Introducción a los repositorios locales de prevención de pérdida de datos

Nota

Hay una nueva versión del escáner de protección de la información. Para obtener más información, consulte Actualización del analizador de Microsoft Purview Information Protection.

Este artículo le guiará por los requisitos previos y la configuración para usar la ubicación de repositorios locales Prevención de pérdida de datos de Microsoft Purview en una directiva DLP.

Suxestión

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Antes de empezar

Licencias de SKU/suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Importante

Todos los usuarios que contribuyen a la ubicación escaneada, ya sea agregando archivos o consumiendo archivos, necesitan tener una licencia, no solo el usuario del analizador.

Permissions

Los datos de DLP se pueden ver en el explorador de actividad. Hay cuatro roles que conceden permisos al explorador de actividad; la cuenta que use para acceder a los datos debe pertenecer a uno de ellos.

• Administrador global
• Administrador de cumplimiento
• Administrador de seguridad
• Administrador de datos de cumplimiento

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con privilegios elevados que solo se debe usar en escenarios en los que no se puede usar un rol con privilegios menores.

Roles y roles Grupos

Hay roles y grupos de roles en los que puede probar para ajustar los controles de acceso.

Esta es una lista de los roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Administrador de Information Protection
• Analista de Information Protection
• Investigador de protección de información
• Lector de protección de información

Esta es una lista de los grupos de roles aplicables. Para obtener más información, consulte Permisos en el portal de cumplimiento Microsoft Purview.

• Protección de la información
• Administradores de Information Protection
• Analistas de Information Protection
• Investigadores de Information Protection
• Lectores de Information Protection

Requisitos previos de repositorios locales dlp

• El analizador de Microsoft Purview Information Protection implementa la coincidencia de directivas DLP y el cumplimiento de directivas. El analizador se instala como parte del cliente de protección de la información, por lo que la instalación debe cumplir todos los requisitos previos para el servicio de cifrado de administración de derechos, el cliente de protección de la información y el analizador de protección de la información.
• Implemente el cliente y el analizador. Para obtener más información, consulte Instalación o actualización del cliente de protección de la información y Configuración e instalación del analizador de protección de la información.
• Debe haber al menos una etiqueta y una directiva publicadas en el espacio empresarial, incluso si todas sus reglas de detección se basan únicamente en tipos de información confidenciales.

Implementar el examinador local de DLP

Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.

Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview.

2. Siga los procedimientos descritos en Instalación o actualización del cliente de protección de la información.

3. Siga los procedimientos descritos en Configuración e instalación del analizador de protección de la información para completar la instalación del escáner.

   1. Debe crear un trabajo de examen de contenido y especificar los repositorios que hospedan los archivos que va a evaluar el motor DLP.
   2. Habilite las reglas DLP en el trabajo de examen de contenido creado y establezca la opción Aplicar en Desactivado (a menos que desee continuar directamente con la fase de cumplimiento dlp).

4. Compruebe que el trabajo de examen de contenido está asignado al clúster correcto. Si no ha creado un trabajo de examen de contenido, cree uno nuevo y asígnelo al clúster que contiene los nodos del analizador.

5. Conéctese al portal de Microsoft Purview y agregue los repositorios al trabajo de examen de contenido que realizará el examen.

6. Realice una de las siguientes acciones para ejecutar su examen:

   1. Establecer la programación del escáner
   2. Use la opción Examinar ahora manual en el portal.
   3. Ejecución del cmdlet de PowerShell Start-Scan

   Importante

   Recuerde que el analizador ejecuta un examen delta del repositorio de forma predeterminada y los archivos que se examinaron en el ciclo de examen anterior se omitirán, a menos que el archivo se haya cambiado o haya iniciado un nuevo análisis completo. Se puede iniciar un reescaneo completo mediante la opción Volver a examinar todos los archivos de la interfaz de usuario o ejecutando Start-Scan -Reset.

7. Abra las directivas de prevención > de pérdida de datos del portal > de Microsoft Purview.

8. Elija + Crear directiva y cree una directiva DLP de prueba. Consulte Creación e implementación de directivas de prevención de pérdida de datos si necesita ayuda para crear una directiva. Asegúrese de ejecutar la directiva en modo de simulación hasta que esté cómodo con esta característica. Use estos parámetros para la directiva:

   1. Establezca el ámbito de la regla de repositorios locales DLP en ubicaciones específicas si es necesario. Si limita las ubicaciones a Todo, todos los archivos examinados estarán sujetos a la coincidencia y aplicación de reglas DLP.
   2. Al especificar las ubicaciones, puede usar la lista de exclusiones o inclusión. Puede definir que la regla sea relevante solo para las rutas que coincidan con uno de los patrones enumerados en la lista de inclusión o, todos los archivos, excepto los que coincidan con el patrón enumerado en la lista de inclusión. No se admiten rutas locales. Estos son algunos ejemplos de rutas válidas:
   • \\server\share
   • \\server\share\folder1\subcarpetaabc
   • *\folder1
   • *secreto*.docx
   • *secreto*.*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. Estos son algunos ejemplos de uso de valores no aceptados:
   • *
   • *\un
   • Aaa
   • c:\
   • C:\test

Importante

La lista de exclusión tiene prioridad sobre la lista de inclusiones .

Portal de cumplimiento

1. Abra portal de cumplimiento Microsoft Purview.

2. Siga los procedimientos descritos en Instalación o actualización del cliente de protección de la información.

3. Siga los procedimientos descritos en Configuración e instalación del analizador de protección de la información para completar la instalación del escáner.

   1. Debe crear un trabajo de examen de contenido y especificar los repositorios que hospedan los archivos que va a evaluar el motor DLP.
   2. Habilite las reglas DLP en el trabajo de examen de contenido creado y establezca la opción Aplicar en Desactivado (a menos que desee continuar directamente con la fase de cumplimiento dlp).

4. Compruebe que el trabajo de examen de contenido está asignado al clúster correcto. Si no ha creado un trabajo de examen de contenido, cree uno nuevo y asígnelo al clúster que contiene los nodos del analizador.

5. Conéctese a la portal de cumplimiento Microsoft Purview y agregue los repositorios al trabajo de examen de contenido que realizará el examen.

6. Realice una de las siguientes acciones para ejecutar su examen:

   1. Establecer la programación del escáner
   2. Use la opción Examinar ahora manual en el portal.
   3. Ejecución del cmdlet de PowerShell Start-Scan

   Importante

   Recuerde que el analizador ejecuta un examen delta del repositorio de forma predeterminada y los archivos que se examinaron en el ciclo de examen anterior se omitirán, a menos que el archivo se haya cambiado o haya iniciado un nuevo análisis completo. Se puede iniciar un reescaneo completo mediante la opción Volver a examinar todos los archivos de la interfaz de usuario o ejecutando Start-Scan-Reset.

7. Abra la página Prevención de pérdidas de datos en el portal de cumplimiento normativo de Microsoft Purview.

8. Elija crear una directiva de y crear una directiva DLP de prueba. Consulte Creación e implementación de directivas de prevención de pérdida de datos si necesita ayuda para crear una directiva. Asegúrese de ejecutar la directiva en modo de simulación hasta que esté cómodo con esta característica. Use estos parámetros para la directiva:

   1. Establezca el ámbito de la regla de repositorios locales DLP en ubicaciones específicas si es necesario. Si limita las ubicaciones a Todo, todos los archivos examinados estarán sujetos a la coincidencia y aplicación de reglas DLP.
   2. Al especificar las ubicaciones, puede usar la lista de exclusiones o inclusión. Puede definir que la regla sea relevante solo para las rutas que coincidan con uno de los patrones enumerados en la lista de inclusión o, todos los archivos, excepto los que coincidan con el patrón enumerado en la lista de inclusión. No se admiten rutas locales. Estos son algunos ejemplos de rutas válidas:
   • \\server\share
   • \\server\share\folder1\subcarpetaabc
   • *\folder1
   • *secreto*.docx
   • *secreto*.*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. Estos son algunos ejemplos de uso de valores no aceptados:
   • *
   • *\un
   • Aaa
   • c:\
   • C:\test

Importante

La lista de exclusión tiene prioridad sobre la lista de inclusiones .

Visualización de alertas DLP

1. Abra la página Prevención de pérdidas de datos en el portal de cumplimiento normativo de Microsoft Purview y seleccione Alertas.

2. Consulte los procedimientos descritos en Introducción al panel alertas de prevención de pérdida de datos e Investigación de incidentes de pérdida de datos con Microsoft Defender XDR para ver las alertas de las directivas DLP locales.

Visualización de datos DLP en el explorador de actividad y el registro de auditoría

Nota

El analizador de Information Protection requiere que se habilite la auditoría. La auditoría está habilitada de forma predeterminada en Microsoft 365.

1. Abra la página Clasificación de datos de su dominio en el portal de cumplimiento normativo de Microsoft Purview y seleccione Explorador de actividades.

2. Vea los procedimientos descritos en Introducción al explorador de actividad para acceder y filtrar todos los datos de las ubicaciones de los examinadores locales.

3. Abra el registro de auditoría en el centro de cumplimiento. Las coincidencias de regla DLP están disponibles en la interfaz de usuario del registro de auditoría o son accesibles mediante Search-UnifiedAuditLog en PowerShell.

Pasos siguientes

Ahora que ha implementado una directiva de prueba para ubicaciones locales DLP y puede ver los datos de actividad en el Explorador de actividad, está listo para pasar al paso siguiente, donde creará directivas DLP que protejan los elementos confidenciales.

• Usar DLP local

Vea también

• Más información sobre los repositorios locales de prevención de pérdida de datos
• Uso de los repositorios locales de prevención de pérdida de datos
• Obtenga más información acerca de la prevención contra la pérdida de datos
• Creación e implementación de directivas de prevención de pérdida de datos
• Introducción al explorador de actividad
• Suscripción a Microsoft 365