Compartir a través de

Límites en la administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.

En este artículo se describen los límites de Administración de riesgos internos de Microsoft Purview.

Configuración global

Elemento Límite
Límites de período de devolución (Exchange Online). 10 días
Límites de período de reversión para todas las demás señales. 90 días
Número máximo de indicadores personalizados. 10
Número máximo de campos por indicador personalizado. 20
Número máximo de elementos de un grupo de detección 200
Número máximo de elementos de cada lista de exclusión global (dominios, sitios de SharePoint, rutas de acceso de archivo, palabras clave y tipos de archivo). 500 para cada lista
Número máximo de usuarios que puede agregar a un grupo de usuarios prioritario. 10,000
Número máximo de variantes por indicador. 3

Desencadenadores (por día natural UTC)

Elemento Límite
Indicadores personalizados 15 000
Todos los demás desencadenadores 5,000
Todas las señales recopiladas a través del conector de RR. HH. 15 000
Volumen máximo de desencadenador para una organización 50 000
Cuenta de usuario eliminada de Microsoft Entra ID 15 000

Nota:

Las limitaciones se aplican a cada tipo de desencadenador individual.

Número máximo de usuarios en el ámbito de una plantilla de directiva

Nombre de la plantilla Límite
Filtraciones de datos por parte de usuarios prioritarios 1,000
Pérdidas de datos por parte de usuarios de riesgo 7 500
Filtración de datos 15 000
Robo de datos por parte de los usuarios que abandonan la organización 20,000
Pruebas forenses Ilimitado
Uso indebido de datos del paciente (versión preliminar) 5,000
Uso de inteligencia artificial de riesgo 10,000
Uso de explorador de riesgo (versión preliminar) 7,000
Infracciones de la directiva de seguridad por parte de los usuarios que abandonan la organización 15 000
Infracciones de la directiva de seguridad por parte de los usuarios prioritarios 1,000
Infracciones de directivas de seguridad por parte de usuarios de riesgo 7 500
Infracciones de directivas de seguridad 1,000

Nota:

Puede agregar cualquier número de usuarios a una directiva. El límite se aplica a los usuarios en el ámbito de una plantilla de directiva (los usuarios se incluyen en el ámbito después de un evento desencadenante).

Otros límites de directiva

Elemento Límite
Número máximo de directivas que puede crear por tipo de plantilla. 100
Número máximo de extensiones de archivo de prioridad. 50
Número máximo de tipos de información confidencial de prioridad. 50
Número máximo de etiquetas de confidencialidad de prioridad. 50
Número máximo de sitios de prioridad. 50
Número máximo de clasificadores entrenables de prioridad. 5

Nota:

La columna Usuarios en el ámbito de la pestaña Directivas muestra el número de usuarios incluidos para una directiva.

Protección adaptativa

Elemento Límite
Número máximo de usuarios que puede incluir en una directiva de prevención de pérdida de datos (DLP) para cada nivel de riesgo. 10,000

Puntuación manual del usuario

Elemento Límite
Número máximo de usuarios que puede puntuar manualmente. 4 000

Casos

Elemento Límite
Número máximo de casos activos. 100

Exportación

Elemento Límite
Número máximo de alertas que puede exportar desde la página Alertas . 1,000
Número máximo de registros que puede exportar a un archivo CSV desde el Explorador de actividad. 100 000
Número máximo de usuarios que puede exportar desde la página Usuarios . 1,000

Límites de retención para alertas, casos y artefactos asociados

A medida que Insider Risk Management alerta de la antigüedad, su valor para minimizar la actividad potencialmente riesgosa disminuye para la mayoría de las organizaciones. Por el contrario, los casos activos y los artefactos asociados (alertas, información, actividades) siempre son útiles para las organizaciones y no deben tener una fecha de expiración automática. Este valor incluye todas las alertas y artefactos futuros en un estado activo para cualquier usuario asociado a un caso activo.

Para ayudar a minimizar el número de elementos anteriores que proporcionan un valor actual limitado, se aplican los siguientes límites de retención para alertas, casos e informes de usuario de Insider Risk Management:

Elemento Período de retención
Casos activos (y artefactos asociados) Retención indefinida, nunca expira.
Alertas con estado De revisión o Descartado 120 días desde la creación de alertas y, a continuación, se elimina automáticamente.
Casos resueltos (y artefactos asociados) 120 días a partir de la resolución de casos y, a continuación, se elimina automáticamente.
Informes de actividades de usuario 120 días después de la creación del informe y, a continuación, se elimina automáticamente.

Conectores

Elemento Límite
Número máximo de registros en el archivo JSON que procesa la API 50 000
  • Last updated on