Obtenga más información sobre la prevención de pérdida de datos de Microsoft 365 de punto de conexión

Artículo
11/20/2021
3 minutos para leer

Puede usar la prevención de pérdida de datos (DLP) de Microsoft 365 para supervisar las acciones que se realizan en elementos que ha determinado que son confidenciales y para ayudar a evitar el uso compartido accidental de estos elementos. Para más información sobre DLP en punto de conexión de Microsoft, consulte Obtenga más información acerca de la prevención contra la pérdida de datos.

La Prevención de pérdida de datos en puntos finales (DLP para punto de conexión) amplía las capacidades de supervisión y protección de la actividad de DLP a los elementos sensibles almacenados físicamente en dispositivos Windows 10, Windows 11 y macOS (Catalina 10.15 y superior). Una vez que los dispositivos están incorporados en las soluciones del Centro de cumplimiento de Microsoft 365, la información sobre las acciones de los usuarios relacionadas con los elementos confidenciales se hace visible en elexplorador de actividades, y se pueden aplicar acciones de protección a estos elementos mediante directivas DLP.

Sugerencia

Si está buscando el control de dispositivos para el almacenamiento extraíble, consulte Control de dispositivo de Microsoft Defender para punto de conexión extraíble en el control de acceso de almacenamiento.

Actividades en punto de conexión que puede supervisar y sobre las que puede tomar medidas

Microsoft DLP para punto de conexión permite auditar y administrar los siguientes tipos de actividades que los usuarios realizan en elementos confidenciales almacenados físicamente en dispositivos Windows 10, Windows 11 y macOS.

Actividad	Descripción	Auditable/restringible
cargar en el servicio en la nube o acceso por exploradores no permitidos	Detecta cuándo un usuario intenta cargar un elemento en un dominio de servicio restringido o tener acceso a un elemento con un explorador. Si usa un explorador que se muestra en DLP como un explorador que no es el permitido, la actividad de carga se bloqueará y se redirigirá al usuario para usar la arista de cromo. Por último, cromo puede permitir o bloquear la carga o el acceso en función de la configuración de la Directiva DLP.	auditable y restringible
copiar a otra aplicación	Se detecta cuando un usuario intenta copiar información de un elemento protegido y, a continuación, lo pega en otra aplicación, proceso o elemento. Esta actividad no detecta la copia y el pegado de información dentro de la misma aplicación, proceso o elemento.	auditable y restringible
copiar en un medio extraíble USB	Detecta cuando un usuario intenta copiar un elemento o información en un medio extraíble o un dispositivo USB.	auditable y restringible
Copiar en un recurso compartido de red	Detecta cuando un usuario intenta copiar un elemento en un recurso compartido de red o en una unidad de red asignada	auditable y restringible
imprimir un documento	Detecta cuando un usuario intenta imprimir un elemento protegido en una impresora local o de red.	auditable y restringible
copiar a una sesión remota	Detecta cuando un usuario intenta copiar un elemento a una sesión de escritorio remoto	auditable y restringible
copiar en un dispositivo Bluetooth	Detecta cuando un usuario intenta copiar un elemento en una aplicación Bluetooth no permitida (según se define en la lista de aplicaciones de Bluetooth no permitidas en la configuración del punto de conexión DLP).	auditable y restringible
crear un elemento	Detecta cuándo un usuario crea un elemento	auditable
cambiar el nombre de un elemento	Detecta cuando un usuario cambia el nombre de un elemento	auditable

Archivos supervisados

La DLP en punto de conexión admite la supervisión de estos tipos de archivo. La DLP en punto de conexión audita las actividades para estos tipos de archivo, incluso si no hay una coincidencia de directiva.

archivos de Word
archivos de PowerPoint
archivos de Excel
archivos PDF
archivos .csv
archivos .tsv
archivos .txt
archivos .rtf
archivos .c
archivos .class
archivos .cpp
archivos .cs
archivos .h
archivos .java

Si solo quiere supervisar los datos de las coincidencias de directivas, puede desactivar Auditar siempre para la actividad de archivos de los dispositivos en la configuración global de DLP en punto de conexión.

Nota

Si la configuración Auditar siempre la actividad de archivos para dispositivos está instalada, las actividades de cualquier archivo Word, PowerPoint, Excel, PDF y .csv siempre se auditan, incluso si el dispositivo no está dirigido por ninguna directiva.

Sugerencia

Para asegurarse de que las actividades se auditan para todos los tipos de archivo admitidos, cree una directiva DLP personalizada.

DLP en punto de conexión supervisa la actividad basada en un tipo de extensiones multipropósito de correo Internet (MIME), por lo que las actividades se capturan incluso si se cambia la extensión de archivo.

¿Qué es diferente en DLP en punto de conexión?

Debe tener en cuenta algunos conceptos adicionales antes de profundizar en DLP en punto de conexión.

Habilitar la administración de dispositivos

La administración de dispositivos es la funcionalidad que permite la colección de telemetría desde dispositivos y la incluye en las soluciones de cumplimiento de Microsoft 365 como DLP en punto de conexión y la administración de riesgos internos. Necesitará incorporar todos los dispositivos que quiera usar como ubicaciones en directivas DLP.

habilitar la administración de dispositivos.

La incorporación y la retirada se controlan mediante scripts que se descargan desde el centro de administración de dispositivos. El centro tiene scripts personalizados para cada uno de estos métodos de implementación:

script local (hasta 10 equipos)
Directiva de grupo
System Center Configuration Manager (versión 1610 o posterior)
Administración de dispositivos móviles/Microsoft Intune
Scripts de incorporación de VDI para equipos no persistentes

página de incorporación de dispositivos.

Use los procedimientos descritos en Introducción a DLP en punto de conexión de Microsoft 365 para incorporar dispositivos.

Si incorporó dispositivos a través de Protección contra amenazas avanzada de Microsoft Defender, estos dispositivos se mostrarán automáticamente en la lista de dispositivos.

lista de dispositivos administrados.

Visualizar datos de DLP en punto de conexión

Puede ver las alertas relacionadas con las directivas DLP ejecutadas en los dispositivos de punto de conexión si va al Panel de administración de alertas de DLP.

Información de la alerta.

También puede ver los detalles del evento asociado con metadatos enriquecidos en el mismo panel

información del evento.

Una vez que se incorpora un dispositivo, la información sobre las actividades auditadas fluye al explorador de actividad, incluso antes de que configure e implemente las directivas DLP que tienen dispositivos como ubicación.

eventos de DLP en punto de conexión en el explorador de actividad.

DLP en punto de conexión recopila información exhaustiva sobre la actividad auditada.

Por ejemplo, si se copia un archivo a un medio USB extraíble, vería estos atributos en los detalles de actividad:

tipo de actividad
IP del cliente
ruta de acceso del archivo de destino
ocurrió una marca de tiempo
nombre de archivo
usuario
extensión de archivo
tamaño de archivo
tipo de información confidencial (si corresponde)
valor sha1
valor sha256
nombre de archivo anterior
ubicación
primario
ruta de acceso al archivo
tipo de ubicación de origen
plataforma
nombre de dispositivo
tipo de ubicación de destino
aplicación que realizó la copia
Id. de dispositivo de Microsoft Defender para punto de conexión (si corresponde)
fabricante del dispositivo multimedia extraíble
modelo del dispositivo multimedia extraíble
número de serie del dispositivo multimedia extraíble

copiar a los atributos de actividad del USB.

Pasos siguientes

Ahora que ya conoce DLP en punto de conexión, estos son los pasos siguientes: