Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Use informes en Administración de riesgos internos de Microsoft Purview para comprender el panorama del programa de riesgo interno. Los informes proporcionan información detallada y de resumen para todas las áreas relacionadas con el riesgo interno, incluidas las alertas, los casos, la actividad del usuario y el análisis generados a partir de actividades de riesgo aptas en los servicios de Microsoft para ayudar a identificar información sobre posibles áreas de riesgo.
Para obtener los informes siguientes, vaya a Insider Risk ManagementReports (Informes de administración de > riesgos internos) en el portal de Microsoft Purview:
- Alertas (versión preliminar): vea las tendencias de las alertas generadas , las acciones realizadas en las alertas a lo largo del tiempo y las alertas por directiva.
- Análisis: vea un resumen de las actividades de usuario anonimizadas detectadas en su organización.
- Casos (versión preliminar): vea las tendencias de los casos creados, las acciones realizadas en los casos a lo largo del tiempo y el estado de los casos por directiva y región.
- Actividad de usuario: revise la actividad de usuario reciente, independientemente de si el usuario está incluido en una directiva o alerta.
- Pago por uso (versión preliminar): revise los informes de uso de pago por uso para identificar oportunidades de ahorro de costos y ajustar las configuraciones de directiva.
Trabajar con informes
Para empezar a trabajar y ver los informes de Insider Risk Management, debe ser miembro del rol o grupo de roles aplicable. Los requisitos de permisos difieren para ver los informes de alertas y casos y los permisos necesarios para ver los informes de análisis. Si su organización usa unidades administrativas, el acceso puede variar para estos informes. Para más información, vea:
- Permisos para Insider Risk Management
- Permisos para la administración de riesgos internos y las unidades administrativas
Personalizar gráficos
Para cada área de informe, los controles de filtro de informe predefinidos y un selector de fechas le ayudan a limitar rápidamente la información a criterios o intervalos de fechas específicos. Seleccione un filtro en la parte superior de la página para cada área para limitar rápidamente todos los informes del área a una configuración de filtro. Para las fechas de informes, seleccione un mes específico o seleccione Últimos 3 meses para ver todos los datos del área de informe.
También puede elegir y elegir qué informes se van a mostrar de forma predeterminada en cada área de informe. Para personalizar los informes que se muestran en cada área, seleccione Personalizar vista. En el panel flotante Personalizar vista , puede elegir qué informes se van a mostrar y qué informes se ocultarán en cada área.
Detalles del gráfico
Para explorar los resultados de un informe, seleccione Ver detalles para el informe. En la vista de detalles, puede filtrar la información y cambiar la vista por fechas o directivas. Para exportar datos en un informe, seleccione Exportar para descargar una imagen del gráfico de informes o un archivo .csv con los valores del informe.
Informes de alertas (versión preliminar)
Investigar actividades de usuario potencialmente arriesgadas es un paso importante para minimizar los riesgos internos para su organización. Estos riesgos pueden ser actividades que generan alertas a partir de directivas de Insider Risk Management. Los informes de alertas proporcionan información sobre los volúmenes de alertas, el progreso de la administración de alertas, los orígenes de alertas comunes y el tiempo dedicado a la triaging. Puede filtrar rápidamente todos los informes de alertas por Todas las alertas, Alertas confirmadas y Alertas descartadas.
| Tipo de informe | Informe | Descripción |
|---|---|---|
| Resumen | Alertas generadas | Muestra el número de alertas de gravedad baja, media y alta generadas durante el intervalo de fechas especificado. |
| Alertas activadas | Muestra el número de alertas confirmadas a un caso o descartadas durante el intervalo de fechas especificado. | |
| Motivos de despido | Muestra... | |
| Demografía | Principales países o regiones con alertas | Muestra el número de alertas generadas para los usuarios en función del país o región en los que se encuentra. No especificado significa que su país o región no se especifica en Microsoft Entra ID. |
| Alertas generadas por el departamento | Muestra el número de alertas generadas para los usuarios en función del departamento en el que se encuentra. No especificado significa que su departamento no se especifica en Microsoft Entra ID. | |
| Información | Alertas por evento de desencadenamiento superior | Muestra el número de alertas basadas en los principales eventos desencadenantes detectados durante el intervalo de fechas especificado. |
| Alertas por actividad superior que generó la alerta | Muestra el número de alertas basadas en las actividades principales detectadas durante el intervalo de fechas especificado. | |
| Productividad | Estado de alerta por asignación | Muestra el número de alertas asignadas a administradores específicos, desglosadas por estado de alerta. |
| Las alertas de días promedio están en Revisión de necesidades | Muestra el promedio de días que las alertas permanecieron en un estado De necesidad de revisión durante el intervalo de fechas especificado. |
Informes de análisis
Una vez completado el primer examen de análisis de su organización, los miembros del grupo de roles Administradores de Administración de riesgos internos reciben automáticamente una notificación por correo electrónico. Pueden ver las conclusiones iniciales y las recomendaciones para actividades potencialmente arriesgadas por parte de los usuarios. Los exámenes diarios continúan a menos que desactive el análisis de su organización. Los administradores reciben notificaciones por correo electrónico para cada una de las tres categorías de ámbito para el análisis (fugas de datos, robo y filtración) después de la primera instancia de actividad potencialmente arriesgada en su organización. Los administradores no reciben notificaciones por correo electrónico para la detección de actividad de administración de riesgos de seguimiento resultante de los exámenes diarios.
Nota:
Si deshabilita y vuelve a habilitar la configuración de Analytics , restablecerá las notificaciones automáticas por correo electrónico. Los miembros del grupo de roles Administradores de Administración de riesgos internos reciben notificaciones por correo electrónico para obtener información de examen nueva.
Para ver posibles riesgos para su organización, vaya a Análisis deinformes> de Insider Risk Management>.
Nota:
Si el examen de su organización no está completo, verá un mensaje que indica que el examen sigue activo.
En el caso de los análisis completados, verá los posibles riesgos detectados en su organización y las conclusiones y recomendaciones para abordar estos riesgos. Los informes incluyen riesgos identificados e información específica agrupada por área, el número total de usuarios (todos los tipos de cuentas de Microsoft Entra, incluidos usuarios, invitados, sistema, etc.) con riesgos identificados, el porcentaje de estos usuarios con actividades potencialmente arriesgadas y una directiva de riesgo interno recomendada para ayudar a mitigar estos riesgos. Los informes incluyen:
- Información sobre fugas de datos: para todos los usuarios que pueden incluir el uso compartido accidental de información fuera de su organización o las pérdidas de datos por parte de los usuarios con intención malintencionada.
- Información sobre robo de datos: para usuarios que abandonan o usuarios con cuentas de Microsoft Entra eliminadas que podrían incluir el uso compartido de información fuera de su organización o el robo de datos por parte de usuarios con intención malintencionada.
- Información de filtración superior: para todos los usuarios que pueden incluir el uso compartido de datos fuera de su organización.
Para mostrar más información sobre una información, seleccione Ver detalles para mostrar el panel de detalles de la información. El panel de detalles incluye los resultados completos de la información, una recomendación de directiva de riesgo interno y Crear directiva para ayudarle a crear rápidamente la directiva recomendada. Al seleccionar Crear directiva , se le lleva al flujo de trabajo de directiva y se selecciona automáticamente la plantilla de directiva recomendada relacionada con la información. Por ejemplo, si la información de análisis es para la actividad de robo de datos , la plantilla de directiva de robo de datos se selecciona previamente en el flujo de trabajo de directivas automáticamente.
Informes de casos (versión preliminar)
Los casos le ayudan a investigar y actuar sobre los problemas generados por los indicadores de riesgo definidos en las directivas. Puede crear manualmente casos a partir de alertas cuando necesite realizar más acciones para solucionar un problema relacionado con el cumplimiento para un usuario. Los informes de casos proporcionan información de tendencia para ayudarle a realizar un seguimiento del tipo de casos, el estado actual de los casos, los casos por región o asignación, etc. Puede filtrar rápidamente todos los informes de casos por Todos los casos, Casos confirmados y Casos benignos.
| Tipo de informe | Informe | Descripción |
|---|---|---|
| Resumen | Casos creados | Muestra el número de casos creados durante el intervalo de fechas especificado. |
| Casos con acción | Muestra el número de casos con actividad durante el intervalo de fechas especificado. | |
| Demografía | Principales países o regiones con casos | Muestra el número de casos creados para los usuarios en función de su país o región. No especificado significa que su país o región no se especifica en Microsoft Entra ID. |
| Principales departamentos con casos | Muestra el número de casos creados para los usuarios en función de su departamento. No especificado significa que su país o región no se especifica en Microsoft Entra ID. | |
| Productividad | Estado del caso por asignación | Muestra el número de casos asignados a administradores específicos, desglosados por estado de alerta. |
| Promedio de días con estado activo | Muestra el promedio de días que los casos permanecieron en estado Activo durante el intervalo de fechas especificado. |
Informes de uso de pago por uso (versión preliminar)
Los informes de uso de pago por uso proporcionan transparencia y permiten una planificación presupuestaria y un ajuste de directivas más precisos. Los informes le permiten explorar desgloses pormenorizado del uso del procesamiento facturado en diferentes categorías de origen de datos e indicadores de actividad a lo largo del tiempo. Vea el uso y las tendencias, y comprenda los patrones de actividad. Esta información le permite identificar oportunidades de ahorro de costos y ajustar las configuraciones de directiva.
Este informe está disponible en la página Informes de forma predeterminada. Para obtener información adicional y requisitos previos, consulte Modelo de facturación de pago por uso.
Informes de actividad de usuario
Los informes de actividad de usuario permiten examinar actividades potencialmente de riesgo para usuarios específicos durante un período de tiempo definido sin asignar estas actividades, de forma temporal o explícita, a una directiva de Administración de riesgos internos. En la mayoría de los escenarios de Insider Risk Management, se definen explícitamente los usuarios en las directivas. Estos usuarios pueden tener alertas de directiva (en función de eventos desencadenantes) y puntuaciones de riesgo asociadas a las actividades. Pero en algunos escenarios, es posible que quiera examinar las actividades de los usuarios que no defina explícitamente en una directiva. Estas actividades pueden ser para los usuarios a los que recibe una sugerencia sobre el usuario y las actividades potencialmente de riesgo, o para los usuarios que normalmente no necesitan asignarse a una directiva de Administración de riesgos internos.
Después de configurar los indicadores en la página Configuración de administración de riesgos internos, la solución detecta la actividad del usuario para la actividad potencialmente de riesgo asociada a los indicadores seleccionados. Esta configuración hace que toda la actividad detectada para los usuarios esté disponible para su revisión, independientemente de si tiene un evento desencadenante o si crea una alerta. Los informes se crean por usuario y pueden incluir todas las actividades durante un período personalizado de 90 días. La solución no admite varios informes para el mismo usuario.
Después de examinar actividades potencialmente peligrosas, los investigadores pueden descartar las actividades de un usuario individual como benignas. También pueden compartir o enviar por correo electrónico un vínculo al informe con otros investigadores, o bien optar por asignar usuarios (de forma temporal o explícita) a una directiva de Administración de riesgos internos. Para ver la página Informes de actividad de usuario, debe asignar usuarios al grupo de roles Investigadores de Insider Risk Management .
Creación de un informe de actividad de usuario
Para crear un informe de actividad de usuario, complete los pasos siguientes:
- Vaya a Insider Risk Management ReportsUser activity (Actividad del usuario deinformes>de Insider Risk Management>).
- Seleccione Crear informe de actividad de usuario.
- Seleccione una fecha para la fecha de inicio.
- Seleccione una fecha para la fecha de finalización.
- En el campo Usuarios , busque uno o varios usuarios por nombre o nombre principal de usuario.
- Seleccione Crear informe.
Los datos de actividad del usuario están disponibles para informar de unas 48 horas después de que se produzca la actividad. Por ejemplo, para revisar los datos de actividad del usuario para el 1 de diciembre, debe esperar al menos 48 horas antes de crear el informe (puede crear un informe el 3 de diciembre como muy pronto).
Los informes nuevos suelen tardar hasta 10 horas en estar listos para su revisión. Cuando el informe está listo, el informe listo aparece en la columna Estado de la página Informe de actividad del usuario.
Visualización de un informe de actividad de usuario
Seleccione el usuario para ver el informe detallado:
El informe de actividad de usuario del usuario seleccionado contiene las pestañas Actividad de usuario, Explorador de actividad y Pruebas forenses :
- Actividad del usuario: use esta vista de gráfico para investigar actividades potencialmente de riesgo y ver las actividades potencialmente relacionadas que se producen en secuencias. Esta pestaña está estructurada para permitir la revisión rápida de un caso, incluida una escala de tiempo histórica de todas las actividades, los detalles de la actividad, la puntuación de riesgo actual del usuario en el caso, la secuencia de eventos de riesgo y los controles de filtrado para ayudar con los esfuerzos de investigación. Para obtener más información, vea Actividad de usuario.
- Explorador de actividades: esta pestaña proporciona a los investigadores de riesgos una herramienta de análisis completa que proporciona información detallada sobre las actividades. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de la actividad de riesgo detectada e identificar y filtrar todas las actividades potencialmente de riesgo asociadas a alertas. Para obtener más información, vea Explorador de actividad.
- Evidencia forense: esta pestaña permite a los investigadores de riesgo revisar las capturas visuales asociadas a actividades de riesgo incluidas en casos de detección de evidencia forense.