Explicación de las funcionalidades de los informes de prevención de pérdida de datos
Después de crear directivas de prevención de pérdida de datos, los administradores deben comprobar y supervisar el rendimiento de las directivas DLP en producción. Esta es una tarea periódica importante para una organización, ya que les garantiza que cumplen las directivas y minimiza el impacto en la productividad de los usuarios.
Explorador de actividades e informes de DLP
La pestaña Explorador de actividades de la página de DLP tiene varios filtros que puede usar para ver eventos de DLP. Use esta herramienta para revisar la actividad relacionada con el contenido que contiene información confidencial o tiene etiquetas aplicadas, como las etiquetas que se cambiaron, los archivos se modificaron y las coincidencias con una regla.
Puede ver la información de DLP de los últimos 30 días en el Explorador de actividades mediante estos filtros preconfigurados:
- Actividades de DLP de punto de conexión
- Archivos que contienen tipos de información confidencial
- Actividades de salida
- Directivas de DLP que detectaron actividades
- Reglas de directiva de DLP que detectaron actividades
| Para ver esta información | Selección de esta actividad |
|---|---|
| Invalidaciones de usuario | Deshacer regla de DLP |
| Elementos que coinciden con una regla de DLP | Regla de DLP coincidente |
Para acceder al informe de DLP, puede usar PowerShell y el módulo de PowerShell de seguridad y cumplimiento.
Conéctese al módulo PowerShell de seguridad y cumplimiento:
Connect-IPPSSessionUse el cmdlet Export-ActivityExplorerData para exportar actividades desde Clasificación de datos > Explorador de actividades en el portal de cumplimiento de Microsoft 365 Purview. Especifique el intervalo de tiempo deseado mediante los parámetros -StartTime y -EndTime. Elija el formato de salida, como JSON o CSV, estableciendo el parámetro -OutputFormat. Este es un ejemplo:
Export-ActivityExplorerData -StartTime "06/24/2023 00:00 AM" -EndTime "06/25/2023 00:00 AM" -OutputFormat JSON
Para obtener más información sobre el cmdlet Export-ActivityExplorerData, consulte:
Resumen contextual
Puede ver el texto que rodea el contenido coincidente, como un número de tarjeta de crédito en un evento DLPRuleMatch en el Explorador de actividades. Para ello, primero debe habilitar el examen y la protección de clasificación avanzada.
Los eventos DLPRuleMatch se emparejan con el evento de actividad del usuario. Deberían estar justo al lado (o al menos muy cerca) en el Explorador de actividades. Querrá examinar ambos porque el evento de actividad del usuario contiene detalles sobre la directiva coincidente y el evento DLPRuleMatch contiene detalles sobre el texto que rodea el contenido coincidente.
Para el punto de conexión, asegúrese de que ha aplicado KB5016688 para dispositivos Windows 10 y KB5016691 para dispositivos Windows 11 o superior.
Para más información, consulte Introducción al Explorador de actividades.
Alertas de prevención de pérdida de datos en el panel de Microsoft Defender for Cloud Apps
También puede ver un informe de alertas DLP en el panel de Defender for Cloud Apps. Este informe muestra las alertas y coincidencias de todas las directivas de Defender for Cloud Apps que forman parte de la categoría DLP. Puede seleccionar cada alerta o coincidencia para obtener información acerca de:
- El tipo de información confidencial
- La ubicación de la información confidencial
- La directiva que crea la alerta
- El usuario que desencadena la coincidencia de la directiva
- Las acciones que se han llevado a cabo para proteger el archivo coincidente
Use el informe de alertas DLP de Defender for Cloud Apps para ver información general sobre las alertas de las directivas de Defender for Cloud Apps. Dado que las directivas creadas en Defender for Cloud Apps tienen diferentes opciones y ámbitos en comparación con las directivas de Defender for Cloud Apps creadas en el portal de cumplimiento de Microsoft Purview, es conveniente tener en cuenta las alertas de ambos paneles.