Compartir a través de

Introducción a Prevención de pérdida de datos de Microsoft Purview protección Just-In-Time

Puede usar la protección Just-In-Time (JIT) de prevención de pérdida de datos de punto de conexión (DLP) para detectar y bloquear las actividades de salida en los archivos supervisados mientras espera a que la evaluación de directivas se complete correctamente.

JIT audita y bloquea estas actividades de usuario en archivos protegidos:

  • Copia en un medio extraíble
  • Copiar en un recurso compartido de red
  • Imprimir
  • Copiar o mover mediante el Protocolo de Escritorio remoto (RDP)
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copiar en el Portapapeles: JIT Audit de forma predeterminada
  • Carga en un dominio de servicio en la nube restringido

Cuando JIT está habilitado para dispositivos, se auditan todas las actividades del usuario, incluso las actividades de los usuarios que no están en el ámbito de la directiva. Las actividades de salida se auditan y bloquean para los usuarios que están en el ámbito de la directiva.

Terms

Debe familiarizarse con estos términos:

  • Archivo candidato JIT: son archivos que no están clasificados o archivos que se clasifican por última vez con una directiva obsoleta.
  • Auditoría JIT: para el archivo candidato JIT, endpoint DLP genera un evento en el Explorador de actividades en el que JIT desencadenado se establece en true y el modo de cumplimiento está establecido en Audit.

captura de pantalla de un evento del explorador de actividad JIT que muestra jit desencadenado establecido en true y el modo de cumplimiento está establecido en audit

DLP de punto de conexión no:

  • bloquear la actividad del usuario

  • no genera el evento DLPRuleMatch

  • generar alerta

  • Bloque JIT: para el archivo candidato JIT, DLP de punto de conexión bloquea la actividad y genera un evento en el Explorador de actividad si JIT desencadenado está establecido en true y el modo de aplicación está establecido en Bloquear. DLP de punto de conexión, pero no genera el evento DLPRuleMatch y no genera alertas.

captura de pantalla de un evento del explorador de actividad JIT que muestra jit desencadenado establecido en true y el modo de cumplimiento está establecido en bloquear

  • Notificación JIT en curso: cuando los usuarios que están en el ámbito de JIT intentan una actividad de salida en un archivo candidato JIT, ENDPOINT DLP puede bloquear la actividad de salida y mostrar una notificación del sistema. Esta notificación del sistema se denomina JIT en curso.
  • Notificación completa de evaluación JIT: cuando Endpoint DLP finaliza la evaluación de directivas para un archivo candidato JIT, DLP de punto de conexión muestra una notificación del sistema para informar al usuario. Esta notificación se denomina sistema completo de evaluación JIT.

Captura de pantalla de la notificación completa de evaluación jit

Se aplica a

La protección JIT para DLP de punto de conexión se admite de forma nativa en los siguientes dispositivos:

  • Windows 10
  • Windows 11
  • macOS (tres versiones más recientes)

Procedimiento recomendado para implementar la protección Just-In-Time

Nota:

Espere al menos una hora para que las actualizaciones de configuración JIT, incluida la deshabilitación de JIT, se inserte en los dispositivos cliente.

Paso 1: Preparación del entorno

Para poder implementar la protección Just-In-Time, primero debe implementar la versión de cliente antimalware 4.18.23080 o posterior. La experiencia del usuario final de la protección Just-In-Time se ha mejorado en la versión 4.18.25080 o posterior.

Incorporación page_Defender versión de Mocamp

Nota:

En el caso de las máquinas con una versión obsoleta del cliente antimalware, se recomienda deshabilitar la protección Just-In-Time mediante la instalación de uno de los siguientes KB:

  1. Para averiguar qué dispositivos tienen el cliente antimalware necesario, vaya a Investigación del portal> de seguridad& respuesta>Búsqueda avanzada y ejecute esta consulta.

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

Este es un ejemplo de la salida de la consulta.

Imagen de la salida de la consulta que muestra una lista de cuántos dispositivos tienen la versión de cliente antimalware

También puede ir a lapágina Diagnósticos de prevención> de pérdida de datos y seleccionar La tarjeta de trabajo DLP de punto de conexión no para comprobar si un dispositivo específico cumple o no los requisitos previos jit.

Captura de pantalla del control flotante revisar diagnósticos que muestra la versión de cliente antimalware para el dispositivo seleccionado

Paso 2: Implementación de la protección JIT

  1. Inicie sesión en el portal de Microsoft Purview.

  2. Seleccione Configuración Protección>just-in-timede prevención> de pérdida de datos.

  3. En Elegir las ubicaciones que se van a supervisar, active la casilla situada junto a Dispositivos.

  4. En Acción de reserva en caso de error, seleccione Permitir que los usuarios completen acciones. Esto permite que la acción del usuario se complete si se produce un error en la clasificación.

Nota:

DLP de punto de conexión crea eventos de auditoría JIT para todas las actividades de salida del usuario independientemente de si están en el ámbito o no.

  1. En Acción de reserva en caso de error, seleccione Permitir que los usuarios completen acciones. Esto permite al usuario completar la acción si se produce un error en la clasificación.

Precaución

NO elija la opción Impedir que los usuarios completen acciones hasta que comprenda completamente el impacto de esta característica.

Debe validar la configuración en cada fase hasta que el número de eventos sea estable y tenga una buena comprensión del tamaño posible del grupo de usuarios al que desea aplicar el modo Aplicar, en función de los siguientes cálculos de telemetría.

Paso 3: Calcular el número de eventos de protección JIT para la implementación

Calcule el impacto de la implementación de la protección JIT realizando el cálculo siguiente en función de los eventos en el explorador de actividad:

  • N = El número de máquinas únicas que desencadenan eventos de protección JIT.
  • S = El número total de máquinas dentro del ámbito de la implementación.

N/S produce un porcentaje de máquinas que pueden experimentar un evento de "bloqueo" de protección JIT."

Con esta información, debe saber cuántas máquinas se verán afectadas por la implementación del modo de bloque JIT al expandir el ámbito y cuántos posibles vales de soporte técnico puede ver. A continuación, puede decidir si desea expandir o no el ámbito.

Paso 4: Ajuste preciso de la protección JIT a través de otras configuraciones adicionales

Además de Retroceder en caso de error, como se describe en el paso 1, también puede usar la siguiente configuración para ajustar la protección JIT:

  • Control de la copia en el Portapapeles: active esta opción si desea impedir que los usuarios copien contenido en el Portapapeles mientras la protección JIT está evaluando el archivo.

Nota:

Activar La copia de control en el Portapapeles podría afectar a la productividad del usuario. Asegúrese de probar el impacto en la productividad antes de activar esta configuración.

  • Exclusiones de aplicaciones para Windows: las aplicaciones que incluyas aquí no se evaluarán mediante la protección JIT en dispositivos Windows.
  • Exclusiones de aplicaciones para Mac: las aplicaciones que incluya aquí no se evaluarán mediante la protección JIT en dispositivos macOS.
  • Exclusiones de extensiones de archivo: la protección JIT no evaluará los archivos con extensiones agregadas aquí.
  • Exclusiones de ruta de acceso de archivo para Windows: la protección JIT no evaluará los archivos de estas ubicaciones.
  • Exclusiones de ruta de acceso de archivo para Mac: la protección JIT no evaluará los archivos de estas ubicaciones.

Si desea cambiar el ámbito de la protección JIT después de ajustar toda esta configuración, puede volver al paso 2.

La diferencia entre la configuración de exclusiones de ruta de acceso de archivo aquí y laconfiguración> del punto de conexiónconfiguración de>prevención> de pérdida de datosExclusiones de ruta de acceso de archivo para la configuración de Windows es que:

  • La configuración de exclusiones de ruta de acceso de archivo aquí solo excluye rutas de acceso de archivo específicas de la protección JIT. En todos los demás casos, Microsoft Purview sigue aplicando la clasificación y protección DLP de punto de conexión para los archivos de esas carpetas.
  • Las exclusiones de ruta de acceso de archivo para la configuración de Windows que se encuentran a través deconfiguración de>prevención> de pérdida de datosConfiguración> del punto de conexiónExclusiones de ruta de acceso de archivo para Windows impide que Purview aplique la clasificación y la protección DLP de punto de conexión para los archivos en las carpetas especificadas.
  • Exclusiones de extensiones de archivo: los archivos con estas extensiones no se evalúan mediante la protección JIT.

Paso 5: Implementación de la protección JIT en "Impedir que los usuarios completen acciones" para la configuración "Acción de reserva en caso de error"

Esta configuración controla el modo de cumplimiento que DLP aplica cuando se produce un error en la clasificación. No controla JIT Block ni JIT Audit para los archivos candidatos JIT, el bloque JIT o la auditoría JIT está controlado por el ámbito. Independientemente del valor que seleccione aquí, la telemetría pertinente se muestra en el explorador de actividad.

Experiencia del usuario de la protección Just-In-Time

Esta es la experiencia del usuario con la versión de cliente antimalware 4.18.25080 o posterior.

Reanudación de la compatibilidad con cada actividad

DLP de punto de conexión reanudará automáticamente estas actividades si la evaluación de directivas se completa en 3 segundos:

  • Copia en un medio extraíble
  • Copiar en un recurso compartido de red

Si la evaluación de directiva tarda más de 3 segundos, el usuario tendrá que repetir la actividad después de que aparezca la notificación del sistema completa de evaluación de directiva JIT.

El usuario debe repetir estas actividades una vez que DLP de punto de conexión complete la evaluación de directivas:

  • Imprimir
  • Copiar o mover mediante el Protocolo de Escritorio remoto (RDP)
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copiar en el Portapapeles: JIT Audit de forma predeterminada

El usuario tendrá que repetir estas actividades después de que DLP del punto de conexión complete la evaluación de directivas:

  • Imprimir
  • Copiar o mover mediante el Protocolo de Escritorio remoto (RDP)
  • Copiar o mover mediante una aplicación Bluetooth no permitida
  • Copiar en el Portapapeles: JIT Audit de forma predeterminada

Realizar actividad en un solo archivo

Cuando un usuario realiza una actividad en un único archivo, DLP del punto de conexión realiza la acción de auditoría JIT cuando:

  • el usuario no está en la configuración ámbito JIT
  • no hay ningún bloque o bloque con invalidación para la actividad
  • la actividad se realiza en una impresora permitida, en un medio extraíble permitido, en un recurso compartido de red permitido o en un sitio web permitido.
  • La evaluación de directivas para el archivo se completa en 5 segundos para la actividad para la que DLP de punto de conexión admite la reanudación JIT. O bien, si la evaluación de archivos se completa en un plazo de 2 segundos para las actividades que DLP de punto de conexión no admite la reanudación JIT.

DLP de punto de conexión bloquea la actividad con notificación (todavía sin alerta) y aplicará JIT Block solo cuando la evaluación de directivas tarde más de 5 segundos.

Realizar actividad en varios archivos

Cuando un usuario realiza una actividad en varios archivos simultáneamente, DLP de punto de conexión realiza la acción de auditoría JIT cuando:

  • el usuario no está en la configuración ámbito JIT
  • no hay ningún bloque o bloque con invalidación para la actividad realizada
  • la actividad se realiza en una impresora permitida, en un medio extraíble permitido o en un recurso compartido de red permitido.

En el caso de los archivos candidatos JIT, DLP de punto de conexión desencadena la evaluación de directivas y consolidará todas las notificaciones de los archivos que finalizan la evaluación de directivas en un plazo de 5 segundos para las actividades que admiten la reanudación, y DLP de punto de conexión reanudará automáticamente la actividad. Si la actividad no admite la reanudación, DLP de punto de conexión desencadena la evaluación de directivas y consolidará todas las notificaciones de los archivos que finalizan la evaluación de directivas en 2 segundos. En ambos casos, DLP de punto de conexión no generará un sistema JIT en curso, sino que solo mostrará el veredicto final de la directiva en el sistema consolidado.

  • Last updated on