Obtenga más información sobre la prevención de pérdida de datos de Microsoft 365 de punto de conexión

Puede usar la prevención de pérdida de datos (DLP) de Microsoft 365 para supervisar las acciones que se realizan en elementos que ha determinado que son confidenciales y para ayudar a evitar el uso compartido accidental de estos elementos. Para más información sobre DLP en punto de conexión de Microsoft, consulte Obtenga más información acerca de la prevención contra la pérdida de datos.

La prevención de pérdida de datos en punto de conexión (Endpoint DLP) amplía la supervisión de la actividad y las capacidades de protección de DLP a elementos confidenciales que estén en dispositivos con Windows 10. Una vez que los dispositivos están incorporados en las soluciones del Centro de cumplimiento de Microsoft 365, la información sobre las acciones de los usuarios relacionadas con los elementos confidenciales se hace visible en elexplorador de actividades, y se pueden aplicar acciones de protección a estos elementos mediante directivas DLP.

Sugerencia

Si está buscando el control de dispositivos para el almacenamiento extraíble, consulte Control de dispositivo de Microsoft Defender para punto de conexión extraíble en el control de acceso de almacenamiento.

Actividades en punto de conexión que puede supervisar y sobre las que puede tomar medidas

DLP de punto de conexión de Microsoft le permite auditar y administrar los tipos de actividades que se detallan a continuación y en las que los usuarios se enfrentan a elementos confidenciales que están almacenados en los dispositivos con Windows 10.

Actividad Descripción Auditable/restringible
cargar en el servicio en la nube o acceso por exploradores no permitidos Detecta cuándo un usuario intenta cargar un elemento en un dominio de servicio restringido o tener acceso a un elemento con un explorador. Si usa un explorador que se muestra en DLP como un explorador que no es el permitido, la actividad de carga se bloqueará y se redirigirá al usuario para usar la arista de cromo. Por último, cromo puede permitir o bloquear la carga o el acceso en función de la configuración de la Directiva DLP. auditable y restringible
copiar a otra aplicación Se detecta cuando un usuario intenta copiar información de un elemento protegido y, a continuación, lo pega en otra aplicación, proceso o elemento. Esta actividad no detecta la copia y el pegado de información dentro de la misma aplicación, proceso o elemento. auditable y restringible
copiar en un medio extraíble USB Detecta cuando un usuario intenta copiar un elemento o información en un medio extraíble o un dispositivo USB. auditable y restringible
Copiar en un recurso compartido de red Detecta cuando un usuario intenta copiar un elemento en un recurso compartido de red o en una unidad de red asignada auditable y restringible
imprimir un documento Detecta cuando un usuario intenta imprimir un elemento protegido en una impresora local o de red. auditable y restringible
copiar a una sesión remota Detecta cuando un usuario intenta copiar un elemento a una sesión de escritorio remoto auditable y restringible
copiar en un dispositivo Bluetooth Detecta cuando un usuario intenta copiar un elemento en una aplicación Bluetooth no permitida (según se define en la lista de aplicaciones de Bluetooth no permitidas en la configuración del punto de conexión DLP). auditable y restringible
crear un elemento Detecta cuándo un usuario crea un elemento auditable
cambiar el nombre de un elemento Detecta cuando un usuario cambia el nombre de un elemento auditable

Archivos supervisados

La DLP en punto de conexión admite la supervisión de estos tipos de archivo. La DLP en punto de conexión audita las actividades para estos tipos de archivo, incluso si no hay una coincidencia de directiva.

  • archivos de Word
  • archivos de PowerPoint
  • archivos de Excel
  • archivos PDF
  • archivos .csv
  • archivos .tsv
  • archivos .txt
  • archivos .rtf
  • archivos .c
  • archivos .class
  • archivos .cpp
  • archivos .cs
  • archivos .h
  • archivos .java

Si solo quiere supervisar los datos de las coincidencias de directivas, puede desactivar Auditar siempre para la actividad de archivos de los dispositivos en la configuración global de DLP en punto de conexión.

Nota

Si la configuración Auditar siempre la actividad de archivos para dispositivos está instalada, las actividades de cualquier archivo Word, PowerPoint, Excel, PDF y .csv siempre se auditan, incluso si el dispositivo no está dirigido por ninguna directiva.

DLP en punto de conexión supervisa la actividad basada en un tipo de extensiones multipropósito de correo Internet (MIME), por lo que las actividades se capturan incluso si se cambia la extensión de archivo.

¿Qué es diferente en DLP en punto de conexión?

Debe tener en cuenta algunos conceptos adicionales antes de profundizar en DLP en punto de conexión.

Habilitar la administración de dispositivos

La administración de dispositivos es la funcionalidad que permite la colección de telemetría desde dispositivos y la incluye en las soluciones de cumplimiento de Microsoft 365 como DLP en punto de conexión y la administración de riesgos internos. Necesitará incorporar todos los dispositivos que quiera usar como ubicaciones en directivas DLP.

habilitar la administración de dispositivos.

La incorporación y la retirada se controlan mediante scripts que se descargan desde el centro de administración de dispositivos. El centro tiene scripts personalizados para cada uno de estos métodos de implementación:

  • script local (hasta 10 equipos)
  • Directiva de grupo
  • System Center Configuration Manager (versión 1610 o posterior)
  • Administración de dispositivos móviles/Microsoft Intune
  • Scripts de incorporación de VDI para equipos no persistentes

página de incorporación de dispositivos.

Use los procedimientos descritos en Introducción a DLP en punto de conexión de Microsoft 365 para incorporar dispositivos.

Si incorporó dispositivos a través de Protección contra amenazas avanzada de Microsoft Defender, estos dispositivos se mostrarán automáticamente en la lista de dispositivos.

lista de dispositivos administrados.

Visualizar datos de DLP en punto de conexión

Puede ver las alertas relacionadas con las directivas DLP ejecutadas en los dispositivos de punto de conexión si va al Panel de administración de alertas de DLP.

Información de la alerta.

También puede ver los detalles del evento asociado con metadatos enriquecidos en el mismo panel

información del evento.

Una vez que se incorpora un dispositivo, la información sobre las actividades auditadas fluye al explorador de actividad, incluso antes de que configure e implemente las directivas DLP que tienen dispositivos como ubicación.

eventos de DLP en punto de conexión en el explorador de actividad.

DLP en punto de conexión recopila información exhaustiva sobre la actividad auditada.

Por ejemplo, si se copia un archivo a un medio USB extraíble, vería estos atributos en los detalles de actividad:

  • tipo de actividad
  • IP del cliente
  • ruta de acceso del archivo de destino
  • ocurrió una marca de tiempo
  • nombre de archivo
  • usuario
  • extensión de archivo
  • tamaño de archivo
  • tipo de información confidencial (si corresponde)
  • valor sha1
  • valor sha256
  • nombre de archivo anterior
  • ubicación
  • primario
  • ruta de acceso al archivo
  • tipo de ubicación de origen
  • plataforma
  • nombre de dispositivo
  • tipo de ubicación de destino
  • aplicación que realizó la copia
  • Id. de dispositivo de Microsoft Defender para punto de conexión (si corresponde)
  • fabricante del dispositivo multimedia extraíble
  • modelo del dispositivo multimedia extraíble
  • número de serie del dispositivo multimedia extraíble

copiar a los atributos de actividad del USB.

Pasos siguientes

Ahora que ya conoce DLP en punto de conexión, estos son los pasos siguientes:

  1. Introducción a la prevención de pérdida de datos en punto de conexión de Microsoft
  2. Uso de la prevención de pérdida de datos en punto de conexión de Microsoft

Consulte también