Introducción a las pruebas forenses de administración de riesgos internos
Importante
La evidencia forense es una característica de complemento de participación en Insider Risk Management que proporciona a los equipos de seguridad información visual sobre posibles incidentes de seguridad de datos internos, con la privacidad del usuario integrada. La evidencia forense incluye desencadenadores de eventos personalizables y controles integrados de protección de la privacidad de los usuarios, lo que permite a los equipos de seguridad investigar, comprender y responder mejor a posibles riesgos de datos internos, como la filtración de datos no autorizados de datos confidenciales.
Las organizaciones establecen las directivas adecuadas para sí mismas, incluidos los eventos de riesgo que son la prioridad más alta para capturar pruebas forenses y qué datos son más confidenciales. La evidencia forense está desactivada de forma predeterminada, la creación de directivas requiere una autorización doble y los nombres de usuario se pueden enmascarar con seudónimo (que está activado de forma predeterminada para Insider Risk Management). La configuración de directivas y la revisión de alertas de seguridad dentro de Insider Risk Management aprovecha los sólidos controles de acceso basado en rol (RBAC), lo que garantiza que los usuarios designados de la organización están realizando las acciones adecuadas con funcionalidades de auditoría adicionales.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
La configuración de pruebas forenses en su organización es similar a la configuración de otras directivas a partir de plantillas de directivas de administración de riesgos internos. En general, seguirá los mismos pasos de configuración básicos para configurar pruebas forenses, pero hay algunas áreas que necesitan acciones de configuración específicas de características antes de empezar a trabajar con los pasos de configuración básicos.
Sugerencia
Empiece a trabajar con Microsoft Copilot para seguridad para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.
Paso 1: Confirmar la suscripción y configurar el acceso al almacenamiento de datos
Antes de empezar a trabajar con pruebas forenses, debe confirmar su suscripción de administración de riesgos internos y cualquier complemento.
Además, debe agregar los siguientes dominios al firewall y al servidor proxy allowlist para admitir el almacenamiento de captura de pruebas forenses para su organización:
En todo el mundo: dominio
- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
GCC/GCC High - Domain
- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
DOD: dominio
- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
Para obtener más información sobre estos puntos de conexión, consulte Puntos de conexión de Microsoft 365.
Nota:
Las capturas y los datos de captura se almacenan en estos dominios y solo se asignan a su organización. Ninguna otra organización de Microsoft 365 tiene acceso a capturas de pruebas forenses para su organización.
Los datos de pruebas forenses se almacenan en una región donde se establece el Exchange Online Protection (EOP) o la región de intercambio.
Paso 2: Configuración de dispositivos compatibles
Los dispositivos de usuario aptos para la captura de pruebas forenses deben incorporarse al portal de cumplimiento Microsoft Purview y deben tener instalado el cliente de Microsoft Purview.
Importante
El cliente de Microsoft Purview recopila automáticamente datos de diagnóstico generales relacionados con la configuración del dispositivo y las métricas de rendimiento. Esto incluye datos sobre errores críticos, consumo de RAM, errores de proceso y otros datos. Estos datos nos ayudan a evaluar el estado del cliente e identificar cualquier problema. Para obtener más información sobre cómo se pueden usar los datos de diagnóstico, consulte Uso de software con servicios en línea en los Términos del producto de Microsoft.
Para obtener una lista de los requisitos de configuración y dispositivo, consulte Información sobre las pruebas forenses. Para incorporar dispositivos compatibles, complete los pasos descritos en el artículo Introducción a los dispositivos de Windows 10 y Windows 11 a Microsoft 365.
Instalación del cliente de Microsoft Purview
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Prueba forense en el panel de navegación izquierdo y, a continuación, seleccione Instalación de cliente.
Seleccione Descargar paquete del instalador (versión x64) para descargar el paquete de instalación para Windows.
Después de descargar el paquete de instalación, use el método que prefiera para instalar el cliente en los dispositivos de los usuarios. Estas opciones pueden incluir la instalación manual del cliente en dispositivos o herramientas para ayudar a automatizar la instalación del cliente:
- Microsoft Intune: Microsoft Intune es una solución integrada para administrar todos los dispositivos. Microsoft reúne Configuration Manager y Intune, sin una migración compleja y con licencias simplificadas.
- Soluciones de administración de dispositivos de terceros: si su organización usa soluciones de administración de dispositivos de terceros, consulte la documentación de estas herramientas para instalar el cliente.
Paso 3: Configurar opciones
La evidencia forense tiene varias opciones de configuración que proporcionan flexibilidad para los tipos de actividad de usuario relacionada con la seguridad capturada, captura de parámetros, límites de ancho de banda y opciones de captura sin conexión. La captura de pruebas forenses le permite crear directivas basadas en sus requisitos en unos pocos pasos y agregar usuarios a una directiva requiere una autorización doble.
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Configuración de pruebas forenses.
Seleccione Captura de evidencia forense para habilitar la compatibilidad con la captura en las directivas de pruebas forenses. Si se desactiva más adelante, se quitarán todos los usuarios agregados anteriormente para las directivas de pruebas forenses.
Importante
El cliente de Microsoft Purview que se usa para capturar la actividad en los dispositivos de los usuarios tiene licencia bajo el Uso de software con los Servicios en línea en los Términos del producto de Microsoft. Tenga en cuenta que los clientes son los únicos responsables de usar la solución de administración de riesgos internos, incluido el cliente de Microsoft Purview, en cumplimiento de todas las leyes aplicables.
En la sección Captura de ventana , defina cuándo iniciar y detener la captura de actividad. Los valores disponibles son 10 segundos, 30 segundos, 1 minuto, 3 minutos o 5 minutos.
En la sección Cargar límite de ancho de banda , defina la cantidad de datos de captura que se cargarán en la cuenta de almacenamiento de datos por usuario y día. Los valores disponibles son 100 MB, 250 MB, 500 MB, 1 GB o 2 GB.
En la sección Límite de caché de captura sin conexión , defina el tamaño máximo de caché que se almacenará en los dispositivos de los usuarios cuando esté habilitada la captura sin conexión. Los valores disponibles son 100 MB, 250 MB, 500 MB, 1 GB o 2 GB.
Haga clic en Guardar.
Paso 4: Create una directiva
Las directivas de pruebas forenses definen el ámbito de la actividad de usuario relacionada con la seguridad que se va a capturar para los dispositivos configurados. Hay dos opciones para capturar pruebas forenses:
- Capture solo actividades específicas (como imprimir o filtrar archivos). Con esta opción, puede elegir las actividades de dispositivo que desea capturar y solo la directiva capturará las actividades seleccionadas. También puede elegir capturar la actividad para aplicaciones de escritorio o sitios web específicos. De este modo, puede centrarse solo en las actividades, aplicaciones y sitios web que presentan riesgos.
- Capture todas las actividades que realizan los usuarios aprobados en sus dispositivos. Esta opción se usa normalmente durante un período de tiempo específico, por ejemplo, cuando un usuario determinado está potencialmente implicado en una actividad de riesgo que puede provocar un incidente de seguridad. Todos los indicadores de evidencia forense se incluyen automáticamente si selecciona esta opción, incluidos los indicadores de dispositivo y los indicadores de protección contra suplantación de identidad mejorada. Para conservar la capacidad y la privacidad del usuario, puede optar por excluir aplicaciones de escritorio o sitios web específicos de la captura, tal como se describe a continuación.
Después de crear una directiva, la incluirá en solicitudes de pruebas forenses para controlar qué actividad capturar para los usuarios cuyas solicitudes se aprueban.
Nota:
Las directivas forenses continuas (captura de todas las actividades) tienen prioridad sobre las directivas de pruebas forenses selectivas (capturando solo actividades específicas).
Capturar solo actividades específicas
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Directivas de evidencia forense.
Seleccione Create directiva de pruebas forenses.
En la página Ámbito , seleccione Actividades específicas. Esta opción solo captura las actividades detectadas por las directivas en las que se incluyen los usuarios. Estas actividades se definen mediante los indicadores seleccionados en las directivas de pruebas forenses. Las capturas de esta opción estarán disponibles para su revisión en la pestaña Pruebas forenses (versión preliminar) del panel Alertas o casos .
Seleccione Siguiente.
En la página Nombre y descripción, siga los siguientes campos:
- Nombre (obligatorio): escriba un nombre descriptivo para la directiva de pruebas forenses. Este nombre no se puede cambiar después de crear la directiva.
- Descripción (opcional): escriba una descripción para la directiva de pruebas forenses.
Seleccione Siguiente.
En la página Elegir actividades de dispositivo para capturar :
- Seleccione las actividades de dispositivo que quiera capturar. La directiva solo capturará las actividades seleccionadas.
Nota:
Si los indicadores no se pueden seleccionar, se le pedirá que los active.
- También puede elegir capturar la actividad para determinadas aplicaciones de escritorio o sitios web en su directiva si activa la casilla Abrir una aplicación o sitio web específico en Actividades de exploración web y aplicaciones que se van a capturar.
Importante
Si desea capturar actividades de exploración (para incluir o excluir direcciones URL específicas en las directivas de pruebas forenses), asegúrese de instalar las extensiones de explorador necesarias. También debe activar al menos un indicador de exploración. Si aún no ha activado uno o varios indicadores de exploración, se le pedirá que lo haga si decide incluir o excluir aplicaciones de escritorio o sitios web. El evento desencadenante para capturar actividades de exploración es una actualización de dirección URL en la barra de direcciones URL que contiene la dirección URL especificada.
- Seleccione Siguiente.
- Seleccione las actividades de dispositivo que quiera capturar. La directiva solo capturará las actividades seleccionadas.
(Opcional) Si decide capturar la actividad para aplicaciones de escritorio y sitios web concretos, en la página Agregar aplicaciones y sitios web que desea capturar :
- Para agregar una aplicación de escritorio, seleccione Agregar aplicaciones de escritorio, escriba el nombre de un archivo ejecutable (por ejemplo, teams.exe) y, a continuación, seleccione Agregar. Repita este proceso para cada aplicación de escritorio que quiera agregar (hasta 25 aplicaciones). Para buscar el nombre de un archivo ejecutable para la aplicación, abra el Administrador de tareas y, a continuación, vea las propiedades de la aplicación. Esta es una lista de nombres exe para algunas de las aplicaciones comunes: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), la herramienta Snipping (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) y Escritorio remoto de Microsoft Connection (mstsc.exe).
Nota:
A veces, los nombres exe de una aplicación pueden diferir en función del dispositivo y de los permisos con los que se abrió la aplicación. Por ejemplo, en un dispositivo empresarial Windows 11, cuando se abre Windows PowerShell sin permisos de administrador, se WindowsTerminal.exe el nombre exe, pero cuando se abre con permisos de administrador, el nombre del exe cambia a powershell.exe. Asegúrese de incluir o excluir ambos nombres exe en estos escenarios.
- Para agregar una aplicación web o un sitio web, seleccione Agregar aplicaciones web y sitios web, escriba una dirección URL (por ejemplo, ) y, a continuación, https://teams.microsoft.comseleccione Agregar. Repita este proceso para cada aplicación web o sitio web que quiera agregar. Puede agregar hasta 25 direcciones URL con una longitud de caracteres de 100 para cada dirección URL.
Sugerencia
Si una aplicación tiene una versión de escritorio y web, asegúrese de agregar tanto el archivo ejecutable de escritorio como la dirección URL web para asegurarse de capturar la actividad para ambos.
- Seleccione Siguiente.
En la página Revisar configuración y finalización , revise la configuración que ha elegido para la directiva y las sugerencias o advertencias de las selecciones. Edite cualquiera de los valores de directiva o seleccione Enviar para crear y activar la directiva.
Después de completar los pasos de configuración de la directiva, continúe con el paso 5.
Captura de todas las actividades
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Pruebas forenses en el panel de navegación izquierdo y, a continuación, seleccione Directivas de evidencia forense.
Seleccione Create directiva de pruebas forenses.
En la página Ámbito , seleccione Todas las actividades. Esta opción captura cualquier actividad realizada por los usuarios. Las capturas de esta opción estarán disponibles para su revisión en la pestaña Pruebas forenses (versión preliminar) del panel Informes de actividad de usuario (versión preliminar).
Seleccione Siguiente.
En la página Nombre y descripción, siga los siguientes campos:
- Nombre (obligatorio): escriba un nombre descriptivo para la directiva de pruebas forenses. Este nombre no se puede cambiar después de crear la directiva.
- Descripción (opcional): escriba una descripción para la directiva de pruebas forenses.
Seleccione Siguiente.
En la página Elegir actividades de dispositivo para capturar , si desea excluir determinadas aplicaciones de escritorio o aplicaciones web o sitios web de la captura, en Actividades de exploración web y aplicaciones para capturar, active la casilla Excluir aplicaciones o sitios web específicos .
Seleccione Siguiente.
Si decide excluir determinadas aplicaciones de escritorio y sitios web de la captura, en la página Excluir aplicaciones o direcciones URL :
- Para excluir una aplicación de escritorio de la captura, seleccione Excluir aplicaciones de escritorio, escriba el nombre de un archivo ejecutable (por ejemplo, teams.exe) y, a continuación, seleccione Agregar. Repita este proceso para cada aplicación de escritorio que quiera excluir (hasta 25 aplicaciones). Para buscar el nombre de un archivo ejecutable para una aplicación, abra el Administrador de tareas y, a continuación, vea las propiedades de la aplicación.
- Para excluir una aplicación web o un sitio web, seleccione Excluir aplicaciones web y sitios web, escriba una dirección URL (por ejemplo, ) y, a continuación, https://teams.microsoft.comseleccione Agregar. Repita este proceso para cada aplicación web o sitio web que quiera excluir. Puede excluir hasta 25 direcciones URL con una longitud de caracteres de 100 para cada dirección URL.
Sugerencia
Si una aplicación tiene una versión de escritorio y web, asegúrese de agregar tanto el archivo ejecutable de escritorio como la dirección URL web para asegurarse de excluir ambos.
En la página Revisar configuración y finalización , revise la configuración que ha elegido para la directiva y las sugerencias o advertencias de las selecciones. Edite cualquiera de los valores de directiva o seleccione Enviar para crear y activar la directiva.
Después de completar los pasos de configuración de la directiva, continúe con el paso 5.
Paso 5: Definir y aprobar usuarios para la captura
Para poder capturar actividades de usuario relacionadas con la seguridad, los administradores deben seguir el proceso de autorización dual en pruebas forenses. Este proceso exige que los usuarios aplicables de la organización definan y aprueben la habilitación de la captura visual para usuarios específicos.
Debe solicitar que la captura de pruebas forenses esté habilitada para usuarios específicos. Cuando se envía una solicitud, los aprobadores de su organización reciben una notificación por correo electrónico y pueden aprobar o rechazar la solicitud. Si se aprueba, el usuario aparecerá en la pestaña Usuarios aprobados y será apto para la captura. Consulte estos vínculos para obtener más información:
- Solicitar aprobación para la captura de pruebas forenses.
- Aprobar (o rechazar) solicitudes de captura de pruebas forenses.
Pasos siguientes
Después de configurar la directiva de pruebas forenses, la aplicación de directivas puede tardar hasta dos horas, dado que los clientes de pruebas forenses (instalados en los dispositivos de punto de conexión) están en línea. Cuando el cliente captura un clip, el clip puede tardar hasta una hora en revisarse. Para obtener más información sobre cómo administrar pruebas forenses y revisar capturas de clips, consulte el artículo Administración de pruebas forenses de administración de riesgos de información .