Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El explorador de actividades le permite supervisar lo que se hace con el contenido etiquetado. El Explorador de actividades proporciona una vista histórica de las actividades en el contenido etiquetado. La información de actividad procede de los registros de auditoría unificados de Microsoft 365. Se transforma y, a continuación, se hace disponible en la interfaz de usuario del explorador de actividad. El explorador de actividad informa de datos de hasta 30 días.
El Explorador de actividades le ofrece varias maneras de ordenar y ver los datos.
Filtros
Los filtros son los bloques de creación del explorador de actividad. Cada filtro se centra en una dimensión diferente de los datos recopilados. Puede usar aproximadamente 50 filtros individuales diferentes, entre los que se incluyen:
- Intervalo de fechas
- Tipo de actividad
- Ubicación
- Etiqueta de confidencialidad
- Usuario
- IP de cliente
- Nombre del dispositivo
- Está protegido
Para ver todos los filtros, abra el panel de filtros en el explorador de actividad y examine la lista desplegable.
Nota:
Las opciones de filtro se generan en función de los primeros 500 registros para garantizar un rendimiento óptimo. Esta limitación puede hacer que algunos valores no aparezcan en la lista desplegable de filtros. En el caso de los eventos de punto de conexión, solo aparece la regla DLP más restrictiva. Los filtros que se aplican en el explorador de actividad también funcionan en función de esta regla más restrictiva.
Conjuntos de filtros
El explorador de actividades incluye conjuntos predefinidos de filtros para ahorrar tiempo cuando se desea centrarse en una actividad específica. Use conjuntos de filtros para proporcionar rápidamente una vista de las actividades de nivel superior que los filtros individuales. Algunos de los conjuntos de filtros predefinidos son:
- Actividades DLP de punto de conexión
- Etiquetas de confidencialidad aplicadas, modificadas o eliminadas
- Actividades de salida
- Directivas DLP que detectaron actividades
- Actividades DLP de red
- Explorador protegido
También puede crear y guardar sus propios conjuntos de filtros mediante la combinación de filtros individuales.
Microsoft Security Copilot en el Explorador de actividad (versión preliminar)
En versión preliminar, Microsoft Security Copilot en Microsoft Purview se inserta en el explorador de actividad. Puede ayudar a explorar en profundidad de forma eficaz los datos de actividad y ayudarle a identificar actividades, archivos con información confidencial, usuarios y otros detalles que son relevantes para una investigación.
Importante
Asegúrese de comprobar la precisión y la integridad de las respuestas de Security Copilot antes de realizar cualquier acción basada en la información proporcionada. Puede proporcionar comentarios para ayudar a mejorar la precisión de las respuestas.
Búsqueda de datos
Security Copilot aptitudes usan todos los datos disponibles para Microsoft Purview, filtros y conjuntos de filtros disponibles en el explorador de actividades y usan el aprendizaje automático para proporcionarle información sobre la actividad (a veces denominada búsqueda de datos) en los datos que es más importante para usted.
- Mostrarme las 5 actividades principales de la semana pasada
- Filtrar e investigar actividades
- Búsqueda de archivos usados en actividades específicas
Al seleccionar una solicitud, se abre automáticamente la Security Copilot tarjeta lateral y se muestran los resultados de la consulta. A continuación, puede refinar aún más la consulta.
Lenguaje natural para filtrar la generación de conjuntos
Use el cuadro de solicitud para escribir consultas complejas de lenguaje natural para generar conjuntos de filtros. Por ejemplo, puede escribir:
Filter and investigate files copied to cloud with sensitive info type credit card number for past 30 days.
Security Copilot genera un conjunto de filtros para la consulta. Revise el filtro para asegurarse de que se ajusta a sus necesidades y, a continuación, aplíquelo a los datos.
Requisitos previos
Licencias de SKU/suscripciones
Para obtener información sobre las licencias, consulte
Permissions
Una cuenta debe tener asignada explícitamente la pertenencia a cualquiera de estos grupos de roles o debe concederse explícitamente el rol.
Roles y grupos de roles
Use roles y grupos de roles para ajustar los controles de acceso. Para obtener más información, consulte Permisos en el portal de Microsoft Purview.
Roles de Microsoft Purview
- Administrador de Information Protection
- Analista de Information Protection
- Investigador de protección de información
- Lector de protección de información
Grupos de roles de Microsoft Purview
- Protección de la información
- Administradores de Information Protection
- Investigadores de Information Protection
- Analistas de Information Protection
- Lectores de Information Protection
Roles de Microsoft 365
- Administradores de cumplimiento
- Administradores de seguridad
- Administradores de datos de cumplimiento
Grupos de roles de Microsoft 365
- Administrador de cumplimiento
- Administrador de seguridad
- Lector de seguridad
Tipos de actividad
El Explorador de actividades recopila información de los registros de auditoría de varios orígenes de actividades.
Algunos ejemplos de las actividades de etiqueta de confidencialidad y las actividades de etiquetado de retención de aplicaciones nativas de Microsoft Office, el cliente y el analizador de Microsoft Purview Information Protection, SharePoint, Exchange (solo etiquetas de confidencialidad) y OneDrive incluyen:
- Etiqueta aplicada
- Etiqueta cambiada (actualizada, degradada o eliminada)
- Simulación de etiquetado automático
- Archivo leído
Para obtener la lista actual de actividades enumeradas en el Explorador de actividades, vaya al Explorador de actividades y abra el filtro de actividad. La lista de actividades está disponible en la lista desplegable.
La actividad de etiquetado específica del cliente y el analizador de Microsoft Purview Information Protection que entra en el explorador de actividad incluye:
- Protección aplicada
- Protección cambiada
- Protección eliminada
- Archivos detectados
Para obtener información más detallada sobre qué actividad de etiquetado la convierte en explorador de actividad, vea Eventos de etiquetado disponibles en el Explorador de actividad.
Además, el Explorador de actividades recopila eventos de coincidencia de directiva DLP de cargas de trabajo de Microsoft 365, como Exchange, SharePoint, OneDrive, canales y chat de Teams, y carpetas, bibliotecas y recursos compartidos de archivos locales de SharePoint. Al habilitar la prevención de pérdida de datos de punto de conexión (DLP), el Explorador de actividad también incluye actividades de nivel de dispositivo de Windows 10 incorporados, Windows 11 y las tres versiones principales de macOS más recientes.
Algunos eventos de ejemplo recopilados de dispositivos incluyen las siguientes acciones realizadas en archivos:
- Eliminación
- Creación
- Copiar en el portapapeles
- Modify
- Lectura
- Imprimir
- Cambiar nombre
- Copia en el recurso compartido de red
- Acceso mediante una aplicación no permitida
Comprender las acciones que se realizan en el contenido con etiquetas de confidencialidad le ayuda a determinar si los controles que tiene en su lugar, como las directivas de Prevención de pérdida de datos de Microsoft Purview, son eficaces. Si no es así, o si detecta algo inesperado (como un gran número de elementos etiquetados highly confidential que se han degradado a general), puede administrar las directivas y realizar nuevas acciones para restringir el comportamiento no deseado.
Nota:
El Explorador de actividades no supervisa actualmente las actividades de retención de Exchange.
Nota:
Si un usuario notifica el veredicto DLP de Teams como falso positivo, la actividad se muestra como información dlp en la lista del Explorador de actividad. La entrada no tiene detalles de coincidencia de reglas y directivas, pero muestra valores sintéticos. Tampoco se genera ningún informe de incidentes para la generación de informes falsos positivos.
Alertas y eventos de tipo de actividad
En esta tabla se muestran los eventos que desencadena el Explorador de actividad para tres configuraciones de directiva de ejemplo. Los eventos dependen de si se detecta una coincidencia de directiva.
| Configuración de directiva | Evento del Explorador de actividad desencadenado para este tipo de acción | Evento del Explorador de actividad desencadenado cuando se coincide con una regla DLP | Alerta del Explorador de actividad desencadenada |
|---|---|---|---|
| La directiva contiene una sola regla que permite la actividad sin auditarla. | Sí | No | No |
| La directiva contiene dos reglas: se permiten coincidencias para la regla 1; se auditan las coincidencias de directiva de la regla 2. | Sí (Solo regla 2) |
Sí (Solo regla 2) |
Sí (Solo regla 2) |
| La directiva contiene dos reglas: se permiten coincidencias para ambas reglas y no se auditan. | Sí | No | No |