Configuración de la prevención de pérdida de datos para la prioridad de directivas

  • 5 minutos

Las directivas DLP y las reglas que las componen ellas siguen un orden específico denominado prioridad de directivas. Puede configurar manualmente el orden en el que se evalúan las reglas. Los números de prioridad más bajos se procesan primero, asignando a la regla predeterminada una prioridad de 0 y a las reglas posteriores números más altos de forma secuencial.

Aunque solo se aplique una directiva DLP y su regla correspondiente, todas las posibles coincidencias de directivas se siguen registrando en los registros de auditoría y se pueden ver en los informes de DLP. Las directivas de DLP también proporcionan una opción para evitar el procesamiento de más directivas cuando se ha realizado una coincidencia.

Las acciones configuradas para ciertas coincidencias de condiciones pueden entrar en conflicto entre sí. Veamos un ejemplo para comprender esto mejor. Pongamos que configura una directiva DLP que bloquea el uso compartido externo de datos personales sin posibilidad de anulación. Configura otra directiva para los datos financieros que permita a los usuarios finales anularlos. Si el sistema solo aplicara la última directiva que coincidiera con las condiciones, sin tener en cuenta la prioridad de cada una, un usuario podría ocultar datos personales en un correo electrónico que también contuviera datos financieros. Después, podría seleccionar la opción de anulación proporcionada por la directiva de datos financieros para omitir la acción de bloqueo establecida por la directiva de datos personales. Para evitar esta situación, se aplica en su lugar la directiva de datos personales, que debería tener una prioridad más alta, garantizando que la acción de bloqueo tenga prioridad sobre cualquier posible anulación.

Cambio de la prioridad de las reglas

Supongamos que tomamos el ejemplo de la directiva de datos financieros mencionado anteriormente. Vamos a organizarlo de forma que una regla con un alto volumen de coincidencias tenga una prioridad menor que una regla con un bajo número de coincidencias. Aunque un alto número de coincidencias es más restrictivo, el usuario todavía puede anular la acción permitida especificada en la regla con coincidencias bajas y compartir datos protegidos. Aunque se registran ambas acciones, es posible que tarde algún tiempo en darse cuenta de este comportamiento y realizar las acciones adecuadas.

Para cambiar el orden en el que las reglas de DLP que contiene una directiva se clasifican por orden de prioridad, necesita el rol de administración de cumplimiento de DLP y seguir estos pasos:

  1. En el portal de cumplimiento de Microsoft Purview, expanda Prevención de pérdida de datos y, luego, seleccione Directivas.

  2. Seleccione la directiva que quiere modificar y elija Editar directiva.

  3. Seleccione Siguiente hasta que llegue a la página Personalizar reglas de DLP avanzadas.

  4. Seleccione Editar detrás del nombre de la regla de bajo volumen cuyo orden de prioridad quiere cambiar.

  5. Seleccione un nuevo número de prioridad en el menú desplegable en Opciones adicionales. Puede seleccionar "0" para seleccionar la prioridad más alta.

  6. También puede usar PowerShell para cambiar la prioridad de la regla de DLP "Low Volume of Financial Data" (Bajo volumen de datos financieros) por el valor más alto mediante el siguiente cmdlet:

Set-DLPComplianceRule -Identity "Low Volume of Financial Data" -Priority 0

Cambio de la prioridad de las directivas

Si crea más de una directiva DLP, puede cambiar la prioridad (u orden). Por ejemplo, si tiene una directiva DPL de datos personales y otra de datos financieros y quiere que la primera tenga prioridad, siga estos pasos.

  1. En el portal de cumplimiento de Microsoft Purview, expanda Prevención de pérdida de datos y, luego, seleccione Directivas.

  2. Seleccione los tres puntos verticales detrás del nombre de la directiva de datos personales.

  3. Seleccione Mover al principio para mover la directiva a la prioridad más alta.

  4. También puede usar PowerShell para cambiar la prioridad de la directiva DLP "EU Financial Data Policy" (Directiva de datos financieros de la UE) por el valor 1 mediante el siguiente cmdlet:

Set-DLPCompliancePolicy -Identity "EU Financial Data Policy" -Priority 1

Es importante dar prioridad a las directivas y reglas menos restrictivas frente a las más estrictas. De este modo, podemos evitar situaciones en las que las reglas menos restrictivas terminen sobrescribiendo las acciones de las más restrictivas.