Administración de pruebas forenses de administración de riesgos internos

Importante

La evidencia forense es una característica de complemento de participación en Insider Risk Management que proporciona a los equipos de seguridad información visual sobre posibles incidentes de seguridad de datos internos, con la privacidad del usuario integrada. La evidencia forense incluye desencadenadores de eventos personalizables y controles integrados de protección de la privacidad de los usuarios, lo que permite a los equipos de seguridad investigar, comprender y responder mejor a posibles riesgos de datos internos, como la filtración de datos no autorizados de datos confidenciales.

Las organizaciones establecen las directivas adecuadas para sí mismas, incluidos los eventos de riesgo que son la prioridad más alta para capturar pruebas forenses y qué datos son más confidenciales. La evidencia forense está desactivada de forma predeterminada, la creación de directivas requiere una autorización doble y los nombres de usuario se pueden enmascarar con seudónimo (que está activado de forma predeterminada para Insider Risk Management). La configuración de directivas y la revisión de alertas de seguridad dentro de Insider Risk Management aprovecha los sólidos controles de acceso basado en rol (RBAC), lo que garantiza que los usuarios designados de la organización están realizando las acciones adecuadas con funcionalidades de auditoría adicionales.

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Una vez completados los pasos de configuración y creado la directiva de pruebas forenses, comenzará a ver alertas de actividades de usuario potencialmente relacionadas con la seguridad que cumplan las condiciones de los indicadores definidos en la directiva.

Sugerencia

Empiece a trabajar con Microsoft Copilot para seguridad para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Panel

El panel de pruebas forenses es la vista de resumen de las áreas clave de la configuración de pruebas forenses en su organización. Para la versión preliminar, el panel solo incluye una sección de estado del dispositivo de evidencia forense . Seleccione Ver informe de estado del dispositivo para abrir la pestaña Estado del dispositivo y el informe. En futuras versiones se incluirán otras secciones.

Administración de usuarios

Debe solicitar y aprobar usuarios específicos antes de que sean aptos para la captura de pruebas forenses. Simplemente agregar usuarios a una directiva de pruebas forenses no hace que esos usuarios sean aptos para la captura automáticamente. Puede solicitar y aprobar a los usuarios antes o después de crear directivas de pruebas forenses, pero las capturas de clip asociadas a los indicadores de directiva solo se crearán y estarán disponibles para su revisión una vez que se aprueben los usuarios.

Los usuarios asignados a los grupos de roles Administración de riesgos internos o Administración de riesgos internos pueden enviar solicitudes de aprobación a los usuarios asignados al grupo de roles Aprobadores de Insider Risk Management .

Solicitud de captura de aprobaciones

Debe solicitar que la captura de pruebas forenses esté activada para usuarios específicos. Cuando se envía una solicitud, los aprobadores de su organización reciben una notificación por correo electrónico y pueden aprobar o rechazar la solicitud. Si se aprueba, el usuario o aparecerá en la pestaña Usuarios aprobados y será apto para la captura. Si no se soluciona, la solicitud expirará 6 meses a partir del día en que se envió.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Administración de usuarios.

4. Seleccione la pestaña Administrar solicitudes de pruebas forenses .

5. Seleccione Create solicitud.

6. En la página Usuarios , seleccione Agregar usuarios.

7. Use Buscar para buscar un usuario específico o seleccionar uno o varios usuarios de la lista. Seleccione Agregar y, después, seleccione Siguiente.

8. En la página Directiva de evidencia forense , seleccione una directiva de evidencia forense para los usuarios agregados. La directiva que elija determina el ámbito de la actividad que se va a capturar para los usuarios.

9. Seleccione Siguiente.

10. En la página Justificación , haga saber al revisor por qué solicita que se habilite la captura para los usuarios que agregó en el cuadro de texto Justificación para activar la captura de pruebas forenses . Este campo es obligatorio. Seleccione Siguiente cuando esté completo:

11. En la página Email notificaciones, puede usar una plantilla de notificación para enviar un correo electrónico a los usuarios que les informen de que la captura de pruebas forenses se activará para su dispositivo de acuerdo con las directivas de su organización. El correo electrónico se enviará a los usuarios solo si se aprueba su solicitud.

    Active la casilla Enviar una notificación por correo electrónico a los usuarios aprobados . Elija una plantilla existente o cree una nueva. Para crear una plantilla, seleccione Create una plantilla de notificación y complete los siguientes campos obligatorios en el panel Nueva plantilla de notificación por correo electrónico.

12. Seleccione Siguiente.

13. En la página Finalizar , revise la configuración antes de enviar la solicitud. Seleccione Editar usuarios o Editar justificación para cambiar cualquiera de los valores de solicitud o seleccione Enviar para crear y enviar la solicitud a los revisores.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Vaya a Pruebas>forenses Administración de usuarios.

4. Seleccione la pestaña Administrar solicitudes de pruebas forenses .

5. Seleccione Create solicitud.

6. En la página Usuarios , seleccione Agregar usuarios.

7. Use Buscar para buscar un usuario específico o seleccionar uno o varios usuarios de la lista. Seleccione Agregar y, después, seleccione Siguiente.

8. En la página Directiva de evidencia forense , seleccione una directiva de evidencia forense para los usuarios agregados. La directiva que elija determina el ámbito de la actividad que se va a capturar para los usuarios.

9. Seleccione Siguiente.

10. En la página Justificación , haga saber al revisor por qué solicita que se habilite la captura para los usuarios que agregó en el cuadro de texto Justificación para activar la captura de pruebas forenses . Este campo es obligatorio. Seleccione Siguiente cuando esté completo:

11. En la página Email notificaciones, puede usar una plantilla de notificación para enviar un correo electrónico a los usuarios que les informen de que la captura de pruebas forenses se activará para su dispositivo de acuerdo con las directivas de su organización. El correo electrónico se enviará a los usuarios solo si se aprueba su solicitud.

    Active la casilla Enviar una notificación por correo electrónico a los usuarios aprobados . Elija una plantilla existente o cree una nueva. Para crear una plantilla, seleccione Create una plantilla de notificación y complete los siguientes campos obligatorios en el panel Nueva plantilla de notificación por correo electrónico.

12. Seleccione Siguiente.

13. En la página Finalizar , revise la configuración antes de enviar la solicitud. Seleccione Editar usuarios o Editar justificación para cambiar cualquiera de los valores de solicitud o seleccione Enviar para crear y enviar la solicitud a los revisores.

Para ver las solicitudes de aprobación pendientes, vaya a Insider Risk Management> Prueba >forenseSolicitudes pendientes. Aquí verá a los usuarios con solicitudes pendientes, su dirección de correo electrónico, la fecha de envío de la solicitud y quién envió la solicitud de aprobación. Si no se muestra ningún usuario, no hay ninguna solicitud de aprobación pendiente para ningún usuario.

Los usuarios asignados al grupo de roles Aprobadores de Insider Risk Management pueden seleccionar un usuario en la pestaña Solicitud de pruebas forenses y revisar la solicitud. Después de revisar la solicitud, estos usuarios pueden aprobar o rechazar la solicitud de captura de pruebas forenses. Al aprobar o rechazar la solicitud de captura, se quita de esta vista la solicitud pendiente para los usuarios.

Aprobar o rechazar solicitudes de captura

Una vez completadas las solicitudes, los usuarios asignados al grupo de roles Aprobadores de Insider Risk Management recibirán una notificación por correo electrónico para la solicitud de aprobación.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Solicitudes pendientes.
4. Seleccione un usuario que desee revisar.
5. En el panel Revisar solicitud de pruebas forenses (versión preliminar), revise la justificación enviada por el solicitante. Seleccione Aprobar o Rechazar según corresponda.
6. En la página Solicitud aprobada o Solicitud rechazada , seleccione Cerrar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Pruebas>forenses Solicitudes pendientes.
4. Seleccione un usuario que desee revisar.
5. En el panel Revisar solicitud de pruebas forenses (versión preliminar), revise la justificación enviada por el solicitante. Seleccione Aprobar o Rechazar según corresponda.
6. En la página Solicitud aprobada o Solicitud rechazada , seleccione Cerrar.

Revocación de aprobaciones de captura

Si es necesario, puede revocar la aprobación de usuarios específicos y excluirlos de la captura de pruebas forenses. Revocar la aprobación no elimina ni quita ninguna captura existente para estos usuarios, solo se deshabilita la captura futura de la actividad para estos usuarios.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview como miembro del grupo de roles Aprobadores de Insider Risk Management .
2. Vaya a la solución Insider Risk Management .
3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Administración de usuarios.
4. Seleccione la pestaña Usuarios aprobados .
5. Seleccione un usuario y, a continuación, seleccione Quitar.
6. En la página de confirmación de eliminación, seleccione Quitar para revocar la aprobación de captura.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento como miembro del grupo de roles Aprobadores de Insider Risk Management .
2. Vaya a la solución Insider Risk Management .
3. Vaya a Pruebas>forenses Administración de usuarios.
4. Seleccione la pestaña Usuarios aprobados .
5. Seleccione un usuario y, a continuación, seleccione Quitar.
6. En la página de confirmación de eliminación, seleccione Quitar para revocar la aprobación de captura o seleccione Cancelar para cerrar la página de confirmación.

Creación y administración de plantillas de notificación

Puede crear y usar una plantilla de notificación para enviar un correo electrónico a los usuarios para informarles de que la captura de pruebas forenses se activará para su dispositivo de acuerdo con las directivas de su organización. El correo electrónico se envía a los usuarios solo si se aprueba su solicitud.

Create una nueva plantilla de notificación

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Plantillas de notificación.
4. Seleccione Create plantilla de notificación.
5. En el panel Nueva plantilla de notificación por correo electrónico , complete los siguientes campos obligatorios:
   • Nombre de la plantilla
   • Enviar desde
   • Asunto
   • Cuerpo del mensaje
6. Haga clic en Guardar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Plantillasde notificación de evidencia> forense.
4. Seleccione Create plantilla de notificación.
5. En el panel Nueva plantilla de notificación por correo electrónico , complete los siguientes campos obligatorios:
   • Nombre de la plantilla
   • Enviar desde
   • Asunto
   • Cuerpo del mensaje
6. Haga clic en Guardar.

Nota:

Para eliminar una plantilla de notificación existente, seleccione la plantilla y, a continuación, seleccione Eliminar.

Visualización de clips capturados

Para ver y explorar los clips capturados, seleccione la pestaña Pruebas forenses al abrir Administración de riesgos internos de Microsoft Purview. También puede seleccionar la pestaña Pruebas forenses de otras áreas de la solución para ver una lista de clips capturados en contexto:

• Panel de alertas. Los clips accesibles desde el panel Alertas corresponden a la opción para capturar actividades de usuario específicas cuando se crea la directiva de pruebas forenses. Los clips capturados se definen mediante indicadores seleccionados en la directiva de pruebas forenses.
• Informes de actividad de usuario. Los clips accesibles desde informes de actividad de usuario corresponden a la opción de capturar cualquier actividad relacionada con la seguridad realizada por los usuarios incluidos en las directivas de pruebas forenses.
• Panel Casos. Los clips accesibles desde el panel Casos son alertas que se han escalado a casos.

Nota:

Si es miembro del grupo de roles Insider Risk Management Investigators y del grupo de roles Insider Risk Management Admins, verá un botón Revisar clips capturados al abrir Administración de riesgos internos de Microsoft Purview. Si selecciona el botón Revisar clips capturados , cambiará al botón Abrir la configuración de pruebas forenses . El propósito de este botón es ir y venir entre la lista de clips capturados y la configuración si tiene ambos roles. Más información sobre los grupos de roles

Al seleccionar la pestaña Pruebas forenses , los clips capturados y la información asociada se muestran en una lista. Si selecciona un clip capturado en la lista, aparecerá un reproductor de vídeo en el centro de la pantalla y se mostrará una transcripción de actividades y eventos del clip a la derecha del reproductor de vídeo.

Cada clip capturado incluye la siguiente información:

• Fecha y hora (UTC):fecha, hora (UTC) y duración de la captura. La duración de la captura es el tiempo total que abarca la captura. La longitud real de la captura puede ser más corta, ya que la administración de riesgos internos elimina automáticamente los fotogramas idénticos.
• Dispositivo: nombre del dispositivo en Windows 10/11.
• Actividades: tipo de actividad de administración de riesgos internos incluido en la captura. Estas actividades se basan en indicadores globales y de directiva asignados a la directiva asociada.
• Usuario: nombre del usuario.
• DIRECCIÓN URL (si procede): dirección URL a la que el usuario tenía acceso cuando se produjo la actividad.
• Aplicación (si procede): la aplicación a la que el usuario tenía acceso cuando se produjo la actividad.
• Título de ventana activa: el título de la ventana a la que el usuario tenía acceso cuando se produjo la actividad.

Para ver un clip capturado:

1. Si es necesario, configure los filtros en la parte superior de la lista.

2. Seleccione un clip de la lista.

3. Con los controles del reproductor de vídeo, seleccione el control Reproducir para revisar todo el clip de principio a fin.

4. Para limitar la revisión a una actividad o evento específico del clip, seleccione la actividad o el evento en la transcripción. También puede usar el cuadro de búsqueda situado encima de la transcripción para buscar actividades o eventos específicos.

   Nota:

   Un triángulo rojo en la transcripción denota una actividad.

Filtrado de la lista de clips capturados

Puede usar los filtros situados encima de la lista de clips capturados para filtrar actividades e información específicas. Cada filtro admite hasta 10 identificadores únicos, por lo que, por ejemplo, puede filtrar hasta 10 usuarios a la vez. En la tabla siguiente se describen los distintos filtros.

Nombre del filtro	Description
Nombre de usuario	Filtre por cualquier nombre de usuario.
Actividad	Seleccione una actividad específica por la que filtrar, como La impresión de archivos o la contraseña usada para iniciar sesión en el dispositivo se ha reutilizado.
Nombre del dispositivo	Filtre por cualquier nombre de dispositivo.
URL	Filtre por un nombre de dominio o busque cualquier palabra clave después de filtrar por un nombre de dominio. Ejemplo: escribir "SharePoint" como palabra clave devuelve cualquier dirección URL que incluya "SharePoint" en cualquier lugar de la dirección URL.
Aplicación	Filtre por nombre de aplicación. Puede seleccionar Contiene cualquiera de o Contiene todo con este filtro. Ejemplo: si selecciona Contiene cualquiera de y escribe "Contoso.com,Contoso2.com", podría tener un clip que capture Contoso.com y otro que capture Contoso2.com. Si selecciona Contiene todo y escribe "Contoso.com,Contoso2.com", las capturas tendrían que contener ambos dominios.
Título de ventana activa	Filtre por el título de la ventana activa. Puede seleccionar Contiene cualquiera de o Contiene todo para filtrar de la misma manera que el filtro Aplicación .

Eliminación de clips

Los usuarios asignados al grupo de roles Insider Risk Management Investigators pueden eliminar clips individuales de la lista de clips capturados. Para hacerlo:

1. Active la casilla situada junto a la captura.
2. Seleccione el botón Eliminar (papelera).

Los usuarios asignados al grupo de roles Administradores de Insider Risk Management pueden realizar eliminaciones masivas a través de la configuración.

Realizar una eliminación masiva

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview como miembro del grupo de roles Administradores de Insider Risk Management .
2. Vaya a la solución Insider Risk Management .
3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Configuración de pruebas forenses.
4. Asegúrese de que la opción Permitir eliminación de datos de usuario forenses por parte de un administrador o investigador esté establecida en Activado.
5. En Eliminar datos de un usuario , elija Seleccionar un usuario y, a continuación, seleccione el usuario para el que desea eliminar clips.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview como miembro del grupo de roles Administradores de Administración de riesgos internos.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuraciónde evidencia forense de evidencia>forense.
4. Asegúrese de que la opción Permitir eliminación de datos de usuario forenses por parte de un administrador o investigador esté establecida en Activado.
5. En Eliminar datos de un usuario , elija Seleccionar un usuario y, a continuación, seleccione el usuario para el que desea eliminar clips.

Importante

Los clips de evidencia forense se eliminan 120 días después de su captura. Puede exportar o transferir clips de evidencia forense antes de que se eliminen.

Panel de alertas

En el caso de las alertas generadas por las directivas, puede revisar las capturas de evidencia forense en la pestaña Pruebas forenses del panel Alertas . Si hay una o varias capturas disponibles para la alerta, también verá un vínculo Ver notificación de evidencia forense en la actividad que genera una sección de encabezado de alerta. Puede seleccionar el vínculo de notificación o la pestaña Pruebas forenses para revisar una lista de capturas de actividad.

La revisión de una alerta para actividades potencialmente de riesgo que pueden contener capturas de evidencia forense es básicamente la misma que revisar una alerta sin capturas de pruebas forenses. La diferencia significativa es la inclusión de las capturas aplicables. La pestaña Pruebas forenses proporciona acceso a todas las capturas disponibles asociadas a la alerta.

Panel Casos

Si las alertas se escalan a casos, todas las capturas de evidencia forense asociadas se incluyen como parte del caso. La revisión de las capturas de pruebas forenses para los casos sigue el mismo proceso que la revisión de las capturas para las alertas.

Informes de actividad de usuario

Los informes de actividad de usuario permiten examinar las actividades de usuarios específicos durante un período de tiempo definido sin tener que asignarlas de forma temporal o explícita a una directiva de administración de riesgos internos. Si estas actividades de usuario incluyen actividades admitidas por la captura de pruebas forenses, los clips se incluyen con la actividad del usuario.

Si ha configurado pruebas forenses para capturar toda la actividad de usuario relacionada con la seguridad, independientemente de si se incluyen en una directiva de pruebas forenses, para revisar estas capturas:

1. SeleccioneInformación general sobrela administración de> riesgos internos.
2. En la parte inferior de la pantalla Información general , en Investigar actividad de usuario, seleccione Administrar informes.
3. Seleccione un usuario específico y, a continuación, seleccione la pestaña Pruebas forenses .
4. Consulte las instrucciones anteriores.

Informe de estado del dispositivo (versión preliminar)

Una vez que los dispositivos están configurados para admitir pruebas forenses, puede revisar el estado de mantenimiento del cliente de Microsoft Purview para todos los dispositivos de su organización. Para ello, vaya a Insider Risk Management>Prueba forense>Estado del dispositivo.

Para obtener una lista de los requisitos mínimos de configuración y dispositivo, consulte Información sobre las pruebas forenses. Para incorporar dispositivos compatibles, complete los pasos descritos en el artículo Introducción a los dispositivos de Windows 10 y Windows 11 a Microsoft 365.

El informe Estado del dispositivo permite ver el estado y el estado de todos los dispositivos que tienen instalado el agente de pruebas forenses. Cada widget de informe del informe muestra información de las últimas 24 horas.

• Dispositivos en línea: el número total de dispositivos actualmente en línea.
• Dispositivos sin conexión: el número total de dispositivos actualmente sin conexión.
• Dispositivos con advertencias: el número total de dispositivos con una advertencia.
• Dispositivos con errores: el número total de dispositivos con un error.

En la cola de estado del dispositivo se enumeran todos los dispositivos configurados para la evidencia forense de la organización. Además, el informe muestra el estado de los siguientes atributos de dispositivo:

• Nombre del dispositivo: el nombre del dispositivo, definido por el atributo ComputerName del dispositivo.
• Estado del dispositivo: estado del cliente de Microsoft Purview en el dispositivo. Los valores de estado son los siguientes:
  • Correcto: el cliente del dispositivo funciona correctamente y las características de captura de evidencia forense son totalmente compatibles.
  • Advertencia: El cliente del dispositivo tiene una advertencia y es posible que las características de captura de evidencia forense no sean totalmente compatibles.
  • Error: El cliente del dispositivo tiene un error y las características de captura de evidencia forense están deshabilitadas o no son totalmente compatibles.
• Detalles del estado: más información sobre el estado del dispositivo.
• Última sincronización (UTC): fecha y hora de la última sincronización de estado del dispositivo.
• Nombre de usuario: nombre de usuario del usuario que inició sesión en el dispositivo cuando se realizó la sincronización de estado.
• Versión de Windows: la versión de Microsoft Windows instalada en el dispositivo.
• Versión del cliente: la versión del cliente de Microsoft Purview instalado en el dispositivo.

El estado de mantenimiento del dispositivo proporciona información sobre posibles problemas con los dispositivos y el cliente de Microsoft Purview. La columna Estado del dispositivo de la página Estado del dispositivo puede alertarle de problemas de dispositivo que pueden impedir que se capture la actividad del usuario o por qué el volumen de captura de pruebas forenses es inusual. El estado de mantenimiento del dispositivo también puede confirmar que los dispositivos incluidos en la captura de pruebas forenses están en buen estado y no necesitan atención ni cambios de configuración. En la tabla siguiente se enumeran los posibles mensajes de detalles de estado y las acciones recomendadas que puede realizar para abordar advertencias y errores:

Detalles del estado	Estado	Acción sugerida
Error interno del servidor. Como resultado, es posible que falten datos de captura.	Error	Create una incidencia de soporte técnico con Microsoft para una investigación más detallada
El ancho de banda de carga ha alcanzado el 90 % del límite configurado en este dispositivo. Las capturas podrían sobrescribirse pronto.	Advertencia	Aumente el límite de ancho de banda de carga en la página Configuración de pruebas forenses .
Se ha alcanzado el límite de ancho de banda de carga configurado en este dispositivo. No se cargarán más capturas durante el día.	Error	Aumente el límite de ancho de banda de carga en la página Configuración de pruebas forenses .
El almacenamiento sin conexión ha alcanzado el 90 % del límite configurado en este dispositivo. Las capturas podrían sobrescribirse pronto.	Advertencia	Aumente el límite de caché de captura sin conexión en la página Configuración de pruebas forenses .
Se ha alcanzado el límite de almacenamiento sin conexión configurado en este dispositivo. Como resultado, las capturas sin conexión se sobrescriben.	Error	Aumente el límite de caché de captura sin conexión en la página Configuración de pruebas forenses .
El uso de CPU en el dispositivo ha superado el umbral máximo.	Error	El proceso de captura se ha detenido y se reiniciará en unos minutos.
El uso de memoria en el dispositivo ha superado el umbral máximo.	Error	El proceso de captura se ha detenido y se reiniciará en unos minutos.
El uso de GPU en el dispositivo ha superado el umbral máximo.	Error	El proceso de captura se ha detenido y se reiniciará en unos minutos.
El cliente de Microsoft Purview instalado en el dispositivo no puede sincronizarse con la directiva de pruebas forenses.	Advertencia	Conectarse a la red & volver a instalar el cliente
El cliente de Microsoft Purview instalado en el dispositivo no se ha sincronizado con la directiva de pruebas forenses en más de 24 horas.	Error	Conectarse a la red & volver a instalar el cliente
El cliente de Microsoft Purview no puede capturar la actividad porque no se detecta ninguna tarjeta gráfica en este dispositivo.	Error	Agregar una tarjeta gráfica o reemplazar el dispositivo por uno que tenga una tarjeta gráfica
El cliente de Microsoft Purview no puede capturar la actividad porque no se detecta ningún monitor de pantalla en este dispositivo.	Error	Adición de monitores de pantalla para este dispositivo
El cliente de Microsoft Purview no puede capturar la actividad porque los monitores de pantalla de este dispositivo se apagaron o desconectaron.	Error	Conexión o activación de monitores de pantalla para el dispositivo
El dispositivo no puede acceder al directorio que almacena las capturas de evidencia forense.	Error	Reinstalación del cliente en este dispositivo
Error de inicialización del codificador.	Error	Vuelva a instalar el cliente en este dispositivo.

Póngase en contacto con Soporte técnico de Microsoft si las acciones recomendadas no resuelven problemas con el cliente.

Capacidad y facturación

Cuando se configuran las pruebas forenses, puede optar por comprar el complemento de evidencia forense para Insider Risk Management para los clips capturados. El complemento está disponible para organizaciones con cualquiera de las siguientes licencias: Microsoft 365 E5, Cumplimiento de Microsoft 365 E5 o Microsoft 365 E5 Insider Risk Management.

Las organizaciones pueden comprar el complemento en unidades de 100 GB al mes. La capacidad adquirida se aplica a la ingesta de pruebas forenses a partir de la fecha de compra y se restablece el primer mes. La capacidad no utilizada no se lleva a cabo. Se recomienda comprar la licencia a principios de mes para maximizar el valor de la licencia. 100 GB es aproximadamente igual a aproximadamente 1.100 horas de capturas de pruebas forenses por inquilino, con una resolución de vídeo de 1080p. Puede descargar la calculadora de capacidad para ayudar a calcular el número de GB necesarios al mes.

Una vez ingerida la evidencia forense, se conservará durante 120 días. Puede exportar pruebas forenses si es necesario después del período de retención de 120 días.

Planes de pago

Hay dos planes de pago disponibles al comprar el complemento a través de la Centro de administración de Microsoft 365:

• Pago anual (disponible en todos los canales). La opción de compromiso anual le permite comprar el número de licencias que especifique cada mes durante 12 meses. Es adecuado para los clientes que quieren asegurarse de que tienen capacidad disponible cada mes para ingerir pruebas forenses sin interrupción. Este plan de pago repondrá automáticamente el número de licencias compradas cada mes. La capacidad adquirida se aplica a la ingesta de pruebas forenses a partir de la fecha de compra y se restablece el primer mes. La capacidad no utilizada no se lleva a cabo. Los clientes pueden optar por facturarse una vez o dividir la factura en 12 pagos mensuales.
• Pagar mensualmente (solo disponible en web directo). Si no desea realizar un compromiso anual, puede comprar el número de licencias necesarias cada mes. La capacidad adquirida se aplica a la ingesta de pruebas forenses a partir de la fecha de compra y se restablece el primer mes. La capacidad no utilizada no se lleva a cabo.

¿Puedo probar la funcionalidad forense antes de comprarla?

Cada inquilino que tenga una licencia de Microsoft 365 E5, Cumplimiento de Microsoft 365 E5 o Microsoft 365 E5 Insider Risk Management puede registrarse para obtener una licencia de prueba de 20 GB para probar la funcionalidad de pruebas forenses.

Nota:

La licencia de prueba de 20 GB solo está disponible para los clientes en la plataforma de comercio heredada.

Los 20 GB de capacidad disponibles a través de la licencia de prueba no tienen ningún límite de tiempo y están disponibles hasta que se usan los 20 GB completos. Si no usa los 20 GB completos en un año, puede reactivarlo. Si adquiere una licencia de complemento de pruebas forenses antes de usar la capacidad de prueba, podrá usar la capacidad de prueba restante hasta que se use antes de que el sistema empiece a medir la capacidad adquirida.

Si usa los 20 GB de capacidad de prueba y no compra posteriormente el complemento forense para Insider Risk Management, podrá ver los clips que ya haya ingerido, pero no podrá ingerir clips nuevos.

Registrarse para obtener la licencia de prueba de 20 GB

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Capacidad y facturación.

   Nota:

   También puede registrarse para obtener la licencia de prueba en la pestañaPanel depruebas> forenses de Administración de> riesgos de Insider.

4. Seleccione Reclamar 20 GB de capacidad.

5. Siga las indicaciones de la Centro de administración de Microsoft 365.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Vaya aCapacidad y facturación de pruebas> forenses.

   Nota:

   También puede registrarse para obtener la licencia de prueba en la pestañaPanel depruebas> forenses de Administración de> riesgos de Insider.

4. Seleccione Reclamar 20 GB de capacidad.

5. Siga las indicaciones de la Centro de administración de Microsoft 365.

Compra del complemento forense para Insider Risk Management

1. Vaya a Centro de administración de Microsoft 365>Marketplace>Todos los productos.
2. Busque "evidencia forense".

Análisis de la capacidad

Después de adquirir capacidad (o registrarse para obtener la licencia de prueba de 20 GB), puede usar la página Capacidad para analizar cuánta capacidad ha usado y la cantidad de capacidad restante. También puede analizar la cantidad de capacidad que usa cada mes seleccionando en la lista Uso de capacidad en GB o seleccionando Ver todo el uso de capacidad.

Nota:

La plataforma comercial tiene una plataforma de facturación heredada y una plataforma de facturación moderna. La facturación de administración de riesgos internos está diseñada para trabajar con la plataforma de facturación moderna. La capacidad adquirida se aplica a la ingesta de pruebas forenses mensualmente, a partir de la fecha de compra y el restablecimiento del primero de cada mes. Cualquier capacidad adquirida se puede usar por completo en ese mes y se restablecerá el primero del mes siguiente. Puede seguir usando la capacidad hasta la fecha en que expira la licencia.