Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Al habilitar Administración de riesgos internos de Microsoft Purview análisis, obtiene varias ventajas importantes. Puede:
- Evalúe los posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno.
- Obtenga instrucciones en tiempo real sobre cómo configurar los valores de umbral del indicador.
- Genere la gravedad del riesgo interno y el resumen de la actividad del usuario para los usuarios que no forman parte de las directivas. Comparta esta información de resumen con prevención de pérdida de datos, cumplimiento de comunicaciones y Microsoft Defender.
Evaluación de riesgos internos en la organización
Administración de riesgos internos de Microsoft Purview análisis le permite evaluar posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno. Esta evaluación puede ayudar a su organización a identificar posibles áreas de mayor riesgo de usuario y ayudar a determinar el tipo y el ámbito de las directivas de Insider Risk Management que desea configurar. Los exámenes de análisis ofrecen las siguientes ventajas para su organización:
- Fácil de configurar: seleccione Ejecutar examen cuando se le solicite la recomendación de análisis o vaya a Configuración de> riesgo de InsiderAnálisis y habilite el análisis.
- Privacidad por diseño: los resultados escaneados y la información se devuelven como actividad de usuario agregada y anónima. Los revisores no pueden identificar nombres de usuario individuales. Dado que Insider Risk Management no clasifica ninguna identidad de la organización para el análisis, la solución representa todos los UPN o identidades que podrían estar implicados en los datos que salen del límite de la organización. Este proceso puede implicar cuentas de usuario, cuentas del sistema, cuentas de invitado, etc.
- Descripción de los riesgos potenciales a través de información consolidada: los resultados del examen le ayudan a identificar rápidamente posibles áreas de riesgo para los usuarios y qué directiva ayuda mejor a mitigar estos riesgos.
Para obtener información sobre cómo el análisis puede ayudar a acelerar la identificación de posibles riesgos internos, consulte el vídeo análisis de Insider Risk Management.
Áreas examinadas
Análisis examina varios orígenes de actividad de administración de riesgos para ayudarle a identificar información sobre posibles áreas de riesgo. En función de la configuración actual, el análisis busca actividades de riesgo aptas en las siguientes áreas:
- Registros de auditoría de Microsoft 365: incluidos en todos los exámenes, este origen principal le ayuda a identificar la mayoría de las actividades potencialmente de riesgo.
- Exchange Online: incluido en todos los exámenes, Exchange Online actividad le ayuda a identificar las actividades en las que los datos adjuntos se envían por correo electrónico a contactos o servicios externos.
- Microsoft Entra ID: incluido en todos los exámenes, el historial de Microsoft Entra le ayuda a identificar las actividades de riesgo asociadas a los usuarios con cuentas de usuario eliminadas.
- Conector de datos de RR. HH. de Microsoft 365: si está configurado, los eventos del conector de RR. HH . le ayudan a identificar las actividades de riesgo asociadas a los usuarios que tienen dimisión o próximas fechas de finalización.
La información de análisis de los exámenes usa las mismas señales de actividad de administración de riesgos que las directivas de Insider Risk Management. Notifican resultados basados en actividades de usuario únicas y de secuencia. Sin embargo, la puntuación de riesgos para el análisis usa hasta 10 días de actividad, mientras que las directivas de riesgo internos usan la actividad diaria para obtener información. La primera vez que habilita y ejecuta análisis en su organización, verá los resultados del examen durante un día. Si deja habilitado el análisis, verá los resultados de cada examen diario agregados a los informes de información para un intervalo máximo de los 10 días anteriores de actividad.
Recibir instrucciones en tiempo real sobre cómo configurar los valores de umbral del indicador
El ajuste manual de directivas para reducir el "ruido" puede ser una experiencia que requiere mucho tiempo y requiere muchas pruebas de prueba y errores para determinar la configuración deseada para las directivas. Si activa el análisis, puede obtener información en tiempo real para ayudarle a ajustar de forma eficaz la selección de indicadores y umbrales de repetición de actividad para que no reciba demasiadas alertas de directiva o demasiadas. Obtenga más información sobre el uso de análisis en tiempo real para ayudar a administrar el volumen de alertas.
Habilitación del análisis e inicio de un examen de posibles riesgos internos en la organización
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Para habilitar el análisis de riesgos internos, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365 .
- Inicie sesión en el portal de Microsoft Purview con una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución de Administración de riesgos internos.
- En la pestaña Información general , desplácese hacia abajo hasta la tarjeta Análisis de riesgos internos y, a continuación, en Buscar riesgos internos en su organización, seleccione Ejecutar examen. Esta acción activa el análisis de la organización. Los resultados del análisis pueden tardar hasta 48 horas en estar disponibles como informes para su revisión.
Sugerencia
También puede activar el examen en su organización a través de Configuración en la parte superior de cualquier página de Administración de riesgos internos. Seleccione Análisis y, a continuación, active la configuración.
Visualización de información de análisis después del primer examen de análisis
Para ver los resultados del análisis de la organización, vaya a Análisis deinformes> de Insider Risk Management>. Para obtener más información sobre los informes, consulte Uso de informes en Insider Risk Management.
Desactivar el análisis
Para desactivar el análisis de riesgos internos, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con una cuenta de administrador en su organización de Microsoft 365.
- Seleccione Configuración en la esquina superior derecha de la página.
- Seleccione Insider Risk Management (Administración de riesgos internos ) para ir a la configuración de Administración de riesgos internos.
- En Configuración de riesgos internos, seleccione Análisis y, a continuación, desactive la configuración.
Al deshabilitar el análisis:
- Los informes de información de análisis dejan de actualizarse y no muestran nuevos riesgos.
- No puede ver análisis en tiempo real al personalizar la configuración del umbral de indicador para las directivas.
Habilitación del análisis de nivel de usuario en la organización
Insider Risk Management genera resúmenes de actividad de usuario e información de gravedad de riesgo interno para comportamientos potencialmente peligrosos en un nivel de usuario. Puede ver estas conclusiones en las siguientes experiencias:
- Alertas de prevención de pérdida de datos (DLP)
- Directivas de cumplimiento de comunicaciones
- Microsoft Defender alertas y páginas de entidad de usuario
Los análisis de usuarios cubren todos los usuarios aptos de su organización, incluidos los usuarios que no están en el ámbito de ninguna directiva de Insider Risk Management. Al investigar alertas en Microsoft Defender, DLP o Cumplimiento de comunicaciones, los analistas tienen acceso automáticamente a la información del usuario que ayuda a mejorar las evaluaciones de riesgos. Los analistas también pueden usar la gravedad del riesgo interno para identificar rápidamente las alertas más atroz y sensibles al tiempo y priorizar estas alertas para la investigación y la corrección.
Para habilitar el análisis de nivel de usuario de riesgo interno, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con una cuenta de administrador en su organización de Microsoft 365.
- Seleccione Configuración en la esquina superior derecha de la página.
- Seleccione Insider Risk Management (Administración de riesgos internos ) para ir a la configuración de Administración de riesgos internos.
- En Configuración de Insider Risk Management, seleccione Análisis y active la opción Mostrar información a nivel de usuario .
- En Configuración de Insider Risk Management, seleccione Uso compartido de datos y active la configuración Compartir los detalles de riesgo del usuario con otras soluciones de seguridad .