Configurar y ver alertas para las directivas de prevención de pérdida de datosConfigure and view alerts for data loss prevention polices

Las directivas de prevención de pérdida de datos (DLP) pueden tomar medidas de protección para evitar el uso compartido involuntario de elementos confidenciales.Data loss prevention (DLP) polices can take protective actions to prevent unintentional sharing of sensitive items. Cuando se hace una acción en un elemento confidencial, se le puede notificar configurando alertas para DLP.When an action is taken on a sensitive item, you can be notified by configuring alerts for DLP. En este artículo se muestra cómo definir directivas de alerta enriquecciones vinculadas a las directivas de prevención de pérdida de datos (DLP).This article shows you how to define rich alert policies that are linked to your data loss prevention (DLP) policies. Verá cómo usar el nuevo panel de administración de alertas DLP en el centro de cumplimiento de Microsoft 365 para ver alertas, eventos y metadatos asociados para infracciones de directivas DLP.You'll see how to use the new DLP alert management dashboard in the Microsoft 365 compliance center to view alerts, events, and associated metadata for DLP policy violations.

CaracterísticasFeatures

Las siguientes características forman parte de esto:The following features are part of this:

  • Panel de administración de alertas DLP: en el centro de Microsoft 365cumplimiento, este panel muestra alertas de directivas DLP que se aplican en las siguientes cargas de trabajo:DLP alert management dashboard: In the Microsoft 365 compliance center, this dashboard shows alerts for DLP policies that are enforced on the following workloads:

    • ExchangeExchange
    • SharePointSharePoint
    • OneDriveOneDrive
    • TeamsTeams
    • DispositivosDevices
  • Opciones de configuración de alerta avanzada: estas opciones forman parte del flujo de creación de directivas DLP.Advanced alert configuration options: These options are part of the DLP policy authoring flow. Úsenlos para crear configuraciones de alerta enriquecciones.Use them to create rich alert configurations. Puede crear una alerta de un solo evento o una alerta agregada, según el número de eventos o el tamaño de los datos filtrados.You can create a single-event alert or an aggregated alert, based on the number of events or the size of the leaked data.

Antes de empezarBefore you begin

Antes de comenzar, asegúrese de que tiene los requisitos previos necesarios:Before you begin, make sure you have the necessary prerequisites:

  • Licencias para el panel de administración de alertas DLPLicensing for the DLP alerts management dashboard
  • Licencias para opciones de configuración de alertasLicensing for alert configuration options
  • FuncionesRoles

Licencias para el panel de administración de alertas DLPLicensing for the DLP alert management dashboard

Todos los inquilinos elegibles para Office 365 DLP pueden acceder al nuevo panel de administración de alertas DLP.All eligible tenants for Office 365 DLP can access the new DLP alert management dashboard. Para empezar, debes ser elegible para dlp Office 365 para Exchange Online, SharePoint Online y OneDrive para la Empresa.To get started, you should be eligible for Office 365 DLP for Exchange Online, SharePoint Online, and OneDrive for Business. Para obtener más información acerca de los requisitos de licencia para Office 365 DLP, vea ¿Qué licencias proporcionan los derechos para que un usuario se beneficie del servicio?.For more information about the licensing requirements for Office 365 DLP, see Which licenses provide the rights for a user to benefit from the service?.

Los clientes que usan DLP de extremo que son elegibles para Teams DLP verán sus alertas de directiva DLP de punto de conexión y Teams de directivas DLP en el panel de administración de alertas dlp.Customers who use Endpoint DLP who are eligible for Teams DLP will see their endpoint DLP policy alerts and Teams DLP policy alerts in the DLP alert management dashboard.

Licencias para opciones de configuración de alertasLicensing for alert configuration options

  • Configuración de alerta de evento único: las organizaciones que tienen una suscripción A1, F1 o G1 o una suscripción A3 o G3 solo pueden crear directivas de alerta cuando se desencadena una alerta cada vez que se produce una actividad.Single-event alert configuration: Organizations that have an E1, F1, or G1 subscription or an E3 or G3 subscription can create alert policies only where an alert is triggered every time an activity occurs.
  • Configuración de alerta agregada: para configurar directivas de alerta agregadas basadas en un umbral, debe tener una de las siguientes configuraciones:Aggregated alert configuration: To configure aggregate alert policies based on a threshold, you must have either of the following configurations:
    • Una suscripción A5 o G5An E5 or G5 subscription
    • Una suscripción E1, F1 o G1 o una suscripción A3 o G3 que incluye una de las siguientes características:An E1, F1, or G1 subscription or an E3 or G3 subscription that includes one of the following features:
      • Protección contra amenazas avanzada de Office 365 (plan 2)Office 365 Advanced Threat Protection Plan 2
      • Cumplimiento de Microsoft 365 E5Microsoft 365 E5 Compliance
      • Microsoft 365 de complementos de eDiscovery y AuditMicrosoft 365 eDiscovery and Audit add-on license

FuncionesRoles

Si desea ver el panel de administración de alertas DLP o editar las opciones de configuración de alertas en una directiva DLP, debe ser miembro de uno de estos grupos de roles:If you want to view the DLP alert management dashboard or to edit the alert configuration options in a DLP policy, you must be a member of one of these role groups:

  • Administrador de cumplimientoCompliance Administrator
  • Administrador de datos de cumplimientoCompliance Data Administrator
  • Administrador de seguridadSecurity Administrator
  • Operador de seguridadSecurity Operator
  • Lector de seguridadSecurity Reader

Para obtener acceso al panel de administración de alertas DLP, necesita el rol Administrar alertas y cualquiera de los siguientes roles:To access the DLP alert management dashboard, you need the Manage alerts role and either of the following roles:

  • Administración de cumplimiento de DLPDLP Compliance Management
  • View-Only de cumplimiento dlpView-Only DLP Compliance Management

Experiencia de configuración de alertasAlert configuration experience

Si es elegible para opciones de configuración de alerta agregadas,verá las siguientes opciones en línea en la experiencia de creación de directivas DLP.If you're eligible for aggregated alert configuration options, then you see the following options inline in the DLP policy authoring experience.

Captura de pantalla que muestra las opciones de los informes de incidentes para los usuarios que son aptos para opciones de configuración de alerta agregadas.

Puede usar estas opciones de configuración de alertas para configurar una configuración que defina la frecuencia con la que se puede producir una coincidencia de reglas DLP antes de que se desencadene una alerta.You can use these alert configuration options to configure a setting that defines how often a DLP rule match can occur before an alert is triggered. Esta configuración permite configurar una directiva para generar una alerta cada vez que una actividad coincide con las condiciones de la directiva o cuando se supera un umbral determinado, en función del número de actividades o en función del volumen de datos exfiltrados.This configuration allows you to set up a policy to generate an alert every time an activity matches the policy conditions or when a certain threshold is exceeded, based on the number of activities or based on the volume of exfiltrated data.

Si es elegible para las opcionesde configuración de alertas de un solo evento, verá la siguiente opción de configuración de alertas en la experiencia de creación de directivas DLP.If you're eligible for single-event alert configuration options, then you see the following alert configuration option in the DLP policy authoring experience. Use esta opción para crear una alerta que se genera cada vez que se produce una coincidencia de regla DLP debido a una actividad del usuario.Use this option to create an alert that's raised every time a DLP rule match happens because of a user activity.

Captura de pantalla que muestra las opciones de los informes de incidentes para los usuarios que son aptos para opciones de configuración de alertas de un solo evento.

Panel de administración de alertas DLPDLP alert management dashboard

Para trabajar con el panel de administración de alertas DLP:To work with the DLP alert management dashboard:

  1. En el centro Microsoft 365 cumplimiento,vaya a Prevención de pérdida de datos.In the Microsoft 365 compliance center, go to Data Loss Prevention.

  2. Seleccione la pestaña Alertas para ver el panel de alertas dlp.Select the Alerts tab to view the DLP alerts dashboard.

    • Elija filtros para refinar la lista de alertas.Choose filters to refine the list of alerts. Elija Personalizar columnas para enumerar las propiedades que desea ver.Choose Customize columns to list the properties you want to see. También puede elegir ordenar las alertas en orden ascendente o descendente en cualquier columna.You can also choose to sort the alerts in ascending or descending order in any column.

    • Seleccione una alerta para ver los detalles:Select an alert to see details:

      Captura de pantalla que muestra detalles de alertas en el panel de administración de alertas DLP.

  3. Seleccione la pestaña Eventos para ver todos los eventos asociados con la alerta.Select the Events tab to view all of the events associated with the alert. Puede elegir un evento en particular para ver sus detalles.You can choose a particular event to view its details. En la tabla siguiente se muestran algunos de los detalles del evento.The following table shows some of the event details.

    CategoríaCategory Nombre de propiedadProperty name DescripciónDescription Tipos de eventos aplicablesApplicable event types
    Detalles del eventoEvent details
    IdId Identificador único asociado al eventoUnique ID associated with the event Todos los eventosAll events
    UbicaciónLocation Carga de trabajo donde se detectó el eventoWorkload where the event was detected Todos los eventosAll events
    Tiempo de actividadTime of activity Hora de la actividad del usuario que provocó la infracción de DLPTime of the user activity that caused the DLP violation Todos los eventosAll events
    Entidades afectadasImpacted entities
    UsuarioUser Usuario que causó la infracción de DLPUser who caused the DLP violation Todos los eventosAll events
    Nombre de hostHostname Nombre de host del equipo donde se detectó la infracción de DLPHost name of the machine where the DLP violation was detected Eventos de dispositivosDevices events
    Dirección IPIP address Dirección IP del equipoIP address of the machine Eventos de dispositivosDevices events
    Ruta de acceso de archivoFile path Ruta absoluta del archivo implicado en la infracciónAbsolute path of the file involved in the violation SharePoint, eventos OneDrive y DispositivosSharePoint, OneDrive, and Devices events
    Destinatarios de correo electrónicoEmail recipients Destinatarios del correo electrónico que infringió la directiva DLPRecipients of the email that violated the DLP policy Exchange eventosExchange events
    Asunto del correo electrónicoEmail subject Asunto del correo electrónico que infringió la directiva DLPSubject of the email that violated the DLP policy Exchange eventosExchange events
    Datos adjuntos de correo electrónicoEmail attachments Nombres de los datos adjuntos del correo electrónico que infringió la directiva DLPNames of the attachments in the email that violated the DLP policy Exchange eventosExchange events
    Propietario del sitioSite owner Nombre del propietario del sitioName of the site owner SharePoint y OneDrive eventosSharePoint and OneDrive events
    Dirección URL del sitioSite URL Dirección URL completa del SharePoint o OneDrive sitioFull URL of the SharePoint or OneDrive site SharePoint y OneDrive eventosSharePoint and OneDrive events
    Archivo creadoFile created Hora de creación de archivosTime of file creation SharePoint y OneDrive eventosSharePoint and OneDrive events
    Archivo modificado por última vezFile last modified Hora de la última modificación del archivoTime of the last modification of the file SharePoint y OneDrive eventosSharePoint and OneDrive events
    Tamaño de archivosFile size Tamaño del archivoSize of the file SharePoint y OneDrive eventosSharePoint and OneDrive events
    Propietario del archivoFile owner Propietario del archivoOwner of the file SharePoint y OneDrive eventosSharePoint and OneDrive events
    Detalles de la directivaPolicy details
    Directiva DLP coincidenteDLP policy matched Nombre de la directiva DLP coincidenteName of the DLP policy that was matched Todos los eventosAll events
    Regla coincidenteRule matched Nombre de la regla DLP en la directiva DLP coincidenteName of the DLP rule in the DLP policy that was matched Todos los eventosAll events
    Tipos de información confidencial detectadosSensitive info types detected Tipos de información confidencial que se detectaron como parte de la directiva DLPSensitive information types that were detected as a part of the DLP policy Todos los eventosAll events
    Acciones realizadasActions taken Acciones realizadas como parte de la directiva DLP coincidenteActions taken as a part of the matched DLP policy Todos los eventosAll events
    Directiva de sobresalto de usuarioUser overrode policy Si el usuario superó la directiva a través de la sugerencia de directivaWhether the user overrode the policy through the policy tip Todos los eventosAll events
    Invalidar texto de justificaciónOverride justification text Justificación proporcionada para invalidar la sugerencia de directivaJustification provided to override the policy tip Todos los eventosAll events
  4. Seleccione la pestaña Tipos de información confidencial para ver detalles sobre los tipos de información confidencial detectados en el contenido.Select the Sensitive Info Types tab to view details about the sensitive information types detected in the content. Los detalles incluyen confianza y recuento.Details include confidence and count.

  5. Después de investigar la alerta, elija Administrar alerta para cambiar el estado (Active, Investigating, Dismissed o Resolved).After you investigate the alert, choose Manage alert to change the status (Active, Investigating, Dismissed, or Resolved). También puede agregar comentarios y asignar la alerta a alguien de su organización.You can also add comments and assign the alert to someone in your organization.

    • Para ver el historial de administración de flujos de trabajo, elija Registro de administración.To see the history of workflow management, choose Management log.
    • Después de realizar la acción necesaria para la alerta, establezca el estado de la alerta en Resuelto.After you take the required action for the alert, set the status of the alert to Resolved.