Registro de actividad de prevención de pérdida de datos
Advertencia
El esquema documentado en este artículo está obsoleto y no estará disponible a partir de julio de 2024. Puede utilizar el nuevo esquema disponible en Categoría de actividad: Eventos de política de datos.
Nota
El registro de actividad para políticas de protección contra pérdida de datos no está disponible actualmente en nubes soberanas.
Las actividades de la política de protección contra pérdida de datos (DLP) se rastrean desde el Centro de seguridad y cumplimiento de Microsoft 365.
Para registrar actividades de DLP, siga estos pasos:
Iniciar sesión en el Centro de seguridad y cumplimiento como administrador de inquilinos.
Seleccione Buscar>Búsqueda de registros de auditoría.
En Buscar>Actividades, introduzca dlp. Aparece una lista de actividades.
Seleccione una actividad, seleccione fuera de la ventana de búsqueda para cerrarla y luego seleccione Buscar.
En la pantalla Búsqueda de registro de auditoría, puede buscar registros de auditoría entre muchos servicios populares, incluidos including eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, aplicaciones de Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation) y Microsoft Power Platform.
Después de tener acceso a Búsqueda de registros de auditoría, puede filtrar por actividades específicas expandiendo Actividades y luego desplazándose para buscar la sección dedicada a actividades de Microsoft Power Platform.
Qué eventos DLP se auditan
Las siguientes son las acciones del usuario que puede auditar:
- Política de DLP creada: cuando se crea una nueva política de DLP
- Política de DLP actualizada: cuando se actualiza una política de DLP existente
- Política de DLP eliminada: cuando se elimina una política de DLP
Esquema base para eventos de auditoría DLP
Los esquemas definen qué campos se envían al Centro de seguridad y cumplimiento de Microsoft 365. Algunos campos son comunes a todas las aplicaciones que envían los datos de auditoría a Microsoft 365, mientras que otros son específicos de las directivas DLP. En la siguiente tabla, Nombre e Información adicional son las columnas específicas de la política de DLP.
| Nombre de campo | Tipo | Obligatorio | Descripción |
|---|---|---|---|
| Fecha | Edm.Date | No | Fecha y hora en que se generó el registro en UTC. |
| Nombre de aplicación | Edm.String | No | Identificador único de PowerApp |
| Id. | Edm.Guid | No | GUID único para cada fila registrada |
| Estado del resultado | Edm.String | No | Estado de la fila registrada. Correcto en la mayoría de los casos. |
| Id. de organización | Edm.Guid | Sí | Identificador único de la organización desde la que se generó el registro. |
| CreationTime | Edm.Date | No | Fecha y hora en que se generó el registro en UTC. |
| Operación | Edm.Date | No | Nombre de operación |
| UserKey | Edm.String | No | Un identificador único del usuario en Microsoft Entra ID |
| UserType | Self.UserType | No | El tipo de auditoría (Administración, Normal, Sistema) |
| Información adicional | Edm.String | No | Más información si la hay (por ejemplo, el nombre ambiente) |
Información adicional
El campo AInformación adicional es un objeto JSON que contiene propiedades específicas de la operación. Para una operación de política de DLP, contiene las siguientes propiedades.
| Nombre de campo | Tipo | ¿Obligatorio? | Descripción |
|---|---|---|---|
| PolicyId | Edm.Guid | Sí | El GUID de la directiva. |
| PolicyType | Edm.String | Sí | El tipo de política. Los valores permitidos son AllEnvironments, SingleEnvironment, OnlyEnvironments o ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Sí | Clasificación de conectores predeterminada. Los valores permitidos son General, Bloqueado o Confidencial. |
| EnvironmentName | Edm.String | No | Nombre (GUID) del entorno. Esto solo está presente para las políticas de SingleEnvironment. |
| ChangeSet | Edm.String | No | Cambios realizados a la directiva. Estos solo están presentes para operaciones de actualización. |
El siguiente es un ejemplo de JSON de Información adicional para un evento de creación o eliminación.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
El siguiente es un ejemplo de JSON de Información adicional para una operación de actualización que:
- Cambia el nombre de la directiva de oldPolicyName a newPolicyName.
- Cambia la clasificación predeterminada de General a Confidencial.
- Cambia el tipo de directiva de OnlyEnvironments a ExceptEnvironments.
- Mueve el conector almacenamiento de blobs de Azure del cubo general al confidencial.
- Mueve el conector Bing Maps del cubo general al confidencial.
- Mueve el conector de Azure Automation del cubo confidencial al bloqueado.
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}