Configuración de exclusiones globales para directivas de administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Use la configuración Exclusiones globales (versión preliminar) en Administración de riesgos internos de Microsoft Purview para excluir que las directivas de administración de riesgos internos no puntúan los elementos. Por ejemplo, para reducir el "ruido" en las directivas, es posible que quiera excluir determinados tipos de archivo o dominios de que se puntúen como riesgo si esos tipos de archivo o dominios no presentan riesgo para su organización.

Al configurar exclusiones globales, es posible que también quiera aprovechar los grupos de detección para adaptar las detecciones para diferentes conjuntos de usuarios. Los grupos de detección pueden ayudarle a reducir los falsos positivos para las directivas.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Configuración de una exclusión de dominio

Puede excluir que las directivas de administración de riesgos internos puntúen dominios específicos relacionados con las actividades del usuario. Estas actividades incluyen:

  • Email enviar a dominios externos.
  • Archivos, carpetas y sitios compartidos con dominios externos.
  • Archivos cargados en dominios externos (mediante el explorador Microsoft Edge).

Las directivas omiten los dominios permitidos y no generarán alertas.

Configuración de una exclusión de dominio

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Dominios.

  5. En el panel Dominios de la derecha, seleccione una de las pestañas siguientes:

    • Dominios individuales. Para agregar dominios de uno en uno:

      1. Seleccione Agregar dominios y escriba un dominio exacto en el campo Dominio o use un asterisco comodín (*) para detectar un subdominio (por ejemplo, *.contoso.com). Antes del nombre de dominio con un carácter comodín se detecta un máximo de un subdominio (por ejemplo, support.contoso.com).

      2. Para incluir todos los subdominios dentro del dominio, active la casilla Incluir subdominios de varios niveles .

        Nota:

        Puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel). Para especificar subdominios de varios niveles para un dominio raíz, debe seleccionar la casilla Incluir subdominios de varios niveles .

      3. Presione Entrar.

      4. Repita este proceso para cada dominio que quiera agregar.

        Cada dominio que escriba se agrega a la columna Dominio y o No se agrega a la lista de subdominios de varios niveles incluidos .

        Sugerencia

        Si no desea agregar dominios de uno en uno, puede importar una lista de dominios de un archivo CSV seleccionando Importar dominios desde un archivo CSV en la página anterior.

      5. Seleccione Agregar dominios.

    • Grupos de dominios. Para seleccionar un grupo de detección de dominios que ya ha creado:

      1. Seleccione Agregar grupo de dominios.

      2. Seleccione los grupos de dominio adecuados de la lista. El número de dominios incluidos en cada grupo de dominios aparece en la columna Dominios incluidos .

      3. Haga clic en Guardar.

Configuración de una exclusión de datos adjuntos de firma de correo electrónico

Una de las principales fuentes de "ruido" en las directivas de administración de riesgos internos son las imágenes en las firmas de correo electrónico, que a menudo se detectan como datos adjuntos en los correos electrónicos. Si se selecciona el indicador Envío de correo electrónico con datos adjuntos a destinatarios fuera de la organización , los datos adjuntos se puntuan como cualquier otro archivo adjunto de correo electrónico enviado fuera de la organización, incluso si lo único que aparece en los datos adjuntos es la firma de correo electrónico. Puede usar la opción Omitir datos adjuntos de firma de correo electrónico (versión preliminar) para excluir estos datos adjuntos de la puntuación.

Activar esta configuración elimina significativamente el ruido de los datos adjuntos de firma de correo electrónico, pero no elimina por completo todo el ruido. Esto se debe a que solo se excluyen de la puntuación los datos adjuntos de firma de correo electrónico del remitente del correo electrónico (la persona que inicia el correo electrónico o las respuestas al correo electrónico). Se seguirá puntuando un archivo adjunto de firma para cualquier usuario de la línea To, CC o BCC. Además, si alguien cambia su firma de correo electrónico, se debe generar un perfil de la nueva firma, lo que puede provocar ruido de alerta durante un breve período de tiempo.

Configuración de una exclusión de datos adjuntos de firma de correo electrónico

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Email datos adjuntos de firma.

  5. En el panel Omitir datos adjuntos de firma de correo electrónico (versión preliminar) a la derecha, active la configuración.

  6. Haga clic en Guardar.

Configuración de una exclusión de ruta de acceso de archivo

Al excluir rutas de acceso de archivo, las actividades de usuario que se asignan a indicadores específicos y que se producen en esas ubicaciones de ruta de acceso de archivo no generarán alertas de directiva. Algunos ejemplos son copiar o mover archivos a una carpeta del sistema o a una ruta de acceso de recurso compartido de red. Puede escribir hasta 500 rutas de acceso de archivo para su exclusión.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Rutas de acceso de archivo.

  5. En el panel Rutas de acceso de archivo a la derecha, seleccione una de las pestañas siguientes:

    • Rutas de acceso de archivo individuales. Para agregar una ruta de acceso de archivo individual, seleccione Agregar rutas de acceso de archivo para excluir, escriba un recurso compartido de red exacto o una ruta de acceso de archivo de dispositivo y, a continuación, seleccione Agregar rutas de acceso de archivo para excluir. Repita este proceso para cada ruta de acceso de archivo que quiera excluir. Ejemplos:

      Ejemplo Descripción
      \ms.temp\LocalFolder\ o C:\temp Excluye los archivos directamente en la carpeta y todas las subcarpetas de cada ruta de acceso de archivo a partir del prefijo especificado.
      \public\local\ Excluye los archivos de todas las rutas de acceso de archivo que contienen el valor especificado.

      Coincide con "C:\Users\Public\local\", "C:\Users\User1\Public\local" y "\ms.temp\Public\local".

      C:\Users*\Desktop Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Desktop".
      C:\Users*(2)\Desktop Se admiten wilcards con números. Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Shared\Desktop".

      Cada ruta de acceso de archivo que escriba se agrega a la columna Ruta de acceso de archivo de la página.

      Nota:

      Consulte Rutas de acceso de archivo predeterminadas para ver las rutas de acceso de archivo que se excluyen automáticamente de la generación de alertas de directiva.

    • Grupos de rutas de acceso de archivo. Para seleccionar un grupo de detección de rutas de acceso de archivo que ya ha creado, seleccione Agregar grupo de rutas de acceso de archivo y, a continuación, seleccione los grupos de rutas de acceso de archivo adecuados. El número de rutas de acceso de archivo incluidas en cada grupo se muestra en la columna Rutas de acceso de archivo incluidas .

  6. Haga clic en Guardar.

Rutas de acceso de archivo predeterminadas

De forma predeterminada, varias rutas de acceso de archivo se excluyen automáticamente de la generación de alertas de directiva. Las actividades de estas rutas de acceso de archivo suelen ser benignas y podrían aumentar el volumen de alertas que no requieren acción. Si es necesario, puede cancelar la selección de estas exclusiones de ruta de acceso de archivo predeterminadas para habilitar la puntuación de riesgo para las actividades de estas ubicaciones.

Las exclusiones de ruta de acceso de archivo predeterminadas son:

  • \Users*\AppData
  • \Users*\AppData\Local
  • \Users*\AppData\Roaming
  • \Users*\AppData\Local\Temp

Los caracteres comodín de estas rutas de acceso indican que todos los niveles de carpeta entre \Users y \AppData se incluyen en la exclusión. Por ejemplo, las actividades de C:\Users\Test1\AppData\Local y C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (y así sucesivamente) se incluirán y no se puntuarán como riesgo como parte de la selección de exclusión \Users*\AppData\Local .

Configuración de una exclusión de tipo de archivo

Puede excluir tipos de archivo específicos de todas las coincidencias de directivas de administración de riesgos internos. Por ejemplo, es posible que quiera excluir todos los archivos .wav. Todos los archivos con esa extensión se omitirán para la puntuación de riesgos por todas las directivas de administración de riesgos internos.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Tipos de archivo.

  5. En el panel Tipos de archivo de la derecha, seleccione una de las pestañas siguientes:

    • Tipos de archivo individuales. Para agregar tipos de archivo de uno en uno, seleccione Agregar tipo de archivo, escriba un tipo de archivo y, a continuación, presione Entrar. Repita este proceso para cada tipo de archivo que quiera agregar. Cada tipo de archivo que escriba se agregará a la página.

    • Grupos de tipos de archivo. Para seleccionar un grupo de detección de tipos de archivo que ya ha creado, seleccione Agregar grupo de tipos de archivo y, a continuación, seleccione los grupos de tipos de archivo adecuados de la lista.

  6. Haga clic en Guardar.

Configuración de una exclusión de palabras clave

Puede configurar exclusiones para palabras clave que aparecen en nombres de archivo, rutas de acceso de archivo o líneas de asunto del mensaje de correo electrónico. Esto permite flexibilidad para las organizaciones que necesitan reducir la posible frecuencia de alerta debido al marcado de términos benignos. Estas actividades relacionadas con archivos o asuntos de correo electrónico que contienen la palabra clave serán ignoradas por las directivas de administración de riesgos internos y no generarán alertas. Puede excluir hasta 500 palabras clave.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Palabras clave.

  5. En el panel Palabras clave de la derecha, seleccione una de las pestañas siguientes:

    • Palabras clave individuales. Para agregar palabras clave de uno en uno, escriba una palabra clave en el campo Excluir estas palabras clave y, a continuación, presione Entrar. Repita este proceso para cada palabra clave que quiera agregar. Para eliminar una palabra clave que ha agregado a la lista, seleccione la X junto a la palabra clave.

      Sugerencia

      Si desea excluir una palabra clave de la puntuación, pero desea puntuar esa palabra clave cuando se usa en combinación con otras palabras clave o una frase, escriba la palabra clave que desea excluir en el campo Excluir estas palabras clave y, a continuación, escriba la palabra o palabras que forman parte de la frase que desea puntuar en el campo Excluir las palabras clave anteriores solo si estos términos no están presentes. Por ejemplo, si agrega la palabra clave "compliance" al campo Exclude these keywords (Excluir estas palabras clave ), pero escribe la palabra clave "training" en Exclude the above keywords only if these terms aren't also present field (Excluir estas palabras clave) solo si estos términos no están presentes , la palabra "compliance" por sí misma se excluye de la puntuación, pero se puntua la frase "compliance training".

    • Grupos de palabras clave. Para seleccionar un grupo de detección de palabras clave que ya ha creado, seleccione Agregar grupo de palabras clave y, a continuación, seleccione los grupos de palabras clave adecuados de la lista. El número de palabras clave incluidas en cada grupo se muestra en el encabezado Palabras clave incluidas .

  6. Haga clic en Guardar.

Configuración de una exclusión de tipo de información confidencial (versión preliminar)

Los tipos de información confidencial excluidos se asignan a indicadores y desencadenadores que implican actividades relacionadas con archivos para Endpoint, SharePoint, Teams, OneDrive y Exchange. Estos tipos excluidos se tratan como tipos de información no confidenciales. Si un archivo contiene cualquier tipo de información confidencial identificada en esta sección, el archivo se puntuará como riesgo, pero no se mostrará como actividades relacionadas con el contenido relacionado con tipos de información confidencial. Para obtener una lista completa de tipos de información confidencial, consulte Definiciones de entidades de tipo de información confidencial.

Puede seleccionar los tipos de información confidencial que se van a excluir de la lista de todos los tipos disponibles (integrados y personalizados) disponibles en la organización. Puede elegir hasta 500 tipos de información confidencial.

Nota:

La lista de exclusión de tipos de información confidencial tiene prioridad sobre la lista de contenido de prioridad .

Configuración de una exclusión de tipo de información confidencial

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Tipos de información confidencial.

  5. En el panel Tipos de información confidencial de la derecha, seleccione una de las pestañas siguientes:

    • Tipos de información confidencial individuales. Para agregar tipos de información confidencial de uno en uno, seleccione Agregar o editar tipos de información confidencial para excluir, seleccione los tipos de información confidencial que desea excluir y, a continuación, seleccione Agregar. También puede usar el cuadro de búsqueda para buscar un tipo de información confidencial.

    • Grupos SIT. Para seleccionar un grupo de detección de tipos de información confidencial que ya ha creado, seleccione Agregar grupo de tipos de información confidencial y, a continuación, seleccione los grupos adecuados de la lista. El número de tipos de información confidencial incluidos en un grupo de tipos de información confidencial se muestra en el encabezado Tipos de información confidencial incluidos . Haga clic en Guardar cuando haya terminado.

Configuración de una exclusión de sitio de SharePoint

Puede configurar exclusiones de sitios de SharePoint para evitar que las actividades que se producen en SharePoint (y sitios de SharePoint asociados a sitios de canal de Teams) generen alertas de directiva. Por ejemplo, es posible que quiera excluir sitios o canales que contengan archivos y datos no confidenciales que se puedan compartir con las partes interesadas o el público. Puede escribir hasta 500 rutas de acceso url de sitio de SharePoint.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Sitios de SharePoint.

  5. En el panel de sitios de SharePoint de la derecha, seleccione una de las pestañas siguientes:

    • Sitios individuales. Para agregar sitios de SharePoint de uno en uno, seleccione Agregar o editar sitios para excluir, seleccione los sitios que desea excluir y, a continuación, seleccione Editar. También puede usar el cuadro de búsqueda para buscar un sitio.

    • Grupos de sitios. Para seleccionar un grupo de detección de sitios de SharePoint que ya haya creado, seleccione Agregar grupo de sitios de SharePoint y, a continuación, seleccione los grupos adecuados de la lista. El número de sitios incluidos en un grupo de sitios se muestra en el encabezado Sitios incluidos . Haga clic en Guardar cuando haya terminado.

Configuración de una exclusión de clasificador entrenable (versión preliminar)

Los clasificadores entrenables excluidos se asignan a indicadores y desencadenadores que implican actividades relacionadas con archivos para SharePoint, Teams, OneDrive y Exchange. Si algún archivo contiene cualquier clasificador que se pueda entrenar identificado como exclusión, el archivo se puntuará como riesgo, pero no se mostrará como actividad que implique contenido relacionado con clasificadores entrenables. Para obtener una lista completa de clasificadores previamente entrenados, consulte Definiciones de clasificadores entrenables.

Puede seleccionar los clasificadores entrenables que se van a excluir de la lista de todos los tipos disponibles (personalizados y de fábrica) disponibles en la organización. La administración de riesgos internos excluye algunos clasificadores entrenables de forma predeterminada, como Amenazas, Profanidad, Acoso dirigido, Lenguaje ofensivo y Discriminación. Puede elegir hasta 500 clasificadores entrenables.

Nota:

Opcionalmente, puede elegir clasificadores entrenables para que se incluyan en la lista de contenido de prioridad .

Configuración de una exclusión del clasificador que se puede entrenar

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

  2. Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.

  3. En Configuración de riesgos internos, seleccione Exclusiones globales (versión preliminar).

  4. En el panel Tipo de la derecha, seleccione Clasificadores entrenables.

  5. En el panel Clasificadores entrenables de la derecha, seleccione una de las pestañas siguientes:

    • Clasificador individual que se puede entrenar. Para seleccionar clasificadores entrenables de uno en uno, seleccione Agregar o editar clasificadores entrenables para excluir, seleccione los clasificadores entrenables adecuados de la lista y, a continuación, seleccione Agregar. Puede usar el cuadro de búsqueda para buscar un clasificador que se pueda entrenar.

    • Grupos clasificadores entrenables. Para seleccionar un grupo de detección de clasificadores entrenables que ya ha creado, seleccione Agregar grupo de clasificadores entrenables y, a continuación, seleccione los grupos adecuados de la lista. El número de clasificadores que se pueden entrenar incluidos en un grupo de clasificadores entrenables se muestra en el encabezado Clasificadores entrenables incluidos . Haga clic en Guardar cuando haya terminado.