Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las directivas de Prevención de pérdida de datos de Microsoft Purview (DLP) se pueden configurar para generar alertas cuando se coinciden las condiciones de una regla. Las alertas se configuran en las reglas de directiva DLP.
Para obtener una breve introducción a las alertas, consulte:
En este artículo se incluyen los detalles de licencias y permisos y otra información crucial que necesita a medida que trabaja con alertas.
Las alertas DLP se pueden investigar y administrar en el panel de Microsoft Defender XDR y en el portal de Microsoft Purview. El panel de Microsoft Defender XDR es la ubicación recomendada para investigar y administrar alertas DLP. El portal de Microsoft Purview es la ubicación recomendada para crear y editar directivas DLP.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Tipo de alerta
Las alertas se pueden enviar cada vez que una actividad coincide con una regla o se pueden agregar para reducir el ruido. Hay dos tipos de alertas que se pueden configurar en las directivas DLP.
Alertas de un solo evento Las alertas de evento único se usan normalmente en directivas que supervisan eventos altamente confidenciales que se producen en un volumen bajo, como un solo correo electrónico con 10 o más números de tarjeta de crédito de cliente que se envían fuera de la organización. De forma predeterminada, cuando los eventos de una sola regla se producen en una ventana de un minuto entre sí, se agregan para la licencia E5 y 15 minutos para la licencia E3. En versión preliminar, las alertas de evento único se pueden agregar por regla por usuario. Esto se denomina agregación de alertas basada en reglas y usuarios.
Las alertas de eventos agregados se usan normalmente en directivas que supervisan los eventos que se producen en un volumen superior durante un período de tiempo. Por ejemplo, se puede desencadenar una alerta agregada cuando se envían 10 correos electrónicos individuales cada uno con un número de tarjeta de crédito de cliente fuera de su organización durante 48 horas.
Antes de empezar
Antes de empezar, asegúrese de que tiene estos requisitos previos:
Licencias para opciones de configuración de alertas
- Configuración de alertas de evento único: todas las organizaciones con una suscripción DLP (E1, E3, E5, F1, G1, E3, G3, E5, G5) pueden configurar directivas para generar una alerta para cada vez que se produzca una actividad desencadenante.
-
Configuración de alerta agregada: para configurar directivas de alerta agregadas basadas en un umbral, debe tener cualquiera de las siguientes configuraciones:
- Una suscripción a A5
- Una suscripción A5 o G5
- Una suscripción E1, F1 o G1 o una suscripción E3 o G3 que incluya una de las siguientes características:
- Protección contra amenazas avanzada de Office 365 (plan 2)
- Microsoft Purview Suite (anteriormente conocido como Cumplimiento de Microsoft 365 E5)
- Licencia de complemento de auditoría y exhibición de documentos electrónicos de Microsoft 365
Los clientes que usan DLP de punto de conexión y que son aptos para DLP de Teams verán sus alertas de directiva DLP de punto de conexión y las alertas de directiva DLP de Teams en el panel de administración de alertas DLP.
Roles y grupos de roles
Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:
- Administrador de cumplimiento
- Administrador de datos de cumplimiento
- Administrador de seguridad
- Operador de seguridad
- Lector de seguridad
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
Para obtener más información sobre ellos, consulte Permisos en el portal de Microsoft Purview.
Esta es una lista de los grupos de roles aplicables. Para obtener más información sobre ellos, consulte Permisos en el portal de Microsoft Purview.
- Protección de la información
- Administradores de Information Protection
- Analistas de Information Protection
- Investigadores de Information Protection
Para acceder al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de estos dos roles:
- Administración de cumplimiento de DLP
- Administración de cumplimiento de DLP de solo vista
Para acceder a la característica De vista previa de contenido y a las características de contenido confidencial y contexto coincidentes, debe ser miembro del grupo de roles Visor de contenido del Explorador de contenido , que tiene el rol Visor de contenido de clasificación de datos asignado previamente.
Sugerencia
Si el administrador requiere acceso a alertas, pero no a información contextual o confidencial, puede crear y asignar un rol personalizado que no incluya el permiso Visor de contenido de clasificación de datos.
Configuración de alertas DLP
Para obtener información sobre cómo configurar una alerta en la directiva DLP, consulte Creación e implementación de directivas de prevención de pérdida de datos. Hay diferentes experiencias de configuración de alertas en función de las licencias.
Nota:
Puede tardar hasta 3 horas en generar alertas después de configurar o modificar las alertas existentes en una directiva DLP.
Un correo electrónico de alerta, un correo electrónico de informe de incidentes y una notificación de usuario solo se enviarán una vez por documento. Si un documento con una condición Contenido es Compartido se comparte dos veces, solo habrá una notificación.
Configuración de alertas de eventos agregados
Si tiene licencia para las opciones de configuración de alertas agregadas, verá estas opciones al crear o editar una directiva DLP.
Esta configuración le permite configurar una directiva para generar una alerta:
- cada vez que una actividad coincide con las condiciones de una regla para la agregación predeterminada en función de una regla o de la agregación basada en usuarios y reglas.
- cuando se cumple o se supera el umbral definido en función del número de coincidencias o del volumen de o del volumen de datos filtrados
- para las actividades que cumplen los criterios que se definen dentro de un período de tiempo específico
Configuración de alertas de evento único
Si tiene licencia para las opciones de configuración de alertas de evento único, verá estas opciones al crear o editar una directiva DLP. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP.
Agregación de alertas basada en usuarios y reglas (versión preliminar)
Al habilitar la aglomeración de alertas basada en el usuario en la configuración DLP en el nivel de inquilino, las alertas de evento único se agregan en función de los usuarios. Los eventos de coincidencia de regla deben producirse dentro del período de tiempo configurable (15, 30, 45 y 60 minutos). Las alertas se generan por evento de coincidencia de regla por usuario.
Comparación de opciones de agregación de alertas
| Quiero que DLP... | Ventana de tiempo | Tipo de agregación | Notas |
|---|---|---|---|
| ... genere una única alerta cuando cualquier número de usuarios envíe un correo electrónico con información de tarjeta de crédito. | Estas ventanas no son configurables por el admin-E5 : 60 segundos-E3 : 15 minutos |
- La agregación de alertas basada en el usuario se establece en Desactivado en el nivel de inquilino. - Agregación de alerta de evento único configurada en el nivel de regla y está disponible si la coincidencia se produce dentro del período de tiempo. -Coincidencias de reglas DLP agregadas de varios usuarios en una alerta. |
: se aplica a varios usuarios para una regla. |
| ... genere una alerta para cada remitente de correo electrónico cuando se envíe un correo electrónico con información de tarjeta de crédito. | El administrador puede configurar esta ventana de tiempo en el nivel de inquilino. - 15 - 60 minutos |
- La agregación de alertas basada en el usuario se establece en Activado en el nivel de inquilino.
- Agregación de alerta de evento único configurada en el nivel de regla. -La regla DLP agregada coincide con la coincidencia de un solo usuario en una alerta. |
- Para un solo usuario por regla.
- Espera un aumento en el volumen de alertas. - Si la alerta se cierra dentro del período de tiempo de agregación y se produce una nueva coincidencia para el mismo usuario y regla, la nueva coincidencia de regla se agregará a la misma alerta. |
| ... para generar una alerta cuando varios usuarios acceden a más de 100 archivos confidenciales en un plazo de 60 minutos. | - Configurado en el nivel de regla, 60-999 minutos. | - Agregación basada en umbrales: coincidencias de reglas DLP agregadas en función del recuento de coincidencias. - La agregación de alertas basada en el usuario no es aplicable. |
- pivota sobre las reglas : úselo para varios usuarios para una regla. - Solo funciona para la opción Todos los usuarios . |
| ... para generar una alerta cuando varios usuarios filtran más de 25 MB de datos en un plazo de 60 minutos. | Configurado en el nivel de regla, 60-999 minutos. | -Threshold based aggregateon based on the volume of data. : la agregación de alertas basada en el usuario no es aplicable. |
- pivota sobre las reglas : úselo para varios usuarios para una regla. - Solo funciona para la opción Todos los usuarios . |
Tipos de eventos
Estos son algunos de los eventos asociados a una alerta. En el panel Alerta, puede elegir un evento determinado para ver sus detalles.
Detalles del evento
| Nombre de propiedad | Description | Tipos de eventos |
|---|---|---|
| Id. | identificador único asociado al evento | todos los eventos |
| Ubicación | carga de trabajo donde se detectó el evento | todos los eventos |
| tiempo de actividad | hora de la actividad del usuario que coincidió con los criterios de la directiva DLP |
Entidades afectadas
| Nombre de propiedad | Description | Tipos de eventos |
|---|---|---|
| usuario | usuario que realizó la acción que provocó la coincidencia de directiva | todos los eventos |
| nombre de host | nombre de host del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
| Dirección IP | Dirección IP del equipo donde se produjo la coincidencia de directiva DLP | eventos de dispositivo |
| sha1 | Hash SHA-1 del archivo | eventos de dispositivo |
| sha256 | Hash SHA-256 del archivo | eventos de dispositivo |
| Id. de dispositivo MDATP | id. MDATP del dispositivo de punto de conexión | |
| tamaño de archivo | tamaño del archivo | Eventos de SharePoint, OneDrive y dispositivo |
| ruta de acceso del archivo | la ruta de acceso absoluta del elemento implicado en la coincidencia de directiva DLP | Eventos de SharePoint, OneDrive y dispositivos |
| destinatarios de correo electrónico | si un correo electrónico era el elemento confidencial que coincidía con la directiva DLP, este campo incluye a los destinatarios de ese correo electrónico. | Eventos de Exchange |
| asunto del correo electrónico | asunto del correo electrónico que coincidió con la directiva DLP | Eventos de Exchange |
| datos adjuntos de correo electrónico | nombres de los datos adjuntos del correo electrónico que coincidieron con la directiva DLP | Eventos de Exchange |
| propietario del sitio | nombre del propietario del sitio | Eventos de SharePoint y OneDrive |
| dirección URL del sitio | lleno de la dirección URL del sitio de SharePoint o OneDrive donde se produjo la coincidencia de directiva DLP | Eventos de SharePoint y OneDrive |
| archivo creado | hora de creación del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
| archivo modificado por última vez | la última vez que se cambió el archivo que coincidía con la directiva DLP | Eventos de SharePoint y OneDrive |
| tamaño de archivo | tamaño del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
| propietario del archivo | propietario del archivo que coincidió con la directiva DLP | Eventos de SharePoint y OneDrive |
Detalles de la directiva
| Nombre de propiedad | Description | Tipos de eventos |
|---|---|---|
| Directiva DLP coincidente | nombre de la directiva DLP coincidente | todos los eventos |
| regla coincidente | nombre de la regla de directiva DLP coincidente | todos los eventos |
| tipos de información confidencial (SIT) detectados | SIT que se detectaron como parte de la coincidencia de directiva DLP | todos los eventos |
| acciones realizadas | acciones que se realizaron que provocaron la coincidencia de la directiva DLP | todos los eventos |
| violación de la acción | acción en el dispositivo de punto de conexión que generó la alerta DLP | eventos de dispositivo |
| directiva de superada por el usuario | el usuario invalidó la directiva a través de una sugerencia de directiva | todos los eventos |
| usar justificación de invalidación | el texto de la razón proporcionada por el usuario para la invalidación | todos los eventos |
Importante
Los controles de configuración de la directiva de retención de registros de auditoría de su organización durante cuánto tiempo permanece visible una alerta en la consola. Para obtener más información, vea administrar directivas de retención de los registros de auditoría.
Vea también
- Alertas en directivas DLP: describe las alertas en el contexto de una directiva DLP.
- Introducción a las alertas de prevención de pérdida de datos: cubre los requisitos previos, permisos y licencias necesarios para las alertas DLP y los detalles de referencia de alertas.
- Crear e implementar directivas de prevención de pérdida de datos: incluye instrucciones sobre la configuración de alertas en el contexto de la creación de una directiva DLP.
- Obtenga información sobre la investigación de alertas de prevención de pérdida de datos: trata los distintos métodos para investigar las alertas DLP.
- Investigar incidentes de pérdida de datos con Microsoft Defender XDR: Cómo investigar alertas DLP en Microsoft Defender portal.