincida con la regla.

28. Seleccione Guardar.

29. Elija Siguiente

30. En la página Modo de directiva, seleccione Ejecutar la directiva en modo de simulación y, a continuación, elija Siguiente.

31. Elija Enviar y, a continuación, Listo.

Escenario 2 Bloquear el uso compartido de elementos confidenciales a través de SharePoint y OneDrive en Microsoft 365 con usuarios externos

Para SharePoint y OneDrive en Microsoft 365, se crea una directiva para bloquear el uso compartido de elementos confidenciales con usuarios externos a través de SharePoint y OneDrive.

Requisitos previos y supuestos del escenario 2

En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que requiere que haya creado y publicado etiquetas de confidencialidad. Para más información, vea:

• Información sobre las etiquetas de confidencialidad
• Introducción a las etiquetas de confidencialidad
• Crear y configurar etiquetas de confidencialidad y sus directivas

Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.

Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.

Asignación y declaración de intención de directivas del escenario 2

Debemos bloquear todo el uso compartido de elementos de SharePoint y OneDrive a todos los destinatarios externos que contengan números de seguridad social, datos de tarjetas de crédito o que tengan la etiqueta de confidencialidad "Confidencial". No queremos que esto se aplique a nadie en el equipo de Recursos Humanos. También tenemos que cumplir los requisitos de alerta. Queremos notificar a nuestro equipo de seguridad con un correo electrónico cada vez que se comparte un archivo y, a continuación, se bloquea. Además, queremos que se alerte al usuario por correo electrónico y dentro de la interfaz, si es posible. Por último, no queremos ninguna excepción a la directiva y es necesario poder ver esta actividad dentro del sistema.

Instrucción	Pregunta de configuración respondida y asignación de configuración
"Tenemos que bloquear todo el uso compartido de elementos de SharePoint y OneDrive para todos los destinatarios externos..."	- Ámbito administrativo: directorio - completo Dónde supervisar: Sitios de SharePoint, Cuentas - de OneDrive Condiciones para una coincidencia: Primera Condición > Compartida fuera de mi organización - Acción: Restringir el acceso o cifrar el contenido en ubicaciones > de Microsoft 365 Impedir que los usuarios reciban correo electrónico o accedan a SharePoint compartido, OneDrive > Bloquear solo a personas ajenas a su organización
"... que contienen números de seguridad social, datos de tarjetas de crédito o que tienen la etiqueta de confidencialidad "Confidencial"..."	- Qué supervisar: use la Condición de plantilla - personalizada para una coincidencia: cree una segunda condición que esté unida a la primera condición con un valor booleano Y - Condiciones para una coincidencia: Segunda condición, el contenido del grupo > de primera condición contiene tipos de información confidencial U.S. Social Security Number (SSN), Configuración del grupo de condición Número - de tarjeta de crédito Crear un segundo grupo de condición conectado al primero por or booleano - Condición para una coincidencia: segundo grupo de condiciones, segunda condición > El contenido contiene cualquiera de estas etiquetas de confidencialidad Confidencial.
"... No queremos que esto se aplique a nadie en el equipo de recursos humanos..."	- Dónde aplicar excluye las cuentas de OneDrive del equipo de recursos humanos
"... Queremos notificar a nuestro equipo de seguridad con un correo electrónico cada vez que se comparte un archivo y, a continuación, se bloquea..."	- Informes de incidentes: envíe una alerta a los administradores cuando se produzca una coincidencia de regla Enviar alertas- por correo electrónico a estas personas (opcional): agregue el equipo- de seguridad Enviar una alerta cada vez que una actividad coincida con la regla: seleccione - Usar informes de incidentes de correo electrónico para notificarle cuando se produzca una coincidencia de directiva: Al - enviar notificaciones a estas personas: agregue administradores individuales como desee - .También puede incluir la siguiente información en el informe: Seleccionar todas las opciones
"... Además, queremos que se alerte al usuario por correo electrónico y dentro de la interfaz si es posible..."	- Notificaciones de usuario: Al - notificar usa en Office 365 con una sugerencia de directiva: seleccionada
"... Por último, no queremos excepciones a la directiva y necesitamos poder ver esta actividad dentro del sistema..."	-Invalidaciones de usuario: no seleccionado

Cuando se configuran las condiciones, el resumen tiene el siguiente aspecto:

Pasos para crear la directiva para el escenario 2

Importante

Para los fines de este procedimiento de creación de directivas, dejará desactivada la directiva. Estos cambios se cambian al implementar la directiva.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicio de sesión en el portal de Microsoft Purview

2. Seleccione Directivas de prevención>> de pérdida de datos+ Crear directiva.

3. Seleccione Personalizado en la lista Categorías y en la lista Reglamentos .

4. Elija Siguiente.

5. Asigne a la directiva un nombre Nombre y una Descripción. Puede usar la instrucción de intención de directiva aquí.

   Importante

   No se puede cambiar el nombre de las directivas.

6. Seleccione Siguiente.

7. Acepte el directorio completo predeterminado en la página Asignar unidades de administrador .

8. Elija Siguiente.

9. Elija dónde aplicar la directiva.

   1. Asegúrese de que las ubicaciones de los sitios de SharePoint y las cuentas de OneDrive están seleccionadas.
   2. Anule la selección de todas las demás ubicaciones.
   3. Seleccione Editar en la columna Ámbito junto a Cuentas de OneDrive.
   4. Seleccione Todos los usuarios y grupos y, a continuación, seleccione Excluir usuarios y grupos.
   5. Elija +Excluir y, a continuación, Excluir grupos.
   6. Seleccione Recursos humanos.

10. Elija Listo y, a continuación, elija Siguiente.

11. En la página Definir configuración de directiva , ya debe seleccionarse la opción Crear o personalizar reglas DLP avanzadas . Elija Siguiente.

12. En la página Personalizar reglas DLP avanzadas , seleccione + Crear regla.

13. Asigne a la regla un nombre y una descripción.

14. Seleccione Agregar condición y use estos valores:

    1. Elija Contenido compartido de Microsoft 365.
    2. Seleccione con personas ajenas a mi organización.

15. Seleccione Agregar condición para crear una segunda condición y usar estos valores.

    1. Seleccione Contenido que contiene.

16. Seleccione Agregar>etiquetas de confidencialidad> y, a continuación, Confidencial.

17. Seleccione Agregar.

18. En Acciones, agregue una acción con estos valores:

    1. Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365.
    2. Bloquee solo a personas ajenas a su organización.

19. Establezca el botón de alternancia Notificaciones de usuarioen Activado.

20. Seleccione Notificar a los usuarios en Office 365 servicios con una sugerencia de directiva y, a continuación, seleccione Notificar al usuario que envió, compartió o modificó por última vez el contenido.

21. En Invalidaciones de usuario, asegúrese de que no esté seleccionada la opción Permitir invalidación de servicios M365.

22. En Informes de incidentes:

    1. Establezca Use this severity level in admin alerts and reports (Usar este nivel de gravedad en alertas e informes de administración) enBajo.
    2. Establezca el botón de alternancia para Enviar una alerta a los administradores cuando se produzca una coincidencia de reglaen Activado.

23. En Enviar alertas de correo electrónico a estas personas (opcional), elija + Agregar o quitar usuarios y agregue la dirección de correo electrónico del equipo de seguridad.

24. Elija Guardar y, a continuación, elija Siguiente.

25. En la página Modo de directiva, elija Ejecutar la directiva en modo de simulación y Mostrar sugerencias de directiva mientras está en modo de simulación.

26. Elija Siguiente y, a continuación, elija Enviar.

27. Seleccione Listo.

Portal de cumplimiento

1. En el portal de cumplimiento Microsoft Purview vaya a Soluciones Directivas> deprevención>> de pérdida de datos+ Crear directiva.

2. Seleccione Personalizado en la lista Categorías y seleccione Directiva personalizada en la lista Reglamentos .

3. Elija Siguiente.

4. Asignar a la directiva un nombre.

   Importante

   No se puede cambiar el nombre de las directivas.

5. Rellene una descripción. Puede usar la instrucción de intención de directiva aquí.

6. Elija Siguiente.

7. Acepte el valor predeterminado de Directorio completo en unidades de Administración.

8. Elija Siguiente.

9. Establezca los sitios de SharePoint y las ubicaciones de cuentas de OneDrive , anule la selección de todas las demás ubicaciones.

10. Edite el ámbito de las cuentas de OneDrive . Seleccione Todos los usuarios y grupos>Excluir usuarios y grupos>+ Excluir>grupos y agregue el grupo Recursos humanos .

11. Seleccione Listo.

12. Seleccione Listo.

13. Seleccione Siguiente.

14. En la página Definir configuración de directiva , ya debe seleccionarse la opción Crear o personalizar reglas DLP avanzadas . Elija Siguiente.

15. Seleccione Crear regla. Asigne un nombre a la regla y proporcione una descripción.

16. En Condiciones , seleccione + Agregar condición>El contenido se comparte desde Microsoft 365>con personas ajenas a mi organización.

17. Elija Agregar condición.

18. El contenido seleccionado contiene>los tipos>de información confidencial Agregar>número de seguro social (SSN) de EE. UU. y Número de tarjeta de crédito. Seleccione Agregar.

19. Seleccione Crear grupo. Establecer el operador booleano en OR

20. Seleccione >Agregar>etiquetas de confidencialidad> y Confidencial.

21. Seleccione Agregar.

22. En Acciones, seleccione Agregar una acción>Restringir el acceso o cifrar el contenido en ubicaciones> de Microsoft 365Bloquear solo a personas ajenas a la organización.

23. Establezca Notificaciones de usuarioen Activado.

24. Seleccione Notificar a los usuarios en Office 365 servicios con una sugerencia> de directivaNotificar al usuario que envió, compartió o modificó por última vez el contenido.

25. En Invalidaciones de usuario, asegúrese de que no esté seleccionada la opción Permitir invalidación de servicios M365.

26. En Informes de incidentes , establezca Use this severity level in admin alerts and reports to low (Usar este nivel de gravedad en alertas e informes de administración enbajo).

27. Establezca Enviar una alerta a los administradores cuando se produzca una coincidencia de regla en Activado.

28. En Enviar alertas de correo electrónico a estas personas (opcional) elija + Agregar o quitar usuarios.

29. Agregue la dirección de correo electrónico del equipo de seguridad.

30. Seleccione Enviar alerta cada vez que una actividad coincida con la regla.

31. Seleccione Guardar.

32. Elija Siguiente.

33. En la página Modo de directiva , elija Ejecutar la directiva en modo de simulación.

34. Elija Siguiente y, a continuación, elija Enviar.

35. Seleccione Listo.

Implementación

Una implementación de directiva correcta no se trata solo de obtener la directiva en el entorno para aplicar controles en las acciones del usuario. Una implementación apresurada y apresurada puede afectar negativamente al proceso empresarial y molestar a los usuarios. Esas consecuencias ralentizan la aceptación de la tecnología DLP en su organización y los comportamientos más seguros que promueve. En última instancia, hacer que los elementos confidenciales sean menos seguros a largo plazo.

Antes de iniciar la implementación, asegúrese de que ha leído la implementación de directivas. Proporciona una amplia información general sobre el proceso de implementación de directivas y las instrucciones generales.

En esta sección se profundiza más en los tres tipos de controles que se usan de forma conjunta para administrar las directivas en producción. Recuerde que puede cambiar cualquiera de ellos en cualquier momento, no solo durante la creación de la directiva.

Tres ejes de administración de la implementación

Hay tres ejes que puede usar para controlar el proceso de implementación de directivas, el ámbito, el estado de la directiva y las acciones. Siempre debe adoptar un enfoque incremental para implementar una directiva, empezando desde el modo menos impactante o de simulación hasta la aplicación completa.

Configuraciones de control de implementación recomendadas

Cuando el estado de la directiva es	El ámbito de la directiva puede ser	Impacto de las acciones de directiva
Ejecución de la directiva en modo de simulación	El ámbito de la directiva de las ubicaciones puede ser estrecho o amplio	- Puede configurar cualquier acción : no hay ningún impacto en el usuario de las acciones configuradas, Administración ve alertas y puede realizar un seguimiento de las actividades.
Ejecución de la directiva en modo de simulación con sugerencias de directiva	El ámbito de la directiva debe tener como destino un grupo piloto y, a continuación, expandir el ámbito a medida que se ajusta la directiva	- Puede configurar cualquier acción : no hay ningún impacto en el usuario de las acciones configuradas: los usuarios pueden recibir sugerencias y alertas de directivas, Administración ve alertas y puede realizar un seguimiento de las actividades.
Enciéndalo	Todas las instancias de ubicación de destino	- Todas las acciones configuradas se aplican a las actividades del usuario: Administración ve alertas y puede realizar un seguimiento de las actividades.
Manténgalo fuera	N/D	N/D

Estado

El estado es el control principal que se usa para implementar una directiva. Cuando haya terminado de crear la directiva, establezca el estado de la directiva en Mantener desactivada. Debe dejarlo en este estado mientras trabaja en la configuración de la directiva y hasta que obtenga una revisión final y cierre la sesión. El estado se puede establecer en:

• Ejecutar la directiva en modo de simulación: no se aplican acciones de directiva, los eventos se auditan. Mientras se encuentra en este estado, puede supervisar el impacto de la directiva en la información general del modo de simulación DLP y en la consola del explorador de actividad DLP.
• Ejecute la directiva en modo de simulación y muestre sugerencias de directivas en modo de simulación: no se aplican acciones, pero los usuarios reciben sugerencias de directivas y correos electrónicos de notificación para aumentar su reconocimiento y educarlos.
• Actíelo de inmediato: este es el modo de cumplimiento completo.
• Mantenerla desactivada: la directiva está inactiva. Use este estado al desarrollar y revisar la directiva antes de la implementación.

Puede cambiar el estado de una directiva en cualquier momento.

Acciones

Las acciones son lo que hace una directiva en respuesta a las actividades del usuario en elementos confidenciales. Dado que puede cambiarlos en cualquier momento, puede empezar con los menos afectados, Permitir (para dispositivos) y Auditar solo (para todas las demás ubicaciones), recopilar y revisar los datos de auditoría y usarlos para ajustar la directiva antes de pasar a acciones más restrictivas.

• Permitir: se permite que se produzca la actividad del usuario, por lo que no se ven afectados los procesos empresariales. Obtiene datos de auditoría y no hay ninguna notificación o alerta de usuario.

  Nota:

  La acción Permitir solo está disponible para las directivas que tienen como ámbito la ubicación Dispositivos .

• Solo auditoría: se permite que se produzca la actividad del usuario, por lo que no se ven afectados los procesos empresariales. Obtiene datos de auditoría y puede agregar notificaciones y alertas para concienciar y entrenar a los usuarios para que sepan que lo que están haciendo es un comportamiento de riesgo. Si su organización tiene la intención de aplicar acciones más restrictivas más adelante, también puede indicarlo a los usuarios.

• Bloquear con invalidación: la actividad del usuario está bloqueada de forma predeterminada. Puede auditar el evento, generar alertas y notificaciones. Esto afecta al proceso empresarial, pero a los usuarios se les ofrece la opción de invalidar el bloque y proporcionar un motivo para la invalidación. Dado que recibe comentarios directos de los usuarios, esta acción puede ayudarle a identificar coincidencias de falsos positivos, que puede usar para ajustar aún más la directiva.

  Nota:

  Para Exchange Online y SharePoint en Microsoft 365, las invalidaciones se configuran en la sección de notificación de usuario.

• Bloquear: la actividad del usuario se bloquea independientemente de qué. Puede auditar el evento, generar alertas y notificaciones.

Ámbito de directiva

Cada directiva tiene como ámbito una o varias ubicaciones, como Exchange, SharePoint en Microsoft 365, Teams y dispositivos. De forma predeterminada, al seleccionar una ubicación, todas las instancias de esa ubicación se encuentran en el ámbito y ninguna se excluye. Puede refinar aún más las instancias de la ubicación (como sitios, grupos, cuentas, grupos de distribución, buzones y dispositivos) a las que se aplica la directiva mediante la configuración de las opciones de inclusión y exclusión para la ubicación. Para obtener más información sobre las opciones de ámbito de inclusión o exclusión, consulte Ubicaciones.

En general, tiene más flexibilidad con el ámbito mientras la directiva está en estado Ejecutar la directiva en modo de simulación porque no se realizan acciones. Puede empezar con solo el ámbito para el que diseñó la directiva o ampliarla para ver cómo afectaría a los elementos confidenciales de otras ubicaciones.

A continuación, cuando cambie el estado a Ejecutar la directiva en modo de simulación y mostrar sugerencias de directiva, debe restringir el ámbito a un grupo piloto que pueda proporcionarle comentarios y ser los primeros en adoptar que pueden ser un recurso para otros cuando se incorporen.

Al mover la directiva a Activarla inmediatamente, amplía el ámbito para incluir todas las instancias de ubicaciones que tenía previsto cuando se diseñó la directiva.

Pasos de implementaciones de directivas

1. Después de crear la directiva y establecer su estado en Mantenerla desactivada, realice una revisión final con las partes interesadas.
2. Cambie el estado a Ejecutar la directiva en modo de simulación. El ámbito de ubicación puede ser amplio en este punto, por lo que puede recopilar datos sobre el comportamiento de la directiva en varias ubicaciones o simplemente empezar con una sola ubicación.
3. Ajuste la directiva en función de los datos de comportamiento para que cumpla mejor la intención empresarial.
4. Cambie el estado a Ejecutar la directiva en modo de simulación y muestre sugerencias de directiva. Refine el ámbito de las ubicaciones para admitir un grupo piloto si es necesario y haga uso de includes/excludes para que la directiva se implemente primero en ese grupo piloto.
5. Recopile los comentarios de los usuarios y los datos de alertas y eventos, si es necesario, ajuste más la directiva y sus planes. Asegúrese de solucionar todos los problemas que surgen en los usuarios. Lo más probable es que los usuarios encuentren problemas y generen preguntas sobre cosas que no se le ocurrieron durante la fase de diseño. Desarrolle un grupo de superusuarios en este momento. Pueden ser un recurso para ayudar a entrenar a otros usuarios a medida que aumenta el ámbito de la directiva y más usuarios se incorporan. Antes de pasar a la siguiente fase de la implementación, asegúrese de que la directiva ha alcanzado los objetivos de control.
6. Cambie el estado a Activado inmediatamente. La directiva está totalmente implementada. Supervisión de alertas DLP y explorador de actividad DLP. Aborde las alertas.