Ayudar a evitar la pérdida de contenido confidencial mediante la restricción de acciones de pegado en exploradores

En este escenario se muestra cómo impedir que los usuarios peguen contenido confidencial en aplicaciones basadas en explorador mediante DLP de Microsoft Purview. Al evaluar el contenido en el momento en que se pega, las organizaciones pueden detectar y controlar la información confidencial en tiempo real, independientemente de su origen.

Con Pegar en controles de explorador con grupos de dominio de servicio confidencial, este enfoque permite una aplicación flexible(como auditoría, advertencia o bloqueo de acciones de pegado) en función del sitio web de destino. Esto ayuda a reducir el riesgo de exposición accidental de datos, al tiempo que permite que las directivas se adapten a diferentes niveles de riesgo.

La actividad Pegar en el explorador funciona independientemente de la clasificación del archivo de origen y requiere reglas configuradas con grupos de dominio de servicio confidencial. No se admite con la configuración DLP del punto de conexión de dominios de servicio . Para obtener más información, consulte Actividades de punto de conexión en las que puede supervisar y realizar acciones.

Nota:

Se admiten los siguientes exploradores web:

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS): extensión Microsoft Purview solo para Chrome Windows
  • Firefox (Win/macOS): extensión Microsoft Purview solo para Windows de Firefox
  • Safari (solo macOS)

Importante

  • Si ha configurado la recopilación de pruebas para las actividades de archivo en los dispositivos y la versión de cliente de Antimalware en el dispositivo es anterior a la 4.18.23110, al implementar este escenario, Restringir pegar contenido confidencial en un explorador, verá caracteres aleatorios al intentar ver el archivo de origen en Detalles de alerta. Para ver el texto real del archivo de origen, debe descargar el archivo.
  • Si no se pudo examinar el documento se selecciona como la acción de la regla coincidente, no se capturará el archivo de evidencia.

Requisitos previos y supuestos

En este artículo se usa el proceso que aprendió en Diseño de una directiva de prevención de pérdida de datos para mostrar cómo crear una directiva de Prevención de pérdida de datos de Microsoft Purview (DLP). Trabaje en estos escenarios en el entorno de prueba para familiarizarse con la interfaz de usuario de creación de directivas.

Importante

En este artículo se presenta un escenario hipotético con valores hipotéticos. Es sólo para fines ilustrativos. Sustituya sus propios tipos de información confidencial, etiquetas de confidencialidad, grupos de distribución y usuarios.

La implementación de una directiva es tan importante como el diseño de directivas. En este artículo se muestra cómo usar las opciones de implementación para que la directiva alcance su intención y evitar interrupciones empresariales costosas.

En este escenario se usa la etiqueta Confidencialidad confidencial, por lo que es necesario crear y publicar etiquetas de confidencialidad. Para más información, vea:

Este procedimiento usa un grupo de distribución hipotético Recursos humanos y un grupo de distribución para el equipo de seguridad de Contoso.com.

Este procedimiento usa alertas, consulte Introducción a las alertas de prevención de pérdida de datos.

Asignación y instrucción de intención de directiva

Nosotros, Contoso, queremos evitar que los usuarios expongan información confidencial de forma involuntaria pegándola en formularios web o aplicaciones basadas en exploradores. Los datos confidenciales, como información de identificación personal u otro contenido regulado, se pueden copiar de archivos o aplicaciones locales y pegarse en sitios web, lo que crea un riesgo potencial de filtración de datos. Para solucionar este problema, crearemos una directiva que evalúe el contenido dinámicamente en el momento en que se pegue en un explorador compatible. En función de la confidencialidad del contenido pegado y del sitio web de destino, auditaremos, advertiremos o bloquearemos la acción. También usaremos grupos de dominio de servicio confidencial para aplicar diferentes niveles de cumplimiento en función de los sitios web de destino. Esto nos permite equilibrar la seguridad y la facilidad de uso mediante la aplicación de controles más estrictos a dominios de mayor riesgo, a la vez que se permite flexibilidad para sitios de confianza.

Instrucción Pregunta de configuración respondida y asignación de configuración
"Queremos evitar que datos confidenciales se peguen en formularios web o campos del explorador..." - Ámbito administrativo: directorio completo
- Dónde supervisar: solo dispositivos
- Ámbito de directiva: todos los usuarios o dispositivos o usuarios de destino
"Queremos evaluar el contenido en el momento en que se pega, independientemente de su origen..." - Condición: el contenido contiene los tipos de información confidencial seleccionados
- Evaluación: clasificación en tiempo real en el evento paste (independientemente de la clasificación de archivos de origen)
"Queremos controlar las acciones de pegado en función de la confidencialidad del contenido..." - Acción: Auditar o restringir actividades en dispositivos
- Tipo de actividad: pegar en exploradores admitidos
"Queremos diferentes niveles de cumplimiento en función del sitio web de destino..." - Configuración del punto de conexión: Creación de grupos de dominio de servicio confidencial
- Diseño de reglas: Asociar restricciones de pegado con grupos de dominio específicos
"Queremos auditar, advertir o bloquear acciones de pegado en función del nivel de riesgo..." - Configuración de la acción: se establece en Auditar, Bloquear con invalidación o Bloquear en función de las necesidades de cumplimiento
"Queremos flexibilidad para adaptar las restricciones en diferentes categorías de sitios web..." - Diseño de directivas: varios grupos de direcciones URL o dominio (por ejemplo, sitios de confianza frente a sitios que no son de confianza)
- Uso de excepciones o varias reglas para el control pormenorizado
"Queremos garantizar que la aplicación se produzca de forma coherente en todos los exploradores compatibles..." - Compatibilidad con exploradores: Microsoft Edge, Chrome, Firefox (con extensiones), Safari
- La integración de DLP de punto de conexión garantiza la aplicación de directivas en exploradores admitidos
"Queremos que se informe a los usuarios cuando se evalúan o restringen las acciones de pegado..." - Experiencia del usuario: sugerencias de directiva o notificaciones desencadenadas durante la evaluación de pegado
- Nota de comportamiento: Posible retraso breve mientras se completa la clasificación
"Queremos implementar y probar la directiva con el nivel de cumplimiento adecuado..." - Modo de directiva: configurable (prueba, auditoría o aplicación)
- Implementación: enviar directiva y validar el comportamiento con escenarios de prueba

Pasos para crear la directiva

Puede configurar diferentes niveles de cumplimiento cuando se trata de bloquear que los datos se peguen en un explorador. Para ello, cree grupos de direcciones URL diferentes. Por ejemplo, puede crear una directiva que advierta a los usuarios contra la publicación de números de seguro social (SSN) en cualquier sitio web y que desencadene una acción de auditoría para los sitios web del grupo A. Puede crear otra directiva que bloquee completamente la acción de pegar (sin dar una advertencia) para todos los sitios web del grupo B.

Creación de un grupo de direcciones URL

  1. Inicie sesión en el portal > de Microsoft PurviewConfiguración deprevención> de pérdida de datos (icono de engranaje en la esquina superior izquierda) > Configuración del punto deconexión de prevención> de pérdida de datos y desplácese hacia abajo hasta Restricciones de explorador y dominio para datos confidenciales. Expanda la sección .

  2. Desplácese hacia abajo hasta Grupos de dominio de servicio confidencial.

  3. Elija Crear grupo de dominios de servicio confidencial.

    1. Escriba un nombre de grupo.
    2. En el campo Dominio de servicio confidencial , escriba la dirección URL del primer sitio web que desea supervisar y, a continuación, elija Agregar sitio.
    3. Continúe agregando direcciones URL para el resto de sitios web que desea supervisar en este grupo.
    4. Cuando haya terminado de agregar todas las direcciones URL al grupo, elija Guardar.

  4. Cree tantos grupos de direcciones URL independientes como necesite.

Restricción de pegar contenido en un explorador

  1. Inicie sesión en el portal > de Microsoft PurviewDirectivas de prevención > depérdida de datos.

  2. Datos almacenados en orígenes conectados.

  3. Cree una directiva DLP con ámbito de dispositivos. Para obtener información sobre cómo crear una directiva DLP, vea Crear e implementar directivas de prevención de pérdida de datos.

  4. En la página Definir configuración de directiva del flujo de creación de directivas DLP, seleccione Crear o personalizar reglas DLP avanzadas y, a continuación, elija Siguiente.

  5. En la página Personalizar reglas DLP avanzadas , elija Crear regla.

  6. Escriba un nombre y una descripción para la regla.

  7. Expanda Condiciones, elija Agregar condición y, a continuación, seleccione tipos de información confidencial.

  8. En Contenido contiene, desplácese hacia abajo y seleccione el nuevo tipo de información confidencial que eligió o creó anteriormente.

  9. Desplácese hacia abajo hasta la sección Acciones y elija Agregar una acción.

  10. Elija Auditar o restringir actividades en dispositivos

  11. En la sección Acciones , en Dominio de servicio y actividades del explorador, seleccione Pegar en los exploradores admitidos.

  12. Establezca la restricción en Auditar, Bloquear con invalidación o Bloquear y, a continuación, elija Agregar.

  13. Seleccione Guardar.

  14. Elija Siguiente

  15. Elija si desea probar la directiva, activarla inmediatamente o mantenerla desactivada y, a continuación, elija Siguiente.

  16. Choose Submit.

Importante

Puede haber un breve retraso de tiempo entre el momento en que el usuario intenta pegar texto en una página web y cuando el sistema termina de clasificarlo y responde. Si se produce esta latencia de clasificación, es posible que vea las notificaciones de evaluación de directivas y comprobación-completa en Edge o el sistema de evaluación de directivas en Chrome y Firefox. Estas son algunas sugerencias para minimizar el número de notificaciones:

  1. Las notificaciones se desencadenan cuando la directiva del sitio web de destino está configurada en Bloquear o Bloquear con la invalidación pegar en el explorador para ese usuario. Puede configurar la configuración de la acción general en Auditar y, a continuación, enumerar los sitios web de destino mediante las excepciones como Bloquear. Como alternativa, puede establecer la acción general en Bloquear y, a continuación, enumerar sitios web seguros mediante las excepciones como Auditoría.
  2. Use la versión de cliente de Antimalware más reciente.
  3. Use la versión más reciente del explorador Edge, especialmente Edge 120.
  4. Instalar estos KB de Windows
  • Last updated on