Introducción al panel alertas de prevención de pérdida de datos

las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) pueden tomar medidas de protección para evitar el uso compartido involuntario de elementos confidenciales. Puede recibir una notificación cuando se realice una acción en un elemento confidencial mediante la configuración de alertas para DLP. En este artículo se muestra cómo configurar alertas en las directivas de prevención de pérdida de datos (DLP). Verá cómo usar el panel de administración de alertas DLP en el portal de Microsoft Purview para ver alertas, eventos y metadatos asociados para infracciones de directiva DLP.

Si no está familiarizado con las alertas DLP, debe revisar Introducción a las alertas de prevención de pérdida de datos.

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

El portal de Microsoft Purview muestra alertas para las directivas DLP que se aplican en las siguientes cargas de trabajo:

  • Correo electrónico de Exchange
  • Sitios de SharePoint
  • Cuentas de OneDrive
  • Mensajes de canales y chats de Teams
  • Dispositivos
  • Instancias
  • Repositorios locales
  • Tejido y Power BI

Antes de empezar

Antes de empezar, asegúrese de que tiene los requisitos previos necesarios:

  • Licencias para el panel de administración de alertas DLP
  • Licencias para opciones de configuración de alertas
  • Roles necesarios

Licencias para el panel de administración de alertas DLP

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Los clientes que usan DLP de punto de conexión que son aptos para DLP de Teams ven sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.

Licencias para opciones de configuración de alertas

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Roles y roles Grupos

Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:

  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Administrador de seguridad
  • Operador de seguridad
  • Lector de seguridad
  • Administrador de Information Protection
  • Analista de Information Protection
  • Investigador de protección de información
  • Lector de protección de información

Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview

Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de cumplimiento Microsoft Purview.

  • Protección de la información
  • Administradores de Information Protection
  • Analistas de Information Protection
  • Investigadores de Information Protection
  • Lectores de Information Protection

Para acceder al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de estos dos roles:

  • Administración de cumplimiento de DLP
  • View-Only administración de cumplimiento de DLP

Para acceder a la característica De vista previa de contenido y a las características de contenido confidencial y contexto coincidentes, debe ser miembro del grupo de roles Visor de contenido del Explorador de contenido , que tiene el rol Visor de contenido de clasificación de datos asignado previamente.

Configuración de alertas DLP

Para obtener información sobre cómo configurar una alerta en la directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Importante

La configuración de la directiva de retención de registros de auditoría de la organización controla cuánto tiempo permanece visible una alerta en la consola. Consulte Administración de directivas de retención de registros de auditoría para obtener más información.

Configuración de alertas de eventos agregados

Si su organización tiene licencia para las opciones de configuración de alertas agregadas, verá estas opciones al crear o editar una directiva DLP.

Captura de pantalla que muestra las opciones de informes de incidentes para los usuarios que son aptos para las opciones de configuración de alerta agregada.

Esta configuración permite configurar una directiva para generar una alerta cada vez que una actividad coincide con las condiciones de la directiva o cuando se supera un umbral determinado, en función del número de actividades o en función del volumen de datos filtrados.

Configuración de alertas de evento único

Si su organización tiene licencia para las opciones de configuración de alertas de evento único, verá estas opciones al crear o editar una directiva DLP. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP.

Captura de pantalla que muestra las opciones de informes de incidentes para los usuarios que son aptos para las opciones de configuración de alertas de un solo evento.

Investigación de una alerta DLP

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Para trabajar con el panel de administración de alertas DLP:

  1. Inicie sesión en el portal > de Microsoft PurviewPrevención de pérdida de datos.
  2. Seleccione Alertas para ver el panel Alertas DLP .
  3. Use los campos Filtro para refinar la lista de alertas.
  4. Elija Personalizar columnas para mostrar las propiedades que desea ver.
  5. Para ordenar los resultados en orden ascendente o descendente, haga doble clic en el encabezado de columna.
  6. Haga doble clic en una alerta para obtener más información al respecto.
  7. La pestaña Detalles se abre de forma predeterminada y proporciona información de alto nivel sobre la alerta.
  8. Seleccione Resumir con Copilot. Esto hace que el Seguridad de Copilot genere un resumen de la alerta. El resumen de la alerta contendrá lo siguiente:
    • gravedad de alerta
    • título de alerta
    • el nombre de la directiva que coincidió
    • el archivo de nombre implicado y un vínculo al archivo
    • estado de alerta
    • dirección de correo electrónico del usuario que realizó la acción que coincidió con la directiva
  9. Seleccione los puntos suspensivos en el resumen de Seguridad de Copilot para:
    • copiar el resumen en el Portapapeles
    • regenerar el resumen
    • abra la alerta en la experiencia Seguridad de Copilot independiente.
  10. Seleccione Ver detalles para abrir la pestaña Información general . La pestaña Información general proporciona un resumen de la siguiente información:
    • ¿Qué pasó
    • Quién realizó las acciones que provocaron la coincidencia de directiva
    • Información adicional sobre la coincidencia de directiva
  11. En la pestaña Eventos se enumeran todos los eventos asociados a la alerta. Seleccione cualquier evento de la lista para obtener información detallada sobre el evento. Para cada evento, elija la lista desplegable Acciones de una lista de acciones que puede realizar en la alerta, como comprobar si la alerta ha identificado o no una coincidencia verdadera o un falso positivo.
    1. La pestaña Resumen de actividad de usuario requiere que el uso compartido esté activado en la configuración de administración de riesgos internos Una vez habilitado, la pestaña Resumen de actividad de usuario proporciona todas las actividades de filtración en las que el usuario ha participado (hasta los últimos 120 días). Los usuarios deben estar en el ámbito de una directiva de administración de riesgos internos para ver la pestaña Resumen de actividad de usuario .
    2. Después de investigar la alerta, vuelva a la pestaña Información general , donde puede ver los detalles para evaluar y administrar la eliminación de la alerta, agregar comentarios y asignar la propiedad de la alerta. (Para ver el historial de administración de flujos de trabajo).
    3. Después de realizar la acción necesaria para la alerta, establezca el estado de la alerta en Resuelto.

Otras condiciones coincidentes

Microsoft Purview admite la visualización de condiciones coincidentes en un evento DLP para revelar la causa exacta de una directiva DLP marcada. Esta información se muestra en:

En la pestaña Eventos , abra Detalles para ver Otras condiciones coincidentes.

Requisitos previos

La información de eventos coincidentes es compatible con estas condiciones

Condición Exchange Sharepoint Teams Punto de conexión
El remitente es Yes No No
El dominio del remitente es Yes No No
La dirección del remitente contiene palabras Yes No No No
La dirección del remitente coincide con patrones Yes No No No
El remitente es miembro de Yes No No No
La dirección IP del remitente es Yes No No No
¿Ha invalidado el remitente la sugerencia de directiva? Yes No No No
SenderAdAttribute Contiene palabras Yes No No No
SenderAdAttribute coincide con patrones Yes No No No
El destinatario es Yes No No
El dominio del destinatario es Yes No No
La dirección del destinatario contiene palabras Yes No No No
La dirección del destinatario coincide con patrones Yes No No No
El destinatario es un miembro de Yes No No No
RecipientAdAttribute Contiene palabras Yes No No No
RecipientAdAttribute coincide con patrones Yes No No No
El documento está protegido con contraseña Yes No No No
No se pudo examinar el documento Yes No No No
El documento no completó el examen Yes No No No
El nombre del documento contiene palabras No No
El nombre del documento coincide con los patrones Yes No No No
La propiedad del documento es No No
Tamaño del documento sobre No No
El contenido del documento contiene palabras Yes No No No
El contenido del documento coincide con patrones Yes No No No
El tipo de documento es No No No
La extensión de documento es No
El contenido se comparte desde M365 No
El contenido se recibe de Yes No No No
El juego de caracteres de contenido contiene palabras Yes No No No
Subject contiene palabras Yes No No No
El asunto coincide con patrones Yes No No No
El asunto o el cuerpo contiene palabras Yes No No No
El asunto o el cuerpo coinciden con los patrones Yes No No No
El encabezado contiene palabras Yes No No No
El encabezado coincide con patrones Yes No No No
Tamaño del mensaje sobre Yes No No No
El tipo de mensaje es Yes No No No
La importancia del mensaje es Yes No No No

Limitación al descargar correos electrónicos desde dentro de una alerta DLP

En general, al usar el panel de administración de alertas DLP, puede descargar correos electrónicos específicos desde dentro de una alerta. Sin embargo, los correos electrónicos que se han eliminado en cualquiera de los siguientes escenarios no se pueden descargar.

Remitente Destinatario estado de Email
Interno Externo Eliminado por el remitente
Externo Interno Eliminado por el destinatario
Interno Interno Eliminado por ambas partes

Herramientas adicionales de investigación de alertas