Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Puede compartir datos de Insider Risk Management de las siguientes maneras:
- Exportar información de alertas a soluciones SIEM.
- Comparta alertas y niveles de gravedad de riesgo de usuario con Microsoft Defender XDR.
- Comparta los niveles de gravedad de riesgo del usuario con alertas de prevención de pérdida de datos (DLP).
Exportación de información de alertas a soluciones SIEM
Puede exportar Administración de riesgos internos de Microsoft Purview información de alertas a soluciones de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) mediante el esquema de api de actividad de administración de Office 365. Use las API de actividad de administración de Office 365 para exportar información de alertas a otras aplicaciones que su organización usa para administrar o agregar información de riesgo interno. La información de alertas se exporta y está disponible cada 60 minutos a través de las API de actividad de administración de Office 365.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Si su organización usa Microsoft Sentinel, también puede usar el conector de datos de Insider Risk Management integrado para importar información de alertas de riesgo internos a Microsoft Sentinel. Para obtener más información, consulte Insider Risk Management en el artículo de Microsoft Sentinel.
Importante
Para mantener la integridad referencial de los usuarios que tienen alertas o casos de riesgo internos en Microsoft 365 u otros sistemas, el anonimato de los nombres de usuario no se conserva para las alertas exportadas al usar la API de exportación o al exportar a soluciones de Microsoft Purview eDiscovery. Las alertas exportadas muestran nombres de usuario para cada alerta en este caso. Si exporta a archivos CSV desde alertas o casos, se conserva la anonimización.
Uso de las API para revisar la información de alertas de riesgo internos
- Inicie sesión en el portal de Microsoft Purview con credenciales para una cuenta de administrador en la organización de Microsoft 365.
- Seleccione Configuración en la esquina superior derecha de la página.
- Seleccione Insider Risk Management (Administración de riesgos internos ) para ir a la configuración de Administración de riesgos internos.
- Seleccione Exportar alertas. De forma predeterminada, esta configuración está deshabilitada para la organización de Microsoft 365.
- Active la configuración.
- Filtre las actividades comunes de auditoría de Office 365 por SecurityComplianceAlerts.
- Filtre SecurityComplianceAlerts por la categoría InsiderRiskManagement .
La información de alerta contiene información del esquema y el esquema común de alertas de seguridad y cumplimiento de api de actividad de Office 365 Management. Los siguientes campos y valores se exportan para las alertas de Insider Risk Management para el esquema común:
- CreationTime
- Id.
- Operación
- OrganizationId
- RecordType
- UserId
- UserKey
- UserType
Compartir niveles de gravedad de alerta con otras soluciones de seguridad de Microsoft
Puede compartir los niveles de gravedad de las alertas de Insider Risk Management para proporcionar un contexto de usuario único a las experiencias de investigación de alertas en las siguientes soluciones de seguridad de Microsoft:
- Microsoft Defender XDR
- Cumplimiento de comunicaciones de Microsoft Purview
- Prevención de pérdida de datos de Microsoft Purview (DLP)
Insider Risk Management analiza las actividades de los usuarios durante un período de 90 a 120 días y busca comportamientos anómalos durante ese período. Agregar estos datos a otras soluciones de seguridad mejora los datos disponibles en esas soluciones para ayudar a los analistas a priorizar las alertas.
Sugerencia
Los niveles de gravedad de alerta de Insider Risk Management son diferentes de los niveles de riesgo internos definidos en Adaptive Protection.
- Los niveles de gravedad de alerta (bajo, medio o alto) se asignan a los usuarios en función de la actividad detectada en las directivas de Administración de riesgos internos. El sistema calcula estos niveles a partir de las puntuaciones de riesgo de alerta asignadas a todas las alertas activas asociadas al usuario. Estos niveles ayudan a los analistas e investigadores de riesgo internos a priorizar y responder a la actividad del usuario en consecuencia.
- Los niveles de riesgo internos (elevados, moderados o menores) en Protección adaptable miden el riesgo determinado por condiciones definidas por el administrador, como el número de actividades de filtración que los usuarios realizan en un día o si su actividad generó una alerta de riesgo interno de gravedad alta.
Requisitos previos
Para compartir los niveles de riesgo de usuario de Insider Risk Management con otras soluciones de seguridad de Microsoft, el usuario debe cumplir las condiciones siguientes:
- Forme parte de una directiva de administración de riesgos internos.
- Realice actividades de filtración que lleven al usuario al ámbito de la directiva.
- Para compartir con DLP: tener permisos de alerta DLP. Una vez activada la configuración Uso compartido de datos, los usuarios con permisos de alerta DLP pueden acceder al contexto de Insider Risk Management para la investigación de alertas DLP y para la página Usuarios de Microsoft Defender XDR. Los usuarios con permisos de Insider Risk Management también pueden acceder a estos datos.
- Para compartir con el cumplimiento de comunicaciones: se le asignan los roles Analista de cumplimiento de comunicaciones o Investigador de cumplimiento de comunicaciones para ver los niveles de gravedad de riesgo del usuario y el historial de actividad en Cumplimiento de comunicaciones.
Sugerencia
Si tiene acceso a alertas DLP en Microsoft Purview o Microsoft Defender, puede ver el contexto de usuario desde Insider Risk Management compartido con esas soluciones.
Uso compartido de datos con otras soluciones de seguridad de Microsoft
Puede compartir los niveles de gravedad de las alertas de Insider Risk Management con otras soluciones de seguridad de Microsoft activando una sola configuración.
- En Configuración de Administración de riesgos internos, seleccione la opción Uso compartido de datos .
- En la sección Uso compartido de datos con otras soluciones de seguridad de Microsoft , active la configuración.
Nota:
Si no activa esta configuración, el valor que se muestra en la columna gravedad de riesgo de las alertas DLP es "Los datos de usuario no están disponibles" y se muestra como "Actividad de riesgo interno no disponible" en Cumplimiento de comunicaciones.
¿Qué ocurre cuando se comparten los niveles de gravedad de las alertas de Insider Risk Management?
En Microsoft Defender XDR
El uso compartido de datos de alertas en el portal de Microsoft Defender es fundamental para proteger la información confidencial de la organización y mantener la seguridad. Los analistas del Centro de operaciones de seguridad (SOC) pueden:
- Investigue las alertas de Insider Risk Management en la cola de alertas de Microsoft Defender.
- Investigue las alertas de Insider Risk Management correlacionadas con alertas de otros orígenes de detección, como prevención de pérdida de datos, Microsoft Defender de identidad, Microsoft Defender para Office y mucho más en la cola de incidentes de Microsoft Defender XDR.
- Ejecute consultas de búsqueda avanzada en dos tablas nuevas que contengan datos de alerta de Insider Risk Management.
- Exporte datos completos de alertas de Insider Risk Management a través de Microsoft Graph API.
- Vea la gravedad de Insider Risk Management para un usuario durante la evaluación de la evaluación de alertas. Se agrega un campo de gravedad de riesgo interno a la página Usuarios para los usuarios que tienen un nivel de riesgo alto, medio o bajo en Insider Risk Management. Estos datos están disponibles para cualquier usuario con una alerta de Insider Risk Management activa. En el lado derecho de la página Usuarios aparece un resumen de la actividad de riesgo interno y una escala de tiempo de actividad para ese usuario.
Migración desde las API de actividad de administración de Office 365 a las API de Microsoft Graph
Puede acceder a los metadatos de alertas de Insider Risk Management a través de Office 365 API de actividad de administración. Sin embargo, Graph API proporciona metadatos más completos y compatibilidad bidireccional. Se recomienda migrar a Graph API para integrar los datos de Insider Risk Management con los sistemas empresariales.
En la tabla siguiente se resumen los parámetros de API de actividad de administración de Office 365 más comunes y el parámetro de Microsoft Graph API equivalente:
| Office 365 parámetro de API de actividad de administración | Parámetro de Microsoft Graph API |
|---|---|
| Parámetro de alerta | No hay ningún parámetro equivalente |
| AlertId | ID |
| Categoría | ServiceSource |
| Comentarios | No hay ningún parámetro equivalente |
| Datos | Evidence.useraccount.userPrincipalName(junto con sufijo) |
| Nombre | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Severity | Severity |
| Origen | DetectionSource |
| Estado | Estado |
| Versión | No hay ningún parámetro equivalente |
Para obtener una asignación de esquema detallada, consulte el esquema de Defender XDR en la API de actividad de administración de Office 365 y Microsoft Graph API.
Integración de Insider Risk Management con operaciones de seguridad de ServiceNow
ServiceNow proporciona integraciones para conectarse con tecnologías de seguridad de Microsoft mediante Microsoft Graph. Estas soluciones incluyen Microsoft Sentinel, Microsoft Defender Advanced Threat Protection y Azure Advanced Threat Protection. Esta integración le permite acceder a información valiosa de los productos de Microsoft y le ayuda a administrar y responder de forma eficaz a los incidentes de seguridad de forma centralizada mediante la plataforma ServiceNow. Se accede a los datos de alerta de Administración de riesgos internos fuera del entorno de Microsoft Purview a través de la API de seguridad de Microsoft Graph.
Para compartir datos de alertas de Insider Risk Management con ServiceNow, siga estos pasos:
- Obtener la integración de ingesta de alertas de Microsoft Graph API para seguridad para operaciones de seguridad
- Siga la documentación de ServiceNow para configurar o crear un perfil para la integración de ingesta de alertas de Microsoft Graph API para seguridad.
Para obtener más información, consulte Investigación de amenazas de riesgo internos en el portal de Microsoft Defender.
En Alertas de cumplimiento de comunicaciones
Para cada coincidencia de directiva de cumplimiento de comunicaciones , puede ver la gravedad del riesgo del usuario asociada con el remitente. Vea esta información en la pestaña Actividad del usuario en la comunicación de la alerta. Esta vista proporciona el perfil de riesgo, las coincidencias de directivas y las actividades de usuario capturadas por Insider Risk Management y El cumplimiento de comunicaciones.
Los niveles de gravedad se clasifican como Alto, Medio, Bajo o Ninguno.
En el caso de los niveles de gravedad de riesgo de None, el motivo podría ser cualquiera de los siguientes escenarios:
- El usuario no está incluido en una directiva de riesgo interno.
- A las actividades del usuario no se les asigna una puntuación de riesgo, lo que significa que el usuario no está en el ámbito activo de la directiva.
- El usuario se incluye en una directiva de Administración de riesgos internos, pero no se involucró en ninguna actividad de riesgo.
- La organización no tiene una directiva de Administración de riesgos internos activa.
Si la gravedad del riesgo del usuario no está disponible, el uso compartido de datos no está habilitado desde Insider Risk Management.
Puede ver las actividades de riesgo internos durante un máximo de 120 días en la sección Ver detalles de la pestaña Historial de usuarios de Insider Risk Management. Actualmente, el resumen de actividad del usuario en Cumplimiento de comunicaciones muestra solo los datos de los indicadores de filtración.
En alertas DLP
Para la directiva De administración de riesgos internos asociada a la alerta DLP, la cola de alertas DLP incluye una columna de gravedad de riesgo interno con valores de Alto, Medio, Bajo o Ninguno. Si varios usuarios tienen actividades que coinciden con la directiva, la cola muestra al usuario con el nivel de riesgo interno más alto.
Un valor de None puede significar cualquiera de los siguientes:
El usuario no forma parte de ninguna directiva de Administración de riesgos internos.
El usuario forma parte de una directiva de Administración de riesgos internos, pero no realizó actividades de riesgo que las lleven al ámbito de la directiva (no hay datos de filtración).
Puede seleccionar el nivel de riesgo interno en la cola de alertas DLP para acceder a la pestaña Resumen de actividad de usuario , que muestra una escala de tiempo de todas las actividades de filtración para ese usuario durante los últimos 90-120 días. Al igual que la cola de alertas DLP, la pestaña Resumen de actividad de usuario muestra al usuario con el nivel de riesgo interno más alto. Este contexto profundo de lo que hizo un usuario en los últimos 90 a 120 días proporciona una visión más amplia de los riesgos que presenta ese usuario.
Solo los datos de los indicadores de filtración aparecen en el resumen de actividad del usuario. Los datos de otros indicadores confidenciales, como RR. HH., exploración, etc., no comparten con las alertas DLP.
Se agrega una sección de detalles de actor a la página Detalles de la alerta DLP. Puede usar esta página para ver todos los usuarios implicados en la alerta DLP específica. Para cada usuario implicado en la alerta DLP, puede ver todas las actividades de filtración de los últimos 90 a 120 días.
Si selecciona Obtener un resumen de Security Copilot en una alerta DLP, el resumen de alerta proporcionado por Microsoft Security Copilot incluye el nivel de gravedad de Insider Risk Management además de la información de resumen dlp, si el usuario está en el ámbito de una directiva de Administración de riesgos internos.
Sugerencia
También puede usar Security Copilot para investigar alertas DLP. Si la configuración de uso compartido de datos de Insider Risk Management está activada, puede realizar una investigación combinada de DLP/Insider Risk Management. Por ejemplo, es posible que quiera empezar pidiendo a Copilot que resuma una alerta DLP y, a continuación, pida a Copilot que muestre el nivel de riesgo interno asociado al usuario marcado en la alerta. O bien, es posible que quiera preguntar por qué el usuario se considera un usuario de alto riesgo. La información de riesgo del usuario en este caso procede de Insider Risk Management. Security Copilot integra sin problemas Insider Risk Management con DLP para ayudar con las investigaciones. Obtenga más información sobre el uso de la versión independiente de Copilot para las investigaciones combinadas de DLP/Insider Risk Management.