Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El gráfico de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar) proporciona una experiencia de investigación visual que combina datos de activos y actividades en una sola vista. Con la tecnología de Microsoft Sentinel integración, resume los 30 días anteriores de actividad de cualquier archivo en el ámbito de la investigación. Le ayuda a identificar cuentas de usuario de riesgo que interactuaron con contenido de interés y a analizar la secuencia de eventos que conducen a incidentes recientes. Al enriquecer el análisis con información de actividad, los gráficos de riesgo de datos pueden ayudarle a resolver los incidentes de seguridad de datos con mayor rapidez y con mayor confianza.
Para obtener más información sobre Microsoft Sentinel integración, consulte Información sobre Microsoft Sentinel en Microsoft Purview.
Nota:
Administración unidades no se admiten en el gráfico de riesgo de datos. Si tiene el ámbito de una unidad de administración, los datos no aparecen en los gráficos de riesgo de datos.
Actividades admitidas en el gráfico de riesgo de datos
El gráfico de riesgo de datos admite actualmente las siguientes actividades de filtración:
- Vínculos anónimos creados en SharePoint o OneDrive
- Vínculos anónimos usados a través de SharePoint o OneDrive
- Vínculos de empresa creados en SharePoint o OneDrive
- Descargas de archivos de SharePoint y OneDrive
- Archivos cuyo nombre se ha cambiado en SharePoint y OneDrive
Antes de empezar
Para poder usar gráficos de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar), siga estos pasos:
- Obtenga información sobre la facturación de pago por uso en Microsoft Sentinel para su organización.
- Configuración de los requisitos previos para Microsoft Sentinel data lake y Microsoft Sentinel graph
- Revise los cambios realizados al incorporarse a Microsoft Sentinel lago de datos y Microsoft Sentinel gráfico
- Cree una investigación en Investigación de seguridad de datos (versión preliminar).
Configuración del gráfico de riesgo de datos
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Después de completar los prerequistites, complete los pasos siguientes para configurar el gráfico de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar):
Vaya al portal de Microsoft Purview con una cuenta asignada al rol Administrador global o Administrador de seguridad .
Seleccione la tarjeta de solución Investigaciones de seguridad de datos (versión preliminar) y, a continuación, seleccione Información general en la navegación izquierda.
En la sección Tareas de instalación , seleccione Configurar el lago de datos y el gráfico de riesgo de datos.
Si no tiene los permisos correctos para configurar el lago de datos, aparece una notificación para ponerse en contacto con un administrador global o de facturación de su organización.
En la pestaña Configuración de Configurar data lake & gráfico de riesgo (versión preliminar), configure los siguientes valores:
- Suscripción: escriba la suscripción Azure que desea usar. La suscripción seleccionada debe ser válida y accesible. Debe ser propietario de la suscripción.
- Grupo de recursos: escriba el grupo de recursos que desea usar. El grupo de recursos seleccionado debe ser válido y accesible.
Importante
Una vez aprovisionado data lake para una suscripción de Azure específica y un grupo de recursos, no puede migrarlo a otra suscripción o grupo de recursos.
Seleccione Instalación.
Importante
Cuando se crea por primera vez el gráfico de riesgo de datos, incluye los siete días de datos más recientes. A medida que el gráfico de riesgo de datos se actualiza con el tiempo, la ventana de retroceso se expande hasta un máximo de 30 días. El gráfico de riesgo de datos puede tardar algún tiempo en alcanzar la ventana completa de 30 días, por lo que se espera un crecimiento gradual después de la configuración inicial.
El proceso de configuración comienza y la incorporación puede tardar hasta 60 minutos en completarse. Puede cerrar el panel de configuración mientras se ejecuta el proceso. Una vez completado el proceso de incorporación, verá Completar en Configuración de Data Lake & gráfico de riesgo (versión preliminar). El gráfico de riesgo de datos muestra los eventos que se producen después de crear o incorporar el lago de datos de Microsoft Sentinel.
El procesamiento inicial de datos y la disponibilidad de gráficos de riesgo de datos para una investigación puede tardar entre 24 y 48 horas.
Importante
Siempre tiene un lago de datos. Si ya se ha incorporado al lago de datos con otro servicio de Microsoft, se usa el lago de datos existente. Si nunca se ha incorporado al lago de datos, la incorporación en Investigaciones de seguridad de datos (versión preliminar) permite Microsoft Sentinel lago de datos y gráfico en el portal de Defender.
Uso del gráfico de riesgo de datos
El gráfico de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar) visualiza de forma única las correlaciones entre los datos afectados, los usuarios y sus actividades. Proporciona un contexto crítico para guiar la mitigación y los pasos siguientes. Por ejemplo, al descubrir un documento altamente confidencial, los gráficos de riesgo de datos proporcionan visibilidad sobre qué usuarios lo descargaron o si accedieron a él desde una dirección IP de riesgo. Esta visibilidad le permite descubrir nuevos nodos para un incidente de seguridad de datos, como usuarios adicionales o contenido nuevo que requiere investigación.
Para ver el gráfico de riesgo de datos de una investigación, debe estar asignado al menos a un grupo de roles integrado de Investigaciones de seguridad de datos (versión preliminar):
- administradores de Investigaciones de seguridad de datos
- investigadores de Investigaciones de seguridad de datos
- Revisores de Investigaciones de seguridad de datos
Para obtener más información sobre los grupos de roles, consulte Asignación de permisos en Investigaciones de seguridad de datos.
Para usar el gráfico de riesgo de datos en Investigaciones de seguridad de datos (versión preliminar), siga estos pasos:
Vaya al portal de Microsoft Purview con una cuenta asignada a un grupo de roles Investigaciones de seguridad de datos (versión preliminar).
Seleccione la tarjeta de solución Investigaciones de seguridad de datos (versión preliminar) y, a continuación, seleccione Casos en el panel de navegación izquierdo.
Seleccione una investigación que desee revisar y, a continuación, seleccione una de las siguientes opciones:
- En Resumen, seleccione Administrar ámbito en la tarjeta Ámbito de investigación .
- Seleccione la pestaña Análisis para enumerar los elementos incluidos en el ámbito Investigación.
Seleccione los elementos (hasta 100) incluidos en el ámbito y, a continuación, seleccione Explorar información.
Nota:
Explore insights no está disponible a menos que configure Investigaciones de seguridad de datos (versión preliminar) para Microsoft Sentinel data lake y graph.
Filtre la hora según corresponda y seleccione nodos de grafos de riesgo de datos individuales para obtener más información sobre cada conexión durante la evaluación de prioridades.
Expanda las relaciones en el gráfico seleccionando el icono + en usuarios o recursos.
El gráfico de riesgo de datos contiene varios nodos. Al seleccionar un nodo se muestran detalles sobre el nodo:
- Detalles del usuario: muestra información sobre los usuarios asociados a la investigación. Esta información incluye información de la organización para cada usuario, incluido el nombre principal de usuario (UPN), las etiquetas, la ubicación, el puesto de trabajo, etc.
- Relaciones: muestra información sobre cómo iniciar y finalizar las conexiones entre nodos. Esta información incluye fechas de inicio y última conexión, tipos de relación, etc.
- Direcciones IP: muestra información sobre cada nodo de dirección IP.
- Detalles de datos: muestra información sobre archivos y sitios. Esta información incluye la ubicación del objeto, el tipo, las etiquetas y mucho más.
Puede ver la información del gráfico de riesgo de datos para los usuarios en función de los últimos 30 días de actividad. Esta duración es fija y no se puede extender.