Directivas de alerta en el centro de cumplimiento y la seguridad de Office 365

Importante:  Este artículo se ha traducido con traducción automática; vea la declinación de responsabilidades. Para su referencia, puede encontrar la versión en inglés de este artículo aquí.

Puede usar la nueva directiva de alerta y herramientas de alerta de escritorio en el Centro de cumplimiento y seguridad de Office 365 para crear directivas de alerta y, a continuación, ver las alertas que se generan cuando los usuarios realizan actividades que cumplen las condiciones de una directiva de alerta. Alerta de directivas generación y expanden la funcionalidad de alertas de actividad que le permite clasificar la directiva de alerta, aplicar la directiva a todos los usuarios de su organización, configurar un nivel de umbral para cuando se activa una alerta y decidir si o no recibe correo electrónico notificaciones. También es una de las alertas de la vista página de Centro de cumplimiento y seguridad donde puede ver y filtrar alertas, configurar un alerta de estado para ayudarle a administrar alertas y, a continuación, descartar alertas después de que ha tratado o resolver subyacente incidente. También nos hemos expandido el tipo de eventos que se pueden crear alertas para. Por ejemplo, puede crear directivas de alerta para realizar el seguimiento de actividad de malware e incidencias de pérdida de datos. Por último, también hemos incluido un número del valor predeterminado de las directivas que le ayudarán a supervisión asignar privilegios de administrador en Exchange Online, ataques de malware y niveles inusuales de eliminaciones de archivos y uso compartido externo de alerta.

Nota: Directivas de alerta requieren una suscripción E5 Office 365 para su organización. O bien, ¿necesita un Office 365 E3 suscripción con una Office 365 información sobre amenazas o Office 365 suscripción de complemento de cumplimiento avanzadas para usar directivas de alerta. Tenga en cuenta que una suscripción de cumplimiento avanzadas no admite directivas de alerta relacionadas con los mensajes de suplantación de identidad y malware ataques.

Contenido

¿Cómo alerta de directivas de trabajo

Configuración de la directiva de alerta

Directivas de alerta predeterminado

Visualización de alertas

Administrar alertas

¿Cómo alerta de directivas de trabajo

Aquí tiene una introducción rápida de cómo alerta de directivas de trabajo y las alertas que son desencadenadores cuando la actividad de usuario o de administrador cumple las condiciones de una directiva de alerta.

Información general sobre cómo alerta de directivas de trabajo
  1. Un administrador de su organización crea, configura y se convierte en una directiva de alerta mediante la página de directivas de alerta en la Centro de cumplimiento y seguridad. También puede crear directivas de alerta mediante el cmdlet New-ProtectionAlert en PowerShell.

  2. Un usuario realiza una actividad que cumple las condiciones de una directiva de alerta. En el caso de ataques de malware, mensajes de correo electrónico enviado a los usuarios de su organización activarán una alerta.

  3. Office 365 genera una alerta que se muestra en la página Ver avisos en la Centro de cumplimiento y seguridad. Además, si se habilitan las notificaciones de correo electrónico para la directiva de alerta, Office 365 envía una notificación a destinatarios de una lista.

  4. Un administrador administra las alertas de la Centro de cumplimiento y seguridad. Administrar alertas consta de asignar un estado de alerta para ayudar a realizar un seguimiento y administrar las investigaciones.

Volver al principio

Configuración de la directiva de alerta

Una directiva de alerta consta de un conjunto de reglas y condiciones que definen el usuario o la actividad de administración que generará una alerta, una lista de usuarios que se activará la alerta si lleva a cabo la actividad y umbral que define cuántas veces la actividad tiene que aparecer antes de un se activará n alerta. También clasificar la directiva y asignar un nivel de gravedad. Estas dos opciones ayudan a administrar las directivas de alerta (y las alertas que se activan cuando se cumplen las condiciones de directiva) porque se puede filtrar en esta configuración al administrar directivas y ver las alertas en el Centro de cumplimiento y seguridad. Por ejemplo, puede ver las alertas que cumplen las condiciones de la misma categoría o las alertas de vista con el mismo nivel de gravedad.

Para ver y crear directivas de alerta, vaya a alertas > directivas de alerta en la Centro de cumplimiento y seguridad.

En el centro de Complinace y de seguridad, haga clic en alertas, haga clic en directivas de alerta para ver y crear directivas de alerta

Una directiva de alerta consta de los siguientes valores y condiciones.

  • Seguimiento de la actividad de la alerta    Crear una directiva para realizar un seguimiento de una actividad o en algunos casos, algunas actividades relacionadas, como un compartir un archivo con un usuario externo que lo comparte, asignar permisos de acceso o creando un vínculo anónimo. Cuando un usuario realiza la actividad definida por la directiva, se activará una alerta en función de la configuración del umbral de alerta.

  • Condiciones de actividad    Para la mayoría de las actividades, puede definir condiciones adicionales que deben cumplirse desencadenar una alerta. Condiciones comunes incluyen IP direcciones (para que se active una alerta cuando el usuario realiza la actividad en un equipo con una dirección IP específica o dentro de un intervalo de direcciones IP), si se activa una alerta si un usuario específico o los usuarios realizan dicha actividad y si la actividad se realiza en un nombre de archivo específico o la dirección URL. También puede configurar una condición que se activa una alerta cuando se realiza la actividad por cualquier usuario de su organización. Tenga en cuenta que las condiciones disponibles dependen de la actividad seleccionada.

  • Umbral de alerta    Puede configurar un valor de umbral que define la frecuencia con una actividad puede producirse antes de que se activa una alerta. Esto le permite definir una directiva para generar una alerta cada vez que una actividad coincida con las condiciones de directiva o solo cuando se supera un determinado umbral. El umbral define cuántas veces una actividad puede ocurrir dentro de un intervalo de tiempo antes de que se genera una alerta.

    También puede asignar un umbral de alerta en función de la actividad inusual . Si selecciona este tipo de valor de umbral, Office 365 establece un valor de línea base que define la frecuencia normal de la actividad seleccionada; se necesitan hasta 7 días para establecer una línea base, durante el cual no se generan alertas. Después de establece la línea base, se activará una alerta cuando la frecuencia de la actividad que controlan la directiva de alerta en gran medida supera el valor de línea base. Puede establecer una línea base para las actividades relacionadas con la auditoría (por ejemplo, actividades de archivos y carpetas), en función de un solo usuario o en todos los usuarios de su organización; para actividades relacionadas con el malware, puede establecer una línea base en función de una familia de malware único, un único destinatario o todos los mensajes de su organización.

  • Categoría de alerta    Para ayudarle a seguimiento y las alertas generadas por una directiva de administración, puede asignar una de las siguientes categorías a una directiva.

    • Gobierno de datos

    • Protección pérdida de datos

    • Permisos

    • Administración de amenazas

    • Otras

    Cuando se produce una actividad que cumpla las condiciones de la directiva de alerta, la alerta que se genera esté etiquetada con la categoría definida en esta configuración. Esto le permite realizar un seguimiento y administrar alertas que tengan la misma configuración de categoría en la página Ver avisos en la Centro de cumplimiento y seguridad porque puede ordenar y filtrar alertas en función de la categoría.

  • Gravedad de alerta    De forma similar a la categoría de alerta, asignar un atributo de gravedad (baja, Media o alta ) a las directivas de alerta. Como la categoría de alerta cuando se produce una actividad que cumpla las condiciones de la directiva de la alerta, la alerta que se genera esté etiquetada con el mismo nivel de gravedad está establecido para la directiva de alerta. De nuevo, esto le permite realizar un seguimiento y administrar alertas que tengan el mismo valor de gravedad en la página Ver avisos. Por ejemplo, puede filtrar la lista de alertas para que se muestren únicamente las alertas con una gravedad alta.

    Sugerencia: Al configurar una directiva de alerta, considere la posibilidad de asignar una gravedad superior a las actividades que pueden dar lugar a consecuencias gravemente negativas, como la detección de malware después de la entrega a los usuarios, visualización de datos confidenciales o clasificados, compartir datos con usuarios externos, u otras actividades que pueden dar lugar a amenazas de seguridad o de pérdida de datos. Esto puede ayudarle a priorizar alertas y las acciones a investigar y resolver las causas subyacentes.

  • Notificaciones de correo electrónico    Puede configurar la directiva para que las notificaciones de correo electrónico se envían (o no enviar) a una lista de usuarios cuando se activa una alerta. También puede establecer un límite de notificación diaria para que una vez que se alcanzó el número máximo de notificaciones, sin más notificaciones de la alerta durante ese día. En adicionales para enviar por correo electrónico notificaciones, usted u otros administradores pueden ver las alertas que sean desencadenadas por una directiva en la página Ver avisos. Considere habilitar las notificaciones de correo electrónico de directivas de alerta de una categoría específica o que tienen un valor mayor de gravedad.

Volver al principio

Directivas de alerta predeterminado

Office 365 proporciona las siguientes directivas de alerta integradas que le ayudan a identificar abuso de permisos de administrador de Exchange, la actividad de malware y los riesgos de gobernanza de datos. Estas directivas están activadas de forma predeterminada. Puede desactivar estas directivas (o volver a), configurar una lista de destinatarios para enviar las notificaciones de correo electrónico y establecer un límite de notificación diaria. Las otras opciones de configuración de estas directivas no se pueden editar.

En la página directivas de alerta, el nombre de estas directivas integrados están en negrita y el tipo de directiva se define como sistema.

  • Creación de regla de reenvío o redirección    Genera una alerta cuando alguien de su organización crea una regla de bandeja de entrada para su buzón que reenvía o redirige los mensajes a otra cuenta de correo electrónico. Esta directiva solo realiza un seguimiento de las reglas de bandeja de entrada creados con Outlook Web App o Exchange Online PowerShell. Esta directiva tiene una configuración de gravedad baja. Para obtener más información de uso de reglas de bandeja de entrada para reenviar y redirige el correo electrónico en Outlook Web App, vea Usar reglas en Outlook Web App para reenviar automáticamente mensajes a otra cuenta.

  • Privilegios de administrador de la elevación de Exchange    Genera una alerta cuando alguien se asigna permisos administrativos en la organización Exchange Online; Por ejemplo, si se agrega un usuario al grupo de funciones de administración de la organización en Exchange Online. Esta directiva tiene una configuración de gravedad baja.

  • Campaña de malware detectado después de la entrega    Genera una alerta cuando un número considerable de mensajes que contienen malware se entregarán a los buzones de su organización. Si se produce este evento, Office 365 quita los mensajes infectados Exchange Online buzones. Esta directiva tiene una configuración de gravedad alta.

  • Campaña de malware detectado y bloqueado    Genera una alerta cuando alguien ha intentado enviar un número considerable de los mensajes de correo electrónico que contiene un determinado tipo de malware a los usuarios de su organización. Si se produce este evento, los mensajes infectados son bloqueados por Office 365 y no se envíe a los buzones. Esta directiva tiene una configuración de gravedad baja.

  • Campaña de malware detectado en SharePoint y OneDrive   genera una alerta cuando se detectan un demasiado grandes volúmenes de malware o virus en archivos ubicados en sitios de SharePoint o OneDrive cuentas de su organización. Esta directiva tiene una configuración de gravedad alta.

  • Actividad de archivo inusual usuario externo    Genera una alerta cuando un normalmente gran cantidad de actividades se realizan en archivos de SharePoint o OneDrive por usuarios fuera de la organización. Esto incluye actividades como acceso a archivos, descarga de archivos y eliminación de archivos. Esta directiva tiene una configuración de gravedad alta.

  • Uso compartido de volumen inusual de archivo externo    Genera una alerta cuando un normalmente gran cantidad de archivos en SharePoint o OneDrive está compartido con usuarios externos a su organización. Esta directiva tiene una configuración de gravedad Media.

  • Volumen inusual de eliminación de archivos    Genera una alerta cuando se elimina un número considerable de archivos en SharePoint o OneDrive dentro de un período de tiempo corto. Esta directiva tiene una configuración de gravedad Media.

  • Aumentar no habitual en referir como phishing de correo electrónico    Genera una alerta cuando hay un aumento significativo en el número de personas de su organización mediante el complemento de mensaje de informe en Outlook para informar de los mensajes como correo de suplantación de identidad. Esta directiva tiene una configuración de gravedad alta. Para obtener más información acerca de este complemento, vea usar el complemento de mensaje de informe.

Tenga en cuenta que la actividad inusual supervisada por algunas de las directivas integradas se basa en el mismo proceso como se describió anteriormente establecer que el umbral de alerta. Office 365 establece un valor de línea base que define la frecuencia normal de actividad "habitual". A continuación, se activan las alertas cuando la frecuencia de las actividades que controlan la directiva de alerta integrada en gran medida supera el valor de línea base.

Volver al principio

Visualización de alertas

Cuando realiza una actividad de los usuarios de su organización coincide con la configuración de una directiva de alerta, se genera una alerta y se muestra en la página Ver avisos en la Centro de cumplimiento y seguridad. Según la configuración de una directiva de alerta, también se envía una notificación de correo electrónico a una lista de usuarios especificados cuando se activa una alerta. Para cada alerta, el panel de la página Ver avisos muestra el nombre de la directiva de alerta correspondiente, la gravedad y la categoría de la alerta (definido en la directiva de alerta) y el número de veces que se ha producido una actividad que ha generado la alerta que se está genera; Este valor se basa en el valor de umbral de la directiva de alerta. El panel también muestra el estado de cada alerta. Vea la sección Administrar alertas para obtener más información sobre el uso de la propiedad de estado para administrar alertas.

Para ver alertas, vaya a alertas > Ver avisos en la Centro de cumplimiento y seguridad.

En el centro de Complinace y de seguridad, haga clic en alertas, haga clic en Ver avisos para ver avisos

Puede usar los siguientes filtros para ver un subconjunto de todas las alertas en la página Ver avisos.

  • Estado    Use este filtro para mostrar alertas que se les asigna un estado determinado; el estado predeterminado está activo. Usted u otros administradores pueden cambiar el valor de estado.

  • Directivas de    Use este filtro para mostrar las alertas que coinciden con la configuración de directivas de alerta de uno o más. O bien, solo puede mostrar todas las alertas para todas las directivas de alerta.

  • Intervalo de tiempo    Use este filtro para mostrar alertas generadas dentro de un intervalo de tiempo y una fecha específica.

  • Gravedad    Use este filtro para mostrar alertas que se le asigna una gravedad específica.

  • Categoría    Use este filtro para mostrar alertas de uno o más categorías de alertas.

Volver al principio

Administrar alertas

Tras han genera alertas y aparece en la página Ver avisos en la Centro de cumplimiento y seguridad, puede evaluar, investigar y resolverlos. Estas son algunas tareas que puede realizar para administrar alertas.

  • Asignar un estado de alertas    Puede asignar uno de los siguientes estados de alertas: activa (el valor predeterminado), Investigating, resuelto o Dismissed. A continuación, puede filtrar en esta opción para mostrar alertas con la misma configuración de estado. Este valor puede ayudar a realizar un seguimiento del proceso de administración de alertas.

  • Mostrar detalles de alertas    Puede hacer clic en una alerta para mostrar una página flotante con detalles acerca de la alerta. Depende de la información detallada de la directiva de alerta correspondiente, pero normalmente incluye lo siguiente: nombre de la operación real que activó la alerta (por ejemplo, un cmdlet), una descripción de la actividad que activó la alerta, el usuario (o lista de usuarios) que activó el aviso y, a continuación, el nombre (y un vínculo a) de la correspondiente directiva de alerta.

    • El nombre de la operación real que activa la alerta, como un cmdlet o una operación de registro de auditoría.

    • Descripción de la actividad que activó el aviso.

    • El usuario que activó el aviso; se incluye solo para las directivas de alerta que están configuradas para realizar un seguimiento de un solo usuario o una sola actividad.

    • Se ha realizado el número de veces que se realiza un seguimiento de la actividad de la alerta. Tenga en cuenta que este número podría no coinciden con ese número real de alertas relacionadas que aparece en la página de alertas de vista porque otras alertas se han activado.

    • Un vínculo a una lista de actividad que incluye un elemento para cada actividad que se realizó que activó la alerta. Cada entrada de esta lista muestra cuándo tuvo lugar la actividad, el nombre de la operación real, (por ejemplo, "FileDeleted") y el usuario que realizó la actividad, el objeto (como un archivo, un caso de exhibición de documentos electrónicos o un buzón de correo) que se realizó la actividad y la dirección IP dirección del equipo del usuario. Para malware relacionadas con alertas, este vínculos a una lista de mensajes.

    • Nombre (y vincular a) de la directiva de alerta correspondiente.

  • Suprimir notificaciones de correo electrónico    Puede desactivar (o suprimir) notificaciones de correo electrónico desde la página flotante para una alerta. Cuando Suprimir notificaciones de correo electrónico, Office 365 no enviar notificaciones cuando actividades o los eventos que cumplen las condiciones de la directiva de alerta. Sin embargo, alertas seguirán desencadenador cuando actividades realizadas por los usuarios que coincida con las condiciones de la directiva de alerta. También puede desactivar las notificaciones de correo electrónico mediante la edición de la directiva de alerta.

  • Resolver las alertas    Puede marcar una alerta como resuelto en la página de flotante de una alerta (que establece el estado de la alerta a resuelto ). A menos que cambie el filtro, alertas resueltos no se muestran en la página Ver avisos.

Volver al principio

Nota: Declinación de responsabilidades de traducción automática: Este artículo se ha traducido con un sistema informático sin intervención humana. Microsoft ofrece estas traducciones automáticas para que los hablantes de otros idiomas distintos del inglés puedan disfrutar del contenido sobre los productos, los servicios y las tecnologías de Microsoft. Puesto que este artículo se ha traducido con traducción automática, es posible que contenga errores de vocabulario, sintaxis o gramática.

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×