Introducción a la recolección de archivos de dispositivos que cumplen las directivas de prevención de pérdida de datos

En este artículo se le guiará por los requisitos previos y los pasos de configuración para la recopilación de pruebas para las actividades de archivo en dispositivos y se presenta cómo ver los elementos que se copian y guardan.

Sugerencia

Comience a usar Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.

Estos son los pasos de alto nivel para configurar y usar la recopilación de evidencias para las actividades de archivos en los dispositivos.

  1. Incorporar dispositivos
  2. Descripción de los requisitosCreación de una cuenta de Azure Storage administrada
  3. Adición de un blob de Azure Storage a la cuenta
  4. Habilitación y configuración de la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft (versión preliminar)
  5. Configuración de la directiva DLP
  6. Vista previa de la evidencia

Antes de empezar

Antes de iniciar estos procedimientos, debe revisar Información sobre la recopilación de evidencias para las actividades de archivos en los dispositivos.

Licencias y suscripciones

Antes de empezar a usar las directivas DLP, confirme su suscripción a Microsoft 365 y cualquier complemento.

Para obtener información sobre las licencias, consulte Suscripciones de Microsoft 365, Office 365, Enterprise Mobility + Security y Windows 11 para empresas.

Consulte los requisitos previos de licencia para Microsoft Entra ID P1 o P2 necesarios para crear un control de acceso basado en rol (RBAC) personalizado.

Permissions

Se requieren permisos de Prevención de pérdida de datos de Microsoft Purview estándar (DLP). Para más información, consulte Permisos.

Incorporar dispositivos

Para poder usar los elementos coincidentes de copia que tiene que incorporar dispositivos Windows 10/11 en Purview, consulte Introducción a la incorporación de dispositivos Windows a Microsoft 365.

Descripción de los requisitos

Importante

Cada contenedor hereda los permisos de la cuenta de almacenamiento en la que se encuentra. No se pueden establecer permisos diferentes por contenedor. Si necesita configurar permisos diferentes para diferentes regiones, debe crear varias cuentas de almacenamiento, no varios contenedores.

Debe tener respuestas a la siguiente pregunta antes de configurar Azure Storage y determinar el ámbito de la característica a los usuarios.

¿Necesita compartimentar los elementos y el acceso a lo largo del rol o las líneas departamentales?

Por ejemplo, si su organización quiere tener un conjunto de administradores o investigadores de eventos DLP que puedan ver los archivos guardados de su dirección sénior y otro conjunto de administradores o investigadores de eventos DLP para los elementos guardados de los recursos humanos, debe crear una cuenta de almacenamiento de Azure para la dirección sénior de la organización y otra para el departamento de recursos humanos. Esto garantiza que los administradores de Azure Storage o los investigadores de eventos DLP solo puedan ver los elementos que coinciden con las directivas DLP de sus grupos respectivos.

¿Desea usar contenedores para organizar los elementos guardados?

Puede crear varios contenedores de pruebas dentro de la misma cuenta de almacenamiento para ordenar los archivos guardados. Por ejemplo, uno para los archivos guardados desde el departamento de RR. HH. y otro para los del departamento de TI.

¿Cuál es su estrategia para protegerse frente a la eliminación o modificación de elementos guardados?

En Azure Storage, la protección de datos hace referencia a las estrategias para proteger la cuenta de almacenamiento y los datos dentro de ella de su eliminación o modificación, así como a la restauración de datos después de su eliminación o modificación. Azure Storage también ofrece opciones para la recuperación ante desastres, incluidos varios niveles de redundancia, para proteger los datos frente a interrupciones del servicio debido a problemas de hardware o desastres naturales. También puede proteger los datos mediante la conmutación por error administrada por el cliente si el centro de datos de la región primaria deja de estar disponible. Para obtener más información, consulte Introducción a la protección de datos.

También puede configurar directivas de inmutabilidad para los datos de blob que protegen contra los elementos guardados que se sobrescriben o eliminan. Para obtener más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.

Tipos de archivo admitidos para almacenar y obtener una vista previa de pruebas

Se puede almacenar Se puede obtener una vista previa
Todos los tipos de archivo supervisados por DLP de punto de conexión Todos los tipos de archivo compatibles con la vista previa de archivos en OneDrive, SharePoint y Teams

Guardar elementos coincidentes en el almacenamiento que prefiera

Para guardar la evidencia que Microsoft Purview detecta cuando se aplican las directivas de prevención de pérdida de datos, debe configurar el almacenamiento. Hay dos formas de hacerlo:

  1. Creación de almacenamiento administrado por el cliente
  2. Creación de almacenamiento administrado por Microsoft (versión preliminar)

Para obtener más información y una comparación de estos dos tipos de almacenamiento, vea [Almacenamiento de evidencia cuando se detecta información confidencial (versión preliminar)](dlp-copy-matched-items-learn.md#storage-evidence-when-sensitive-information-is-detected-on-policy match-preview).

Creación de almacenamiento administrado por el cliente

Los procedimientos para configurar la cuenta de Almacenamiento de Azure, el contenedor y los blobs se documentan en el conjunto de documentos de Azure. Estos son vínculos a artículos relevantes que puede consultar para ayudarle a empezar:

  1. Introducción a Azure Blob Storage
  2. Creación de una cuenta de almacenamiento
  3. El valor predeterminado es y autoriza el acceso a blobs mediante Microsoft Entra ID
  4. Administración de contenedores de blobs mediante el Azure Portal
  5. Administración de blobs en bloques con PowerShell

Nota:

Asegúrese de seleccionar Habilitar el acceso público desde todas las redes al crear la cuenta de almacenamiento. La compatibilidad con redes virtuales y direcciones IP y el uso del acceso privado no están disponibles

Asegúrese de guardar el nombre y la dirección URL del contenedor de blobs de Azure. Para ver la dirección URL, abra laspropiedades delcontenedor>de cuentas> de almacenamiento principal> del portal > de Almacenamiento de Azure.

El formato de la dirección URL del contenedor de blobs de Azure es:https://storageAccountName.blob.core.windows.net/containerName

Adición de un blob de Azure Storage a la cuenta

Hay varias maneras de agregar un blob de Azure Storage a la cuenta. Elija uno de los métodos siguientes.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Para agregar Azure Blob Storage mediante el portal de Microsoft Purview:

  1. Inicie sesión en el portal de Microsoft Purview y elija el engranaje Configuración en la barra de menús.
  2. Elija Prevención de pérdida de datos.
  3. Seleccione Configuración de DLP de punto de conexión.
  4. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivos en dispositivos).
  5. Cambie el botón de alternancia de Desactivado a Activado.
  6. En el campo Set evidence cache on device (Establecer caché de evidencia en el dispositivo ), seleccione la cantidad de tiempo que la evidencia debe guardarse localmente cuando el dispositivo esté sin conexión. Puede elegir 7, 30 o 60 días.
  7. Seleccione un tipo de almacenamiento (Tienda administrada por el cliente o Tienda administrada de Microsoft (versión preliminar)) y, a continuación, seleccione + Agregar almacenamiento.
    1. Para el almacenamiento administrado por el cliente:
      1. Elija Tienda administrada por el cliente: y, a continuación, elija + Agregar almacenamiento.
      2. Escriba un nombre para asignar un nombre a la cuenta y escriba la dirección URL del blob de almacenamiento.
      3. Seleccione Guardar.
    2. Para el almacenamiento administrado por Microsoft:
      1. Elección de Microsoft Managed Store (versión preliminar)

Establecimiento de permisos en Azure Blob Storage

Con Microsoft Entra autorización, debe configurar dos conjuntos de permisos (grupos de roles) en los blobs:

  1. Uno para los administradores e investigadores para que puedan ver y administrar pruebas
  2. Uno para los usuarios que necesitan cargar elementos en Azure desde sus dispositivos

El procedimiento recomendado es aplicar privilegios mínimos para todos los usuarios, independientemente del rol. Al aplicar los privilegios mínimos, se asegura de que los permisos de usuario se limitan solo a los permisos necesarios para su rol. Para configurar los permisos de usuario, cree roles y grupos de roles en Microsoft Defender para Office 365 y Microsoft Purview.

Permisos en blobs de Azure para administradores e investigadores

Una vez creado el grupo de roles para los investigadores de incidentes DLP, debe configurar los permisos descritos en las secciones Acciones del investigador y Acciones de datos del investigador que se indican a continuación.

Para obtener más información sobre cómo configurar el acceso a blobs, consulte estos artículos:

Acciones del investigador

Configure estos permisos de objeto y acción para el rol de investigador:

Objeto Permissions
Microsoft.Storage/storageAccounts/blobServices Lectura: Enumeración de Blob Services
Microsoft.Storage/storageAccounts/blobServices Lectura: Obtención de propiedades o estadísticas de Blob Service
Microsoft.Storage/storageAccounts/blobServices/containers Lectura: Obtención de un contenedor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers Lectura: Lista de contenedores de blobs
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lectura: Lectura de blobs
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Otro: Generación de una clave de delegación de usuario
Acciones de datos del investigador
Objeto Permissions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Lectura: Leer blob

El json para el grupo de roles de investigador debe tener este aspecto:

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

Permisos en blobs de Azure para usuarios

Asigne estos permisos de objeto y acción al blob de Azure para el rol de usuario:

Acciones del usuario
Objeto Permissions
Microsoft.Storage/storageAccounts/blobServices Lectura: Enumeración de Blob Services
Microsoft.Storage/storageAccounts/blobServices/containers Lectura: Obtención de un contenedor de blobs
Microsoft.Storage/storageAccounts/blobServices/containers Escritura: Colocar contenedor de blobs
Acciones de datos de usuario
Objeto Permissions
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Escritura: Escribir blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs Otro: Agregar contenido de blob

El json para el grupo de roles de usuario debe tener este aspecto:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Habilitación y configuración de la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft (versión preliminar)

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Para habilitar y configurar la recopilación de pruebas en una cuenta de almacenamiento administrada por Microsoft desde el portal de Microsoft Purview:

  1. Inicie sesión en el engranajeconfiguración del portal > de Microsoft Purviewen la barra de menús.
  2. Elija Prevención de pérdida de datos.
  3. Seleccione Configuración de DLP de punto de conexión.
  4. Expanda Setup evidence collection for file activities on devices (Configurar la recopilación de evidencias para las actividades de archivo en dispositivos ) y establezca el botón de alternancia en Activado.
  5. En Seleccionar tipo de almacenamiento, elija Almacenamiento administrado por Microsoft.

Configuración de la directiva DLP

Cree una directiva DLP como lo haría normalmente. Para ver ejemplos de configuración de directivas, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Configure la directiva con esta configuración:

  • Asegúrese de que Dispositivos es la única ubicación seleccionada.
  • En Informes de incidentes, active Send an alert to admins when a rule match (Enviar una alerta a los administradores cuando se produzca una coincidencia de regla ) en Activado.
  • En Informes de incidentes, seleccione Recopilar archivo original como evidencia para todas las actividades de archivo seleccionadas en punto de conexión.
  • Seleccione la cuenta de almacenamiento que desee.
  • Seleccione las actividades para las que desea copiar elementos coincidentes en Azure Storage, como:
    • Pegar en exploradores admitidos
    • Carga en dominios de servicio en la nube o acceso a exploradores no permitidos
    • Copia en un dispositivo USB extraíble
    • Copia en un recurso compartido de red
    • Print
    • Copiar o mover mediante una aplicación Bluetooth no permitida
    • Copia o movimiento mediante RDP

Vista previa de la evidencia

Hay diferentes maneras de obtener una vista previa de la evidencia, en función del tipo de almacenamiento que seleccione.

Tipo de almacenamiento Opciones de vista previa
Administrado por el cliente - Uso del explorador de actividad
- Uso del portal de cumplimiento
Microsoft Managed (versión preliminar) - Uso del explorador de actividad
- Uso del portal de cumplimiento

Vista previa de la evidencia a través del Explorador de actividad

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en elexplorador de actividades de prevención > depérdida de datosdel portal > de Microsoft Purview.
  2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
  3. En la lista de resultados, haga doble clic en el elemento de línea de la actividad que desea investigar.
  4. En el panel flotante, el vínculo al blob de Azure donde se almacena la evidencia aparece en Archivo de evidencia.
  5. Seleccione el vínculo Azure Blob Storage para mostrar el archivo que ha coincidido.

Vista previa de pruebas a través de la página Alertas del portal de cumplimiento

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal > de Microsoft PurviewAlertas de prevención > depérdida de datos.
  2. Con la lista desplegable Fecha , seleccione las fechas de inicio y finalización del período que le interesa.
  3. En la lista de resultados, haga doble clic en el elemento de línea de la actividad que desea investigar.
  4. En el panel flotante, seleccione Ver detalles.
  5. Seleccione la pestaña Eventos .
  6. En el panel Detalles , seleccione la pestaña Origen. Se muestra el archivo que coincidió.

Nota:

Si el archivo coincidente ya existe en el blob de Almacenamiento de Azure, no se volverá a cargar hasta que se realicen cambios en el archivo y un usuario realice una acción en él.

Comportamientos conocidos

  • Los archivos almacenados en la memoria caché del dispositivo no se conservan si el sistema se bloquea o se reinicia.
  • El tamaño máximo de los archivos que se pueden cargar desde un dispositivo es de 500 MB.
  • Si se desencadena Just-In-Time Protection en un archivo examinado, O si el archivo se almacena en un recurso compartido de red, no se recopila el archivo de evidencia.
  • Cuando se abren varios archivos en el mismo proceso (aplicaciones que no son de office) y se sale uno de los archivos que coinciden con una directiva, se desencadenan eventos DLP para todos los archivos. No se captura ninguna evidencia.
  • Si se detectan varias reglas de directiva en un único archivo, el archivo de evidencia solo se almacena si la regla de directiva más restrictiva está configurada para recopilar pruebas.