Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
El explorador de contenido de Insider Risk Management permite a los usuarios asignados el rol Insider Risk Management Investigators examinar el contexto y los detalles del contenido asociado a la actividad en las alertas. Los datos de casos del Explorador de contenido se actualizan diariamente para incluir una nueva actividad de riesgo. Para todas las alertas que se confirman en un caso, la solución archiva copias de los archivos de datos y mensajes como una instantánea en el tiempo de los elementos, a la vez que mantiene los archivos y mensajes originales en los orígenes de almacenamiento. Si es necesario, puede exportar archivos de datos de casos como un archivo de documento portátil (PDF) o en el formato de archivo original.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Uso del Explorador de contenido para ver los detalles de un caso específico
Para examinar los correos electrónicos y los archivos capturados por las directivas incluidas en un caso específico, vaya a la página Insider Risk Management Cases (Casos de administración de riesgos internos) y seleccione la fila nombre del caso en la lista para el caso para el que desea ver los detalles. A continuación, en la página de detalles del caso, seleccione la pestaña Explorador de contenido para abrir el Explorador de contenido.
Importante
Después de confirmar una alerta para un caso, el Explorador de contenido no muestra detalles para ese caso si la organización no ha asignado un usuario al grupo de roles Insider Risk Management Investigators o Insider Risk Management .
El Explorador de contenido incluye actividades de usuario relacionadas con archivos de servicio de Microsoft 365, como la actividad de usuario en SharePoint, Exchange y OneDrive para la Empresa. En los casos nuevos, el contenido suele tardar aproximadamente una hora en rellenarse en el Explorador de contenido. En los casos con grandes cantidades de contenido, puede tardar más tiempo en crear una instantánea. Si el contenido se sigue cargando en el Explorador de contenido, verá un indicador de progreso que muestra el porcentaje de finalización.
En algunos casos, es posible que no pueda revisar los datos asociados a un caso como instantánea en el Explorador de contenido. Esta situación puede producirse al eliminar o mover datos de mayúsculas y minúsculas, o cuando se produce un error temporal al procesar datos de casos. Si se produce esta situación, seleccione Ver archivos en la barra de advertencia para ver los nombres de archivo, la ruta de acceso del archivo y el motivo del error de cada archivo. Si es necesario, puede exportar esta información a un archivo .csv (valores separados por comas).
Si el contenido incluye permisos de Information Rights Management, estos permisos se mantienen para el contenido copiado y los usuarios asignados al rol Investigadores de Insider Risk Management necesitan estos permisos y derechos si necesitan abrir y ver los archivos. A cada archivo y mensaje se le asigna automáticamente un identificador de archivo único en el caso de Insider Risk Management con fines de administración. Los documentos asociados a las actividades de indicador de dispositivo no se incluyen en el Explorador de contenido.
Nota:
Después de que un caso esté activo durante más de 30 días, el Explorador de contenido no se actualiza para reflejar las nuevas actividades. Para actualizar el explorador de contenido con nuevas actividades para un usuario en este escenario, resuelva el caso y abra un nuevo caso para el usuario.
Opciones de visualización
Vista de origen de datos
El Visor de origen muestra la vista más enriquecida de un documento seleccionado. Es compatible con cientos de tipos de archivo y su intención es mostrar la experiencia nativa más verdadera posible. En el caso de los archivos de Microsoft Office, el visor usa la versión web de las aplicaciones de Office para mostrar contenido como comentarios de documentos, chats de Microsoft Teams, fórmulas de Excel, filas y columnas ocultas y notas de PowerPoint.
Vista de texto sin formato
El Visor de texto sin formato (versión preliminar) proporciona una vista del texto extraído de un archivo seleccionado. Omite las imágenes incrustadas y el formato, pero es útil si desea comprender el contenido rápidamente. La vista de texto también incluye estas características:
- El contador de líneas facilita la referencia a partes específicas de un documento
- Resaltado de aciertos de búsqueda que resalta los términos dentro del documento y en la barra de desplazamiento
Vista de Anotar
La vista Anotar (versión preliminar) proporciona características que permiten aplicar el marcado en un documento seleccionado, incluida la capacidad de:
- Seleccionar anotaciones: seleccione las anotaciones de un documento que desea eliminar.
- Seleccionar texto: seleccione texto en el documento que desea eliminar.
- Censuras de área: dibuje un cuadro en el documento para ocultar contenido confidencial
- Lápiz: dibujo a mano libre en colores seleccionables en un documento para llamar la atención sobre ciertas partes de un documento
- Alternar transparencia de anotación: hacer que las anotaciones sean semitransparentes para ver el contenido detrás de la anotación
- Página anterior: Vaya a la página anterior
- Página siguiente: Vaya a la página siguiente.
- Ir a la página: escriba un número de página específico al que navegar
- Zoom: establecer el nivel de zoom para anotar la vista
- Girar: girar el documento en el sentido de las agujas del reloj
Vista de metadatos
El panel de la vista Metadatos (versión preliminar) muestra varios metadatos asociados al documento seleccionado. Busque metadatos específicos mediante el campo Nombre de metadatos de búsqueda .
Puede activar o desactivar el panel de la vista Metadatos para mostrar varios metadatos asociados al documento seleccionado. Aunque puede personalizar la cuadrícula de resultados de búsqueda para mostrar metadatos específicos, hay instancias en las que el desplazamiento horizontal puede ser difícil al revisar los datos. El panel Metadatos de archivo le permite alternar en una vista dentro del visor.
Opciones de grupo
Use el control Group para ver el contenido agrupado por las siguientes opciones:
- Agrupar por familias: todos los elementos relacionados con un archivo específico se agrupan con el mismo identificador de grupo. Por ejemplo, si tiene un archivo de PowerPoint en la alerta que incluye imágenes insertadas o archivos .zip, estas imágenes y archivos se agrupan con el archivo de PowerPoint y se muestran como elementos anidados con el archivo en la vista de lista de elementos. Microsoft 365 Copilot y Microsoft 365 Copilot Chat las solicitudes y respuestas del usuario también se agrupan con el mismo identificador de grupo cuando hay varias solicitudes y respuestas asociadas a un archivo.
- Agrupar por conversaciones y elementos relacionados: todos los mensajes de correo electrónico, las conversaciones de Teams y las conversaciones Viva Engage se agrupan con el mismo identificador de subproceso y aparecen como elementos anidados. Además, todo el contenido asociado a estos mensajes y conversaciones también se agrupa. Por ejemplo, si tiene una conversación de correo electrónico que incluye varios mensajes de correo electrónico, algunos de los cuales incluyen datos adjuntos y otros que incluyen imágenes incrustadas, todos los mensajes de correo electrónico, los datos adjuntos y las imágenes se agrupan en la vista de lista de alertas en un elemento aplicable.
Opciones de columna
Para ayudar a los analistas e investigadores de riesgo a revisar los datos y los mensajes capturados, el Explorador de contenido incluye varias herramientas de filtrado y ordenación. Para la ordenación básica, las columnas de clase Date y File admiten la ordenación mediante los títulos de columna en el panel de la cola de contenido. Puede agregar otras columnas de cola a la vista para proporcionar diferentes dinámicas en los archivos y mensajes.
Para agregar, quitar o reordenar encabezados de columna para la cola de contenido, use el control Personalizar columnas y seleccione una de las siguientes opciones de columna. Estas columnas se asignan a las condiciones comunes, de correo electrónico y de propiedad de documento admitidas en el Explorador de contenido.
Para ver los resultados en UTC o la hora local, cambie la opción Zona horaria en la barra de acciones.
| Opción Columna | Descripción |
|---|---|
| Author | El campo de autor de los documentos de Office, que persiste si se copia un documento. Por ejemplo, si un usuario crea un documento y lo envía por correo electrónico a otra persona que luego lo carga en SharePoint, el documento conserva el autor original. |
| Bcc | Disponibles para los mensajes de correo electrónico, los usuarios en el campo mensaje CCO. |
| Cc | Disponible para los mensajes de correo electrónico, los usuarios en el campo Mensaje cc. |
| Ruta de acceso compuesta | Ruta de acceso legible humana que describe el origen del elemento. |
| Identificador de conversación | Identificador de conversación del mensaje. |
| Índice de conversación | Índice de conversación del mensaje. |
| Tiempo de creación | La hora en que se creó el archivo o el mensaje de correo electrónico. |
| Fecha (UTC) | Para correo electrónico, la fecha en que un destinatario recibió un mensaje o en que un remitente envió un mensaje. En el caso de los documentos, la fecha en que se modificó por última vez un documento. La fecha está en hora universal coordinada (UTC). |
| Tema dominante | Tema dominante calculado para el análisis. |
| Email id. de conjunto | Id. de grupo para todos los mensajes del mismo conjunto de correo electrónico. |
| Id. de familia | Id. de familia agrupa todos los elementos; para el correo electrónico, esta columna incluye el mensaje y todos los datos adjuntos; para los documentos, esta columna incluye el documento y los elementos incrustados. |
| Clase de archivo | Para el contenido de SharePoint y OneDrive: Documento; para el contenido de Exchange: Email o datos adjuntos. |
| Id. de archivo | Identificador de documento único dentro del caso. |
| Icono de tipo de archivo | Extensión de un archivo; por ejemplo, docx, one, pptx o xlsx. Este campo es la misma propiedad que la propiedad de sitio FileExtension. |
| Id. | Identificador GUID del archivo. |
| Identificador inmutable | Identificador inmutable almacenado en Office 365. |
| Tipo inclusivo | Tipo inclusivo calculado para el análisis: 0 - no inclusivo; 1 - inclusivo; 2 - inclusive menos; 3 - copia inclusiva. |
| Última modificación | La fecha en la que el documento se modificó por última vez. |
| Marcado como representativo | Un documento de cada conjunto de duplicados exactos se marca como representantes. |
| Tipo de mensaje | Tipo de mensaje de correo electrónico que se va a buscar. Valores posibles: contactos, documentos, correo electrónico, datos externos, faxes, mi, diarios, reuniones, microsoft teams (devuelve elementos de chats, reuniones y llamadas en Microsoft Teams), notas, publicaciones, fuentes RSS, tareas, correo de voz |
| Participantes | Lista de todos los participantes de un mensaje; por ejemplo, Sender, To, Cc, Bcc. |
| Identificador dinámico | Identificador de una tabla dinámica. |
| Received | La fecha en la que un destinatario recibió un mensaje de correo electrónico. Este campo es la misma propiedad que la propiedad De correo electrónico recibido. |
| Destinatarios | Todos los campos de destinatario de un mensaje de correo electrónico. Estos campos son To, Cc y Bcc. |
| Id. de representante | Identificador numérico de cada conjunto de duplicados exactos. |
| Sender | El remitente de un mensaje de correo electrónico. |
| Remitente/autor | Para correo electrónico, la persona que envió un mensaje. Para los documentos, la persona mencionada en el campo del autor de documentos de Office. Puede escribir más de un nombre, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. |
| Tipos de información confidencial | Tipos de información confidencial identificados en el contenido. |
| Etiquetas de confidencialidad | Las etiquetas de confidencialidad aplicadas al contenido. |
| Sent | La fecha en la que un remitente envió un mensaje de correo electrónico. Este campo es la misma propiedad que la propiedad Correo electrónico enviado. |
| Size | Para los correos electrónicos y documentos, el tamaño del elemento (en bytes). |
| Asunto | El texto en la línea de asunto de un mensaje de correo electrónico. |
| Asunto o título | Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. Como se explicó anteriormente, la propiedad Title es metadatos especificados en documentos de Microsoft Office. Puede escribir el nombre de más de un asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. |
| Lista de temas | Lista de temas calculada para el análisis. |
| Title | El título del documento. La propiedad Título son metadatos que se especifican en los documentos de Office. Es diferente del nombre de archivo del documento. |
| Para | Destinatario de un mensaje de correo electrónico en el campo Para. |
Filtrado
Use uno o varios filtros para restringir el ámbito de una búsqueda y devolver un conjunto de resultados más refinado. Para establecer un filtro, seleccione Consulta (versión preliminar) en la parte superior de la cola de contenido. Muchos filtros incluyen condiciones adicionales para ayudar a restringir los resultados devueltos por el filtro. Por ejemplo, el filtro Fecha incluye controles para configurar una fecha de inicio y una fecha de finalización para el filtro Fecha . Para guardar consultas para su uso futuro, seleccione Guardar filtros y siga las indicaciones. Seleccione uno o varios elementos de filtro de las categorías de ejemplo siguientes:
Filtros comunes
| Filter | Descripción |
|---|---|
| Fecha (UTC) | Para correo electrónico, la fecha en que un destinatario recibió un mensaje o en que un remitente envió un mensaje. En el caso de los documentos, la fecha en que se modificó por última vez un documento. |
| Remitente/autor | Para correo electrónico, la persona que envió un mensaje. En el caso de los documentos, la persona citada en el campo Autor de documentos de Office. Escriba más de un nombre, separado por comas. |
| Source | Ubicación del documento en la organización. Por ejemplo, una ubicación de sitio de SharePoint específica. |
| Asunto o título | Para correo electrónico, el texto en la línea de asunto de un mensaje. Para los documentos, el título del documento. La propiedad Title de los documentos es metadatos especificados en documentos de Microsoft Office. Escriba el nombre de más de un asunto o título, separados por comas. Dos o más valores están conectados de forma lógica por el operador de OR. |
Filtros de correo electrónico
| Filter | Descripción |
|---|---|
| Bcc | Campo CCO de un mensaje de correo electrónico. |
| Cc | Campo Cc de un mensaje de correo electrónico. |
| Tiene datos adjuntos | Indica si un mensaje tiene datos adjuntos. Los valores se muestran como true o false. |
| Es datos adjuntos de correo electrónico | Si el documento es un archivo adjunto, el valor aparece como Sí. |
| Es un documento incrustado | Si el documento está incrustado en el mensaje de correo electrónico, el valor aparece como Sí. |
| Es datos adjuntos insertados | Si el documento es un archivo adjunto insertado en el mensaje de correo electrónico, el valor aparece como Sí. |
| Participantes | Todos los campos de personas de un mensaje de correo electrónico. Estos campos son From, To, Cc y Bcc. |
| Received | La fecha en la que un destinatario recibió un mensaje de correo electrónico. |
| Dominios de destinatario | Lista de todos los dominios de destinatarios de un mensaje. |
| Destinatarios | Destinatarios del mensaje de correo electrónico. |
| Dominio del remitente | Dominio del remitente. |
| Sender | Campo Remitente (Desde) para los tipos de mensaje. El formato es DisplayName <SmtpAddress>. |
| Para | El campo Para de un mensaje de correo electrónico. |
| Único en el conjunto de correo electrónico | False si hay un duplicado de los datos adjuntos en su conjunto de correo electrónico. |
Filtros de documento
| Filters | Descripción |
|---|---|
| Etiquetas de cumplimiento | Etiquetas de cumplimiento aplicadas en Microsoft 365. |
| Hora de creación (UTC) | Fecha y hora en que se creó el archivo o mensaje de correo electrónico. La fecha y hora están en hora universal coordinada (UTC). |
| Extensión de archivo | Tipo de extensión del archivo. |
| Fecha de última modificación (UTC) | La fecha en la que el documento se modificó por última vez. La fecha y hora están en hora universal coordinada (UTC). |
| Eventos de actividad de usuario | Actividad de los elementos relacionados con una actividad de usuario específica en un caso. Por ejemplo, al seleccionar un vínculo a "Explorar contenido" para una actividad en la página Actividad del usuario de un caso, este filtro se usa para mostrar elementos relacionados con esa actividad. |
| Producto de trabajo | Tipo de producto de trabajo para el documento. Por ejemplo, anotaciones o etiquetas en el documento. |
Filtros avanzados
Los filtros avanzados (versión preliminar) permiten crear filtros más flexibles y granulares. Esta funcionalidad avanzada de filtrado le permite:
- Busque rápidamente condiciones de filtro.
- Cree filtros complejos mediante subgrupos, AND o CONDICIONES OR .
- Cambie fácilmente las consultas con Borrar todo y Restablecer todos los controles.
- Administre los filtros guardados sin tener que navegar a otra área.
- Use Is empty (Está vacío ) y Is not empty conditions (Condiciones no vacías ) para cada filtro.
Tipos de filtro
Cada campo que se puede buscar en una alerta tiene un filtro correspondiente que puede usar para filtrar elementos en función de un campo específico.
Hay varios tipos de filtros:
- Freetext: se aplica un filtro de texto libre a campos de texto como Subject. Puede enumerar varios términos de búsqueda si los separa con una coma.
- Fecha: se usa un filtro de fecha para campos de fecha como Fecha de última modificación.
- Opciones de búsqueda: un filtro de opciones de búsqueda proporciona una lista de valores posibles (cada valor se muestra con una casilla que puede seleccionar) para campos concretos en la revisión. Este filtro se usa para campos, como Sender, donde hay un número finito de valores posibles en la alerta.
-
Palabra clave: una condición de palabra clave es una instancia específica de la condición freetext que puede usar para buscar términos. También puede usar el lenguaje de consulta de palabras clave (KeyQL) en este tipo de filtro. Para obtener más información, vea [Lenguaje de consulta]( #
) y [Generador de consultas avanzadas]( # ) de este artículo.
Controles de filtro avanzados
Para crear un filtrado personalizado para los resultados de la búsqueda, use los siguientes controles:
- AND/OR: estos operadores lógicos condicionales permiten seleccionar la condición de consulta que se aplica a filtros y subgrupos de filtro específicos. Estos operadores permiten usar varios filtros o subgrupos conectados a un único filtro en la consulta.
- Agregar condiciones: permite agregar varias condiciones de filtrado a la consulta. Está disponible después de haber definido al menos un filtro de consulta.
- Seleccionar un operador: en función del filtro seleccionado, los operadores compatibles con el filtro están disponibles para seleccionar. Por ejemplo, si se selecciona el filtro Date , los operadores disponibles son Before, After y Between. Si se selecciona el filtro Tamaño (en bytes), los operadores disponibles son Mayor que, Mayor o igual, Menor que, Menor o igual, Entre y Igual. Si se trata de un nombre de archivo, identificador o palabra clave, los operadores disponibles son Igual a cualquiera de, Igual ninguno de, Contiene todo, Contiene cualquiera de, Contiene ninguno de, Está vacío o No está vacío.
- Valor: en función del filtro seleccionado, están disponibles los valores compatibles con el filtro. Además, algunos filtros admiten varios valores y algunos filtros admiten un valor específico. Por ejemplo, si el filtro Fecha está seleccionado, seleccione valores de fecha. Si está seleccionado el filtro Tamaño (en bytes), seleccione un valor para bytes.
- Agregar subgrupo: después de definir un filtro, puede agregar un subgrupo para refinar los resultados devueltos por el filtro. También puede agregar un subgrupo a un subgrupo para el refinamiento de consultas multicapa.
- Guardar: permite guardar el conjunto actual de filtros, condiciones y operadores para su uso futuro. Estas consultas guardadas son específicas del usuario.
- Quitar una condición de filtro: para quitar un filtro o subgrupo individuales, seleccione el icono quitar situado a la derecha de cada línea de filtro o subgrupo.
- Borrar todo: para borrar toda la consulta de todos los filtros y subgrupos, seleccione Borrar todo.