Compartir a través de

Uso de Network Data Security para evitar el uso compartido de información confidencial con inteligencia artificial no administrada

Nota:

Las características usadas en este escenario se encuentran en versión preliminar.

En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de prevención de pérdida de datos (DLP) de Microsoft Purview que ayuda a evitar el uso compartido de información confidencial con aplicaciones de inteligencia artificial no administradas a través de la seguridad de datos de red mediante una solución SASE integrada, como Microsoft Entra GSA Internet Access. Trabaje en este escenario en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.

Importante

En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.

La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.

Requisitos previos y supuestos

  • Para Microsoft Entra aplicaciones de GSA Internet Access, el dispositivo debe estar unido a Entra ID.
  • Para Microsoft Entra aplicaciones de GSA Internet Access, ha configurado una directiva de archivo para el filtrado de contenido de red en Microsoft Entra GSA Internet Access.
  • Para proveedores de SASE de terceros, asegúrese de que ha completado los pasos de integración descritos en la documentación del proveedor.
  • Este procedimiento usa grupos de distribución hipotéticos, uno denominado Equipo financiero y otro grupo para el equipo de seguridad. Debe crear estos grupos en su entorno o sustituir sus propios grupos.

Asignación y instrucción de intención de directiva

Queremos adoptar el uso responsable de la inteligencia artificial dentro de nuestra organización al tiempo que protegemos los datos confidenciales de los clientes y la organización frente a la exposición intencionada o accidental. Dado que el departamento financiero controla periódicamente la información altamente confidencial, es necesario crear una directiva que impida que los usuarios de Finanzas compartan contenido confidencial con cualquier aplicación de inteligencia artificial generativa no autorizada. Dado que muchos de nuestros usuarios tienen flexibilidad en el explorador que deciden usar, así como la capacidad de usar aplicaciones de inteligencia artificial instaladas localmente y complementos de Office, es necesario garantizar una amplia cobertura de puntos de conexión a través de la protección de la seguridad de datos de red. Dada la confidencialidad del acceso del departamento financiero a los datos, es necesario evitar que los datos financieros, la información de identificación personal (PII) o los documentos confidenciales se compartan a través de mensajes de texto o archivos cargados. A continuación, para garantizar una administración eficaz y rápida de incidentes, debemos generar alertas y garantizar que nuestro equipo de seguridad reciba una notificación por correo electrónico cada vez que se produzca un bloqueo. Por último, queremos que esta directiva surta efecto inmediatamente para empezar a proteger los datos de la empresa lo antes posible.

Instrucción Pregunta de configuración respondida y asignación de configuración
Dado que el departamento financiero controla periódicamente la información altamente confidencial, es necesario crear una directiva que impida que los usuarios de Finanzas compartan contenido confidencial con cualquier aplicación de inteligencia artificial generativa no autorizada. Elija aplicaciones en la nube para aplicar la directiva:
- Seleccione + Agregar aplicaciones
en la nube. Seleccione la pestaña
Ámbitos de aplicación adaptables. Elija Todas las aplicaciones de IA no administradas y seleccione Agregar
- Seleccionar ámbito
de edición- Seleccione Incluir solo específico
- Elija el grupo Departamento financiero
Dado que muchos de nuestros usuarios tienen flexibilidad en el explorador que deciden usar, así como la capacidad de usar aplicaciones de inteligencia artificial instaladas localmente y complementos de Office, es necesario garantizar una amplia cobertura de puntos de conexión a través de la protección de la seguridad de datos de red. Elija dónde aplicar la directiva:
- Habilitar red
Dada la confidencialidad del acceso del departamento financiero a los datos, es necesario evitar datos financieros, información de identificación personal (PII) o documentos confidenciales... Personalizar reglas DLP avanzadas:
- Seleccione + Crear regla
- Seleccione + Agregar condición y elija Contenido contiene
- Seleccione Agregar y chooose Tipos de información
confidencial- Seleccione Número de enrutamiento de ABA, Número de cuenta bancaria de EE. UU., Número de tarjeta de crédito, Número de seguro social de EE. UU. (SSN) y seleccione Agregar
- Seleccione Agregar y elija Etiquetas
de confidencialidad- Elija Confidencial y seleccione Agregar
: asegúrese de que el operador Group esté establecido en Cualquiera de estos valores.
... desde que se comparten a través de mensajes de texto o archivos cargados. Acciones:
- Seleccione + Agregar una acción y elija Restringir el explorador y las actividades
de red. Seleccione Texto enviado o compartido con aplicaciones en la nube o AI y Archivo cargado o compartido con aplicaciones
en la nube o AI. Seleccione Bloquear para ambas.
A continuación, para garantizar una administración eficaz y rápida de incidentes, debemos generar alertas y garantizar que nuestro equipo de seguridad reciba una notificación por correo electrónico cada vez que se produzca un bloqueo. Informes de incidentes:
- Establezca el nivel de gravedad en High-Ensure
Send an alert to admins when a rule matchs isOn
- Select + Add or remove users and choose the SecurityOps distribution group
- Ensure Send alert every time an activity matches the rule is selected, and then Save the rule
Por último, queremos que esta directiva surta efecto inmediatamente para empezar a proteger los datos de la empresa lo antes posible. Modo de directiva:
- Seleccione Activar la directiva inmediatamente

ingtegración del proveedor SASE

Importante

Debe tener un proveedor sase integrado con Purview para empezar a detectar y proteger el contenido compartido a través de la red.

  1. Inicie sesión en el portal de Microsoft Purview.
  2. Abrir configuración (en la esquina superior derecha) >Integraciones de prevención > de pérdida de datos
  3. Seleccione Introducción a Microsoft Global Secure Access (versión preliminar).
  4. Complete los pasos proporcionados en el Asistente para integración.

Pasos para crear la directiva

  1. Inicie sesión en el portal de Microsoft Purview.
  2. Seleccione Directivas de prevención>> de pérdida de datos+ Crear directiva.
  3. Seleccione Tráfico web insertado.
  4. Seleccione Personalizado en la lista Categorías y, a continuación, seleccione Directiva personalizada en la lista Reglamentos .
  5. Elija Siguiente.
  6. Escriba un nombre de directiva y proporcione una descripción opcional. Puede usar la instrucción de intención de directiva aquí.
  7. Elija Siguiente.
  8. Seleccione + Agregar aplicaciones en la nube.
  9. Seleccione la pestaña Ámbitos de aplicación adaptable , elija Todas las aplicaciones de IA no administradas y seleccione Agregar (1).
  10. Seleccione Editar ámbito en Todas las aplicaciones de IA no administradas.
  11. Seleccione la opción Incluir solo específico en Agregar o editar el ámbito de Todas las aplicaciones de IA no administradas.
  12. Seleccione + Agregar inclusiones.
  13. Seleccione Usuarios y grupos específicos.
  14. Busque y seleccione el grupo Departamento financiero y, a continuación, seleccione Agregar.
  15. Seleccione Guardar y cerrar.
  16. Elija Siguiente.
  17. En la página Elegir dónde aplicar la directiva , asegúrese de que La red está activada y, a continuación, seleccione Siguiente.

Nota:

Solo puede seleccionar red cuando se configura la facturación de pago por uso. Obtenga más información sobre la facturación de pago por uso.

  1. En la página Definir configuración de directiva , asegúrese de que está seleccionada la opción Crear o personalizar reglas DLP avanzadas y seleccione Siguiente.
  2. En la página Personalizar reglas DLP avanzadas , seleccione + Crear regla.
  3. Asigne a la regla un nombre único y una descripción opcional.
  4. En condiciones
    1. Seleccione + Agregar condición y, a continuación, elija Contenido contiene.
    2. Seleccione Agregar y elija Tipos de información confidencial.
    3. Elija Número de enrutamiento de ABA, Número de cuenta bancaria de EE. UU., Número de tarjeta de crédito, Número de seguro social (SSN) de EE. UU. y seleccione Agregar.
    4. Seleccione Agregar y elija Etiquetas de confidencialidad.
    5. Elija Confidencial y seleccione Agregar.
    6. Asegúrese de que el operador Group está establecido en Cualquiera de estos para el grupo Contenido contiene.
  5. En Acciones
    1. Seleccione + Agregar una acción y elija Restringir el explorador y las actividades de red.
    2. Seleccione Texto enviado o compartido con aplicaciones en la nube o AI y **Archivo cargado o compartido con aplicaciones de inteligencia artificial o en la nube.
    3. Seleccione Bloquear para ambos.

Importante

Microsoft Entra GSA Internet Access solo admite actividades de archivo

  1. En Informes de incidentes
    1. Establezca el nivel de gravedad en alertas e informes de administración enAlto
    2. Asegúrese de que Enviar una alerta a los administradores cuando se produce una coincidencia de regla es Activado
    3. Seleccione + Agregar o quitar usuarios y elija el grupo de distribución SecurityOps.
    4. Asegúrese de enviar alerta cada vez que una actividad coincida con la regla seleccionada.
  2. Haga clic en Guardar.
  3. Revise la configuración de la regla, asegúrese de que su estado es Activado y seleccione Siguiente.
  4. En la página Modo de directiva, elija Activar la directiva inmediatamente y, a continuación, seleccione Siguiente.
  5. Revise la información de la directiva y seleccione Enviar para crear la directiva.
  • Last updated on