Implementación de directivas de prevención de pérdida de datos en modo de prueba

  • 8 minutos

Al implementar directivas DLP, puede ser difícil determinar su impacto total sobre los usuarios del entorno. El modo de prueba existe para que los administradores puedan crear directivas DLP y supervisar su impacto y eficacia para los usuarios finales. Los resultados se le proporcionan al usuario en forma de correos electrónicos que contienen informes de incidentes siempre que una regla dentro de la directiva coincida con el contenido de las ubicaciones definidas. El análisis de estos informes le ayudará a determinar si la directiva funciona según lo previsto o si es necesario ajustarla antes de activarla.

Por ejemplo, ha creado una directiva que protege los números de los permisos de conducir alemanes para que no se compartan. Al comprobar las especificaciones de clasificación de datos, observa que los números de producto internos de su empresa se asemejan al patrón de los números de permiso que desea proteger. Antes de activar la directiva, quiere probar qué efecto tendría sobre la experiencia del usuario. Para crear la directiva en modo de prueba, primero debe iniciar el proceso de creación habitual de una directiva.

A continuación, determine si quiere informar a los usuarios de que están a punto de compartir información confidencial. El modo de prueba puede configurarse para ser invisible o para mostrar sugerencias de la directiva y enviar correos a los usuarios finales. Si los usuarios están informados de la coincidencia, también pueden revisar su contenido para ver si incluye información confidencial. Así, pueden notificar falsos positivos en caso de que surjan. Se pueden producir falsos positivos cuando el contenido coincide con un patrón que se supone que no coincide. Esta interacción activa de los usuarios puede ser útil para aumentar la eficacia de una directiva DLP.

Por ejemplo, el número del carné de conducir de un conductor y un número de teléfono pueden tener patrones diferentes, pero aun así haber una cadena de números que coincida con ambos patrones. Las directivas DLP no solo hacen coincidir esos patrones, sino que también requieren otros parámetros para identificar si el número es el carné de conducir de un conductor o un número de teléfono. Es posible que un usuario quiera enviar su número de teléfono a un cliente, pero que la directiva reconozca el patrón del carné de conducir de un conductor como próximo al identificador de dicho carné y que, como consecuencia, el usuario vea una sugerencia para la directiva de carné de conducir del conductor.

Para habilitar el modo de prueba de la directiva DLP, debe modificar dicha directiva e ir a la página Modo de directiva. A continuación, siga estos pasos:

  1. Seleccione la opción de Probarlo primero.

  2. Si quiere mostrar sugerencias de directivas a los usuarios, puede seleccionar la casilla Mostrar sugerencias de directiva cuando se use el modo de prueba; de lo contrario, anule la selección.

  3. Seleccione Siguiente y revise la directiva.

  4. Tras revisar la directiva, seleccione Enviar.

    Screenshot of a test policy example.

  5. A continuación, puede revisar el contenido con el que coincide la directiva mediante el Explorador de actividades.

  6. En el portal de cumplimiento de Microsoft Purview, expanda Prevención de pérdida de datos y, luego, seleccione Explorador de actividades.

  7. En la página Explorador de actividades, expanda Filtros integrados y revise los filtros Directivas DLP que detectaron actividades y Reglas de directiva DLP que detectaron actividades.

Sugerencia

Los informes de directivas DLP pueden tardar hasta 24 horas en aparecer en la pantalla.

Cuando haya visto el efecto de una directiva en el Explorador de actividades, puede modificarla para ajustar su sensibilidad y agregar excepciones si identifica palabras que desencadenan sistemáticamente falsos positivos. Por ejemplo, el uso frecuente de la palabra "número de producto" indicaría que los usuarios están hablando de un número de producto y no de un número de carné de conducir.

Aunque una directiva se implemente en modo de prueba, las acciones no se ejecutan. Puede usar excepciones para limitar el número de falsos positivos.

Después de supervisar las alertas durante algún tiempo y ajustar la sensibilidad de la directiva, debe mantenerla en modo de prueba y activar las sugerencias de directiva durante un tiempo. De esta forma, los usuarios tendrán tiempo para ayudar a perfeccionarla gracias a la notificación de los falsos positivos.

Regla de prevención de pérdida de datos: notificaciones de usuario

Las notificaciones de usuario informan a los usuarios de que se ha desencadenado una directiva. Al habilitar estas notificaciones, los usuarios pueden informar de los falsos positivos, de modo que se pueda ajustar la sensibilidad de la directiva. Puede habilitar la notificación de usuario en las reglas de DLP mediante los pasos siguientes:

  1. Edite la directiva DLP y vaya al panel Customize advanced DLP rules (Personalizar reglas de DLP avanzadas).

  2. Seleccione Editar en la regla de DPL que quiere configurar.

  3. En el panel Editar regla, vaya a la sección Notificaciones de usuario, en Use notifications to inform your users and help educate them on the proper use of sensitive info (Usar notificaciones para informar a los usuarios y ayudar a educarles sobre el uso apropiado de información confidencial), seleccione Activado.

    Screenshot that shows a user notifications example.

Regla de prevención de pérdida de datos: informes de incidentes

Al optimizar las directivas en modo de prueba, debe estar informado sobre las coincidencias, de modo que pueda ajustar la sensibilidad si desencadenan un gran número de falsos positivos. En este caso, supervisamos cada regla que contiene la directiva en sí y no una coincidencia general con la directiva.

En los pasos siguientes se describe cómo configurar informes de incidentes en las reglas de DLP:

  1. Al crear las reglas de DLP de una directiva, en el panel Editar regla, en la sección Informes de incidentes, en Usar este nivel de gravedad en alertas e informes de administrador, seleccione Bajo/Medio/Alto como nivel de gravedad.

  2. Si quiere recibir un correo electrónico de notificación, seleccione Enviar alerta a los administradores cuando se produzca una coincidencia de regla, seleccione su dirección de correo electrónico y elija Enviar una alerta cada vez que una actividad coincida con la regla.

  3. Decida los distintos parámetros disponibles para ajustar los informes de incidentes.

    Screenshot that shows a rule incident example.