Exploración de la prevención de pérdida de datos de punto de conexión
Una organización puede usar Prevención de pérdida de datos de Microsoft Purview (DLP) para supervisar las acciones que sus usuarios realizan en los elementos clasificados como confidenciales. También puede usar DLP para evitar el uso compartido involuntario de esos elementos. La Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión) forma parte del conjunto de características de prevención de pérdida de datos (DLP) de Microsoft Purview que puede usar para detectar y proteger elementos confidenciales en Microsoft 365 servicios.
DLP de punto de conexión de Microsoft amplía las funcionalidades de supervisión y protección de actividad de DLP a los elementos confidenciales que los usuarios almacenan físicamente en dispositivos Windows 10, Windows 11 y macOS (Catalina 10.15 y versiones posteriores). DLP de punto de conexión permite supervisar Windows 10 incorporados y Windows 11 y dispositivos macOS incorporados que ejecutan cualquiera de las tres versiones más recientes publicadas.
Una vez que se incorpora un dispositivo, DLP de punto de conexión detecta cuándo alguien usa o comparte elementos confidenciales en el dispositivo. A su vez, el Explorador de actividades muestra la información sobre la actividad del usuario con elementos confidenciales. Este servicio le proporciona la visibilidad y el control que necesita para asegurarse de que los elementos confidenciales se usan y protegen correctamente. A continuación, las organizaciones pueden aplicar acciones de protección en esos elementos a través de directivas DLP para ayudar a evitar comportamientos de riesgo que puedan ponerlos en peligro.
Sugerencia
Si busca el control de dispositivo para el almacenamiento extraíble, consulte Microsoft Defender para punto de conexión Access Control de almacenamiento extraíble de Control de dispositivos.
En Microsoft Purview, la evaluación de directivas DLP de elementos confidenciales se produce de forma centralizada. Por lo tanto, no hay ningún retraso de tiempo para las directivas y actualizaciones de directivas que una organización debe distribuir a dispositivos individuales. Al actualizar una directiva en el portal de cumplimiento Microsoft Purview, por lo general, esas actualizaciones tardan aproximadamente una hora en sincronizarse en todo el servicio. Una vez sincronizadas las actualizaciones de directivas, las directivas DLP volverán a evaluar automáticamente los elementos confidenciales en los dispositivos de destino la próxima vez que los usuarios accedan a los elementos o los modifiquen.
Requisitos de DLP de punto de conexión de Microsoft
Antes de empezar con Endpoint DLP, debe confirmar la Suscripción a Microsoft 365 y cualquier complemento. Para acceder y usar la funcionalidad DLP de punto de conexión, debe tener una de las siguientes suscripciones o complementos:
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Cumplimiento de Microsoft 365 E5
- Cumplimiento de Microsoft 365 A5
- Gobierno y protección de información de Microsoft 365 E5
- Gobierno y protección de información de Microsoft 365 A5
Si va a incorporar Windows 10 o Windows 11 dispositivos, asegúrese de que el dispositivo puede comunicarse con el servicio DLP en la nube. Para obtener más información, consulte Configuración del proxy de dispositivo y las opciones de conexión a Internet para Information Protection.
Actividades en punto de conexión que puede supervisar y sobre las que puede tomar medidas
DLP de punto de conexión permite a las organizaciones auditar y administrar los siguientes tipos de actividades que los usuarios realizan en los elementos confidenciales que se almacenan físicamente Windows 10, Windows 11 o dispositivos macOS.
| Actividad | Descripción | Windows 10 1809 y versiones posteriores/Windows 11 | macOS Catalina 10.15 | Auditable/restringible |
|---|---|---|---|---|
| Cargue en el servicio en la nube o acceda a través de exploradores no autorizados. | Detecta cuándo un usuario intenta cargar un elemento en un dominio de servicio restringido o tener acceso a un elemento con un explorador. Si usan un explorador que aparece en DLP de Microsoft Purview como un explorador no permitido, DLP bloquea la actividad de carga. A continuación, redirige al usuario para que use Microsoft Edge. A su vez, Microsoft Edge permite o bloquea la carga o el acceso en función de la configuración de la directiva DLP. | Compatible | Compatible | Auditable y restricble |
| Copie en otra aplicación, proceso o elemento. | Detecta cuándo un usuario intenta copiar información de un elemento protegido y, a continuación, pegarla en otra aplicación, proceso o elemento. Esta actividad no detecta la copia y pegado de información dentro de la misma aplicación, proceso o elemento. | Compatible | Compatible | Auditable y restricble |
| Copiar en medios extraíbles USB. | Detecta cuando un usuario intenta copiar un elemento o información en un medio extraíble o un dispositivo USB. | Compatible | Compatible | Auditable y restricble |
| Copie en un recurso compartido de red. | Detecta cuándo un usuario intenta copiar un elemento en un recurso compartido de red o una unidad de red asignada. | Compatible | Compatible | Auditable y restricble |
| Imprimir un documento. | Detecta cuando un usuario intenta imprimir un elemento protegido en una impresora local o de red. | Compatible | Compatible | Auditable y restricble |
| Copie en una sesión remota. | Detecta cuándo un usuario intenta copiar un elemento en una sesión de escritorio remoto. | Compatible | No se admite | Auditable y restricble |
| Copiar en un dispositivo Bluetooth. | Detecta cuándo un usuario intenta copiar un elemento en una aplicación Bluetooth no permitida (como se define en la lista de aplicaciones Bluetooth no permitidas en la configuración dlp de punto de conexión). | Compatible | No se admite | Auditable y restricble |
| Cree un elemento. | Detecta cuándo un usuario intenta crear un elemento. | Compatible | Auditables | |
| Cambie el nombre de un elemento. | Detecta cuándo un usuario intenta cambiar el nombre de un elemento. | Compatible | Auditables |
Uso de DLP de punto de conexión
Tenga en cuenta el escenario en el que una organización quiere impedir que todos los elementos que contienen números de tarjeta de crédito salgan de los puntos de conexión de los usuarios del departamento financiero. En este ejemplo, Microsoft recomienda la organización:
- Cree una directiva y aplíquela a los puntos finales y a ese grupo de usuarios.
- Cree una regla en la directiva que detecte el tipo de información que quiere proteger. En este caso, debe establecer el campo contenido contiene en Tipo de información confidencial y debe seleccionar Tarjeta de crédito como tipo de información confidencial.
- Establezca las acciones de cada actividad en Bloquear.
La creación de directivas DLP de punto de conexión para abordar diversos problemas de seguridad y cumplimiento está fuera del ámbito de este entrenamiento. Sin embargo, si está interesado en aprender a implementar DLP de punto de conexión, consulte Uso de la prevención de pérdida de datos de punto de conexión. En este artículo se proporcionan instrucciones paso a paso sobre cómo abordar los siguientes escenarios:
- Escenario 1: crear una directiva a partir de una plantilla, solo auditoría
- Escenario 2: modificar la directiva existente, configurar una alerta
- Caso 3: modificar la directiva existente, bloquear la acción con permitir invalidación
- Escenario 4: Evitar el bucle de notificaciones DLP de aplicaciones de sincronización en la nube con autocurantina
- Escenario 5: Restringir el uso compartido accidental a servicios y aplicaciones en la nube no permitidos
- Escenario 6: Supervisión o restricción de actividades de usuario en dominios de servicio confidenciales
- Escenario 7: Restricción de pegar contenido confidencial en un explorador
- Escenario 8: Grupos de autorización
- Escenario 9: Excepciones de red
Archivos supervisados
DLP de punto de conexión admite la supervisión de los siguientes tipos de archivo. DLP de Microsoft Purview audita las actividades de estos tipos de archivo, incluso si no hay ninguna coincidencia de directiva.
- archivos de Word
- archivos de PowerPoint
- archivos de Excel
- archivos PDF
- archivos .csv
- archivos .tsv
- archivos .txt
- archivos .rtf
- archivos .c
- archivos .class
- archivos .cpp
- archivos .cs
- archivos .h
- archivos .java
Si una organización solo quiere supervisar los datos de coincidencias de directiva, puede desactivar la opción Auditar siempre la actividad de archivo para dispositivos en la configuración global dlp de punto de conexión.
Nota:
Si la configuración De siempre auditar la actividad de archivos para dispositivos está activada, la directiva DLP audita las actividades en cada archivo Word, PowerPoint, Excel, PDF y .csv, incluso si ninguna directiva tiene como destino el dispositivo.
Sugerencia
Para asegurarse de auditar las actividades de todos los tipos de archivo admitidos, cree una directiva DLP personalizada.
Tipos de archivo y extensiones de archivo
Los tipos de archivo son una agrupación de formatos de archivo. Cada tipo de archivo protege flujos de trabajo o áreas de negocio específicos. Las organizaciones pueden usar uno o varios tipos de archivo como condiciones en sus directivas DLP.
| Tipo de archivo | Aplicación | Extensiones de archivo supervisadas |
|---|---|---|
| procesamiento de texto | Word, PDF | .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .pdf |
| hoja de cálculo | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv |
| presentación | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
| archivar | herramientas de compresión y archivo de archivos | .zip, .zipx, .rar, .7z, .tar, .gz |
| correo electrónico | Outlook | .pst, .ost, .msg |
Si los tipos de archivo no cubren las extensiones de archivo que una organización necesita enumerar como condición en una directiva, puede usar extensiones de archivo separadas por comas en su lugar.
Importante
No se pueden usar las opciones de extensiones de archivo ni las opciones de tipos de archivo como condiciones en la misma regla. Si desea usarlas como condiciones en la misma directiva, deben estar en reglas independientes.
Las siguientes versiones de Windows admiten las características Tipos de archivo y Extensión de archivo:
- Windows 10 versiones 20H1/20H2/21H1 (KB 5006738)
- Windows 10 versiones 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
Habilitar la administración de dispositivos
La administración de dispositivos permite la recopilación de datos de clientes de dispositivos. Estos datos incluyen cualquier información que los usuarios creen, almacenen, procesen o transmitan dentro de una organización. Los tipos de datos incluyen texto, imágenes, audio, vídeo y otros tipos de contenido digital. Esta información puede residir o pasar a través de dispositivos de usuario como portátiles, equipos de escritorio, tabletas y teléfonos móviles.
A continuación, la administración de dispositivos incorpora estos datos recopilados a soluciones de Microsoft Purview, como ENDPOINT DLP y Insider Risk Management. Para habilitar la administración de dispositivos, las organizaciones deben incorporar todos los dispositivos que quieran incluir como ubicaciones en las directivas DLP.
Puede descargar scripts del centro de Administración de dispositivos para controlar la incorporación y eliminación de dispositivos. El centro tiene scripts personalizados para cada uno de los métodos de implementación siguientes:
- Script local (hasta 10 equipos)
- Directiva de grupo
- System Center Configuration Manager (versión 1610 o posterior)
- Administración de dispositivos móviles/Microsoft Intune
- Scripts de incorporación de VDI para equipos no persistentes
Sugerencia
Use los procedimientos descritos en Introducción a DLP en punto de conexión de Microsoft 365 para incorporar dispositivos.
Si incorpora dispositivos a través de Microsoft Defender para punto de conexión, estos aparecerán automáticamente en la lista de dispositivos. A continuación, puede activar la supervisión de dispositivos para usar DLP de punto de conexión.
Procedimientos de incorporación de Windows 10 y Windows 11
Para obtener una introducción general a la incorporación de dispositivos Windows, consulte Introducción a la incorporación de dispositivos Windows a Microsoft 365.
En la tabla siguiente se proporcionan instrucciones específicas para la incorporación de dispositivos Windows.
| Artículo | Descripción |
|---|---|
| Incorporación de dispositivos Windows 10 o 11 con directiva de grupo | Utilice Directiva de grupo para implementar el paquete de configuración en los dispositivos. |
| Incorpore dispositivos Windows 10 o 11 con Microsoft Endpoint Configuration Manager | Puede usar Microsoft Endpoint Configuration Manager (rama actual) versión 1606 o Microsoft Endpoint Configuration Manager (rama actual) versión 1602 o anterior para implementar el paquete de configuración en dispositivos. |
| Incorporar dispositivos Windows 10 u 11 con Microsoft Intune | Use Microsoft Intune para implementar el paquete de configuración en el dispositivo. |
| Incorpore los dispositivos Windows 10 o 11 con un script local | Obtenga información sobre cómo usar el script local para implementar el paquete de configuración en puntos de conexión. |
| Incorporar dispositivos de infraestructura de escritorio virtual (VDI) no persistente | Obtenga información sobre cómo usar el paquete de configuración para configurar dispositivos VDI. |
Procedimientos de incorporación de macOS
Para obtener una introducción general a la incorporación de dispositivos macOS, consulte Incorporación de dispositivos macOS a Microsoft Purview.
En la tabla siguiente se proporcionan instrucciones específicas para la incorporación de dispositivos macOS.
| Artículo | Descripción |
|---|---|
| Intune | Para dispositivos macOS que se administran a través de Intune. |
| Intune para clientes Microsoft Defender para punto de conexión | Para dispositivos macOS que se administran a través de Intune y que tienen Microsoft Defender para punto de conexión (MDE) implementados en ellos. |
| JAMF Pro | Para dispositivos macOS administrados a través de JAMF Pro. |
| JAMF Pro para clientes de Microsoft Defender para Puntos de conexión | Para dispositivos macOS que se administran a través de JAMF Pro y que tienen Microsoft Defender para punto de conexión (MDE) implementados en ellos. |
Una vez que se incorpora un dispositivo, debe estar visible en la lista de dispositivos. También debe empezar a notificar la actividad de auditoría al Explorador de actividad.
Visualizar datos de DLP en punto de conexión
Las organizaciones pueden ver las alertas relacionadas con las directivas DLP aplicadas en los dispositivos de punto de conexión si van al panel de administración de alertas DLP. También puede ver los detalles del evento asociado con metadatos enriquecidos en el mismo panel.
Una vez incorporado un dispositivo, la información sobre las actividades auditadas realizadas en ese dispositivo fluye al Explorador de actividades. Microsoft 365 audita esta información incluso antes de que una organización configure e implemente las directivas DLP que tengan dispositivos como ubicación.
DLP en punto de conexión recopila información exhaustiva sobre la actividad auditada. Por ejemplo, si copia un archivo en un medio USB extraíble, el sistema muestra los siguientes atributos en los detalles de la actividad:
- Tipo de actividad
- IP de cliente
- Ruta de acceso del archivo de destino
- Marca de tiempo que se ha producido
- Nombre de archivo
- Usuario
- Extensión de archivo
- Tamaño de archivos
- Tipo de información confidencial (si procede)
- Valor Sha1
- Valor sha256
- Nombre de archivo anterior
- Ubicación
- Parent
- Ruta de archivo
- Tipo de ubicación de origen
- Plataforma
- Nombre del dispositivo
- Tipo de ubicación de destino
- Aplicación que realizó la copia
- Id. de dispositivo de Microsoft Defender para punto de conexión (si corresponde)
- Fabricante de dispositivos multimedia extraíbles
- Modelo de dispositivo multimedia extraíble
- Número de serie del dispositivo multimedia extraíble