Investigar alertas de prevención de pérdida de datos con Microsoft Defender XDR

Se aplica a:

• Microsoft Defender XDR

Puede administrar alertas de Prevención de pérdida de datos de Microsoft Purview (DLP) en el portal de Microsoft Defender. Abra Incidentes & alertas>Incidentes en el inicio rápido del portal de Microsoft Defender. En esta página, puede hacer lo siguiente:

• Vea todas las alertas DLP agrupadas en incidentes en la cola de incidentes de Microsoft Defender XDR.
• Vea las alertas entre soluciones inteligentes (DLP-MDE, DLP-MDO) y entre soluciones (DLP-DLP) correlacionadas en un único incidente.
• Busque registros de cumplimiento junto con la seguridad en Búsqueda avanzada.
• Acciones de corrección del administrador local en el usuario, el archivo y el dispositivo.
• Asocie etiquetas personalizadas a incidentes DLP y filtre por ellos.
• Filtre por nombre de directiva DLP, etiqueta, fecha, origen del servicio, estado de incidente y usuario en la cola de incidentes unificada.

Sugerencia

También puede extraer incidentes DLP junto con eventos y pruebas en Microsoft Sentinel para su investigación y corrección con el conector de Microsoft Defender XDR en Microsoft Sentinel.

Requisitos de licencias

Para investigar Prevención de pérdida de datos de Microsoft Purview incidentes en el portal de Microsoft Defender, necesita una licencia de una de las siguientes suscripciones:

• Microsoft Office 365 E5/A5
• Microsoft 365 (E5/A5)
• Cumplimiento de Microsoft 365 E5/A5
• Gobernanza e Information Protection de Microsoft 365 E5/A5

Nota:

Cuando tenga licencia y sea apto para esta característica, las alertas DLP fluirán automáticamente a Microsoft Defender XDR. Si no desea que las alertas DLP fluyan a Defender, abra un caso de soporte técnico para deshabilitar esta característica. Si deshabilita esta característica, las alertas DLP aparecerán en el portal de Defender como Microsoft Defender para las alertas de Office.

Funciones

Se recomienda conceder solo permisos mínimos a las alertas en el portal de Microsoft Defender. Puede crear un rol personalizado con estos roles y asignarlo a los usuarios que necesitan investigar las alertas DLP.

Permiso	Acceso a alertas de Defender
Administrar alertas	DLP + Seguridad
View-Only Administrar alertas	DLP + Seguridad
Analista de Information Protection	Solo DLP
Administración de cumplimiento de DLP	Solo DLP
View-Only administración de cumplimiento de DLP	Solo DLP

Antes de empezar

Active alertas para todas las directivas DLP en el portal de cumplimiento Microsoft Purview.

Nota:

Las restricciones de unidades administrativas fluyen desde la prevención de pérdida de datos (DLP) al portal de Defender. Si es un administrador restringido de unidad administrativa, solo verá las alertas DLP de la unidad administrativa.

Investigación de alertas DLP en el portal de Microsoft Defender

1. Vaya al portal de Microsoft Defender y seleccione Incidentes en el menú de navegación izquierdo para abrir la página incidentes.

2. Seleccione Filtros en la parte superior derecha y elija Origen de servicio: Prevención de pérdida de datos para ver todos los incidentes con alertas DLP. Estos son algunos ejemplos de los subfiltros que están disponibles en versión preliminar:

   1. por nombres de usuario y dispositivo
   2. (en versión preliminar) En el filtro Entidades , puede buscar nombres de archivo, usuarios, nombres de dispositivo y rutas de acceso de archivo.
   3. (en versión preliminar) En las directivas de alertas> de la cola > de incidentes, título de la directiva de alertas. Puede buscar en el nombre de la directiva DLP.

3. Búsqueda para el nombre de la directiva DLP de las alertas e incidentes que le interesan.

4. Para ver la página de resumen de incidentes, seleccione el incidente en la cola. De forma similar, seleccione la alerta para ver la página de alerta DLP.

5. Vea la historia de alertas para obtener más información sobre la directiva y los tipos de información confidencial detectados en la alerta. Seleccione el evento en la sección Eventos relacionados para ver los detalles de la actividad del usuario.

6. Vea el contenido confidencial coincidente en la pestaña Tipos de información confidencial y el contenido del archivo en la pestaña Origen si tiene el permiso necesario (consulte los detalles aquí).

Extensión de la investigación de alertas DLP con búsqueda avanzada

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de registros de auditoría de usuarios, archivos y ubicaciones de sitio para ayudar en la investigación. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

La tabla CloudAppEvents contiene todos los registros de auditoría en todas las ubicaciones, como SharePoint, OneDrive, Exchange y Dispositivos.

Antes de empezar

Si no está familiarizado con la búsqueda avanzada, debe revisar Introducción a la búsqueda avanzada.

Para poder usar la búsqueda anticipada, debe tener acceso a la tabla CloudAppEvents que contiene los datos de Microsoft Purview.

Uso de consultas integradas

Importante

Esta característica está en versión preliminar. Las características en versión preliminar no están diseñadas para su uso en producción y pueden tener una funcionalidad restringida. Estas características están disponibles antes de una versión oficial para que los clientes puedan obtener acceso anticipado y proporcionar comentarios.

El portal de Defender ofrece varias consultas integradas que puede usar para ayudar con la investigación de alertas DLP.

1. Vaya al portal de Microsoft Defender y seleccione Incidentes & alertas en el menú de navegación izquierdo para abrir la página incidentes. Seleccione Incidentes.
2. Seleccione Filtros en la parte superior derecha y elija Origen de servicio: Prevención de pérdida de datos para ver todos los incidentes con alertas DLP.
3. Abra un incidente DLP.
4. Seleccione en una alerta para ver sus eventos asociados.
5. Seleccione un evento.
6. En el panel de detalles del evento, seleccione el control Go Hunt .
   1. Defender muestra una lista de consultas integradas que son relevantes para la ubicación de origen del evento. Por ejemplo, si el evento es de SharePoint, verá
      1. Archivo compartido con
      2. Actividades de archivo
      3. Actividad del sitio
      4. Infracciones dlp de usuario durante los últimos 30 días
7. Puede elegir Ejecutar consulta inmediatamente, cambiar el intervalo de tiempo, editar o guardar la consulta para su uso posterior.
8. Una vez que ejecute la consulta, vea los resultados en la pestaña Resultados .

Si la alerta es para un mensaje de correo electrónico, puede descargarlo seleccionando Acciones>Descargar correo electrónico.

Si la alerta es para un archivo en SharePoint Online o One Drive for Business, puede realizar estas acciones:

• Aplicar etiqueta de retención
• No compartir
• Eliminar
• Aplicar etiqueta de confidencialidad
• Descargar (el rol visor de contenido de clasificación de datos es necesario para esta acción)
• Retirar comentarios

Para las acciones de corrección, seleccione la tarjeta Usuario en la parte superior de la página de alertas para abrir los detalles del usuario.

En Alertas DLP de dispositivos, seleccione la tarjeta del dispositivo en la parte superior de la página de alertas para ver los detalles del dispositivo y realizar acciones de corrección en el dispositivo.

Vaya a la página resumen de incidentes y seleccione Administrar incidente para agregar etiquetas de incidente, asignar o resolver un incidente.

Artículos relacionados

• Información general sobre incidentes
• Priorizar incidentes
• Administrar incidentes

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.