Compartilhar via

Gráfico de risco de dados na Gestão de Riscos Internos

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A Gestão de Riscos Internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Os gráficos de risco de dados na Gestão de Riscos Internos fornecem uma experiência de investigação visual que combina dados de atividade e recursos numa única vista. Com tecnologia Microsoft Sentinel integração, resume a atividade relacionada com alertas por um potencial insider nos últimos 30 dias, ajudando os analistas a fazer a triagem de alertas ao revelar ligações contextuais ocultas.

Para obter mais informações sobre Microsoft Sentinel integração, consulte Saiba mais sobre Microsoft Sentinel no Microsoft Purview.

Importante

Não pode utilizar esta funcionalidade com a definição de privacidade de nomes de utilizador anónimos ativada. Se tiver nomes de utilizador anónimos, o gráfico não será carregado.

Observação

Administração unidades não são suportadas no gráfico de risco de dados. Se tiver o âmbito de uma unidade de administração, os dados não serão apresentados em gráficos de risco de dados.

Atividades suportadas no gráfico de risco de dados

O gráfico de risco de dados suporta atualmente as seguintes atividades de exfiltração:

  • Ligações anónimas criadas no SharePoint ou no OneDrive
  • Ligações anónimas utilizadas através do SharePoint ou do OneDrive
  • Ligações da empresa criadas no SharePoint ou no OneDrive
  • Transferências de ficheiros do SharePoint e do OneDrive
  • Nome dos ficheiros mudados no SharePoint e no OneDrive

Para obter mais informações sobre indicadores de deteção de exfiltração, veja Configurar indicadores de política na Gestão de Riscos Internos.

Antes de começar

Antes de poder utilizar gráficos de risco de dados na Gestão de Riscos Internos, conclua os seguintes passos:

Configurar o gráfico de risco de dados

Importante

Tem sempre um data lake. Se já tiver integrado o data lake com outro serviço Microsoft, será utilizado o data lake existente. Se nunca tiver integrado no data lake, a integração na Gestão de Riscos Internos ativa Microsoft Sentinel data lake e gráfico no portal do Defender.

Depois de concluir os pré-requisitos e compreender as alterações que Microsoft Sentinel data lake e gráficos efetuam à sua organização, conclua os seguintes passos para configurar o gráfico de risco de dados na Gestão de Riscos Internos:

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.

  1. Aceda ao portal do Microsoft Purview com uma conta atribuída à função Administrador Global ou Administrador de Segurança .

  2. Selecione a solução Gestão de Riscos Internos card e, em seguida, selecione Ações recomendadas no painel de navegação esquerdo.

  3. Na secção Proteção abrangente , selecione Configurar o data lake e o gráfico de risco de dados.

    Se não tiver as permissões corretas para configurar o data lake, é apresentada uma notificação para contactar um administrador global ou de faturação na sua organização.

  4. No separador Configuração , em Configurar o data lake & gráfico de risco, configure as seguintes definições:

    1. Subscrição: introduza o Azure subscrição que pretende utilizar. A subscrição selecionada tem de ser válida e acessível e tem de ser o proprietário da subscrição.
    2. Grupo de recursos: introduza o grupo de recursos que pretende utilizar. O grupo de recursos selecionado tem de ser válido e acessível.

    Importante

    Depois de o data lake ser aprovisionado para uma subscrição de Azure específica e um grupo de recursos, não pode migrá-lo para uma subscrição ou grupo de recursos diferente.

  5. Selecione Configuração.

O processo de configuração começa e a integração pode demorar até 60 minutos a concluir. Pode fechar o painel de configuração enquanto o processo está em execução. Após a conclusão do processo de integração, verá Concluído em Configurar o data lake & gráfico de risco. O gráfico de risco de dados mostra eventos que ocorrem após a criação ou inclusão do data lake Microsoft Sentinel.

O processamento inicial da disponibilidade de gráficos de risco de dados e dados para investigações pode demorar entre 24 e 48 horas.

Importante

Quando o gráfico de risco de dados é criado pela primeira vez, inclui os sete dias de dados mais recentes. À medida que o gráfico de risco de dados é atualizado ao longo do tempo, a janela de pesquisa expande-se até um máximo de 30 dias. O gráfico de risco de dados pode demorar algum tempo a atingir a janela completa de 30 dias, pelo que espera um crescimento gradual após a configuração inicial.

Utilizar gráfico de risco de dados

O gráfico de risco de dados na Gestão de Riscos Internos visualiza de forma exclusiva as correlações entre os dados afetados, os utilizadores e as respetivas atividades. Fornece contexto crítico para orientar a mitigação e os passos seguintes. Por exemplo, quando deteta um alerta relacionado com um documento altamente confidencial, os gráficos de risco de dados dão-lhe visibilidade sobre os utilizadores que o transferiram ou se acederam ao mesmo a partir de um endereço IP de risco. Esta visibilidade permite-lhe descobrir novos nós para um incidente de segurança de dados, como utilizadores adicionais ou novos conteúdos relacionados com um alerta.

Para ver o gráfico de risco de dados de um alerta, tem de lhe ser atribuída a função Leitor de Gráficos gestão de risco interno. Esta função está incluída por predefinição em vários grupos de funções incorporadas da Gestão de Riscos Internos. Para obter mais informações, veja Atribuir permissões na Gestão de Riscos Internos.

Importante

Todos os nomes de utilizador são visíveis no gráfico de risco de dados, mesmo que a pseudonimização esteja ativada nas definições de privacidade da Gestão de Riscos Internos.

Exemplo de gráfico de risco de dados da Gestão de Riscos Internos.

Para utilizar o gráfico de risco de dados na Gestão de Riscos Internos, conclua os seguintes passos:

  1. Aceda ao portal do Microsoft Purview com uma conta atribuída à função Leitor de Gráficos gestão de risco interno.
  2. Selecione a solução Gestão de Riscos Internos card e, em seguida, selecione Alertas no painel de navegação esquerdo.
  3. Selecione um alerta a rever e, em seguida, selecione o separador Gráfico de risco de dados .
  4. Filtre o tempo conforme aplicável e selecione nós de grafos de risco de dados individuais para obter mais informações sobre cada ligação durante a triagem.
  5. Expanda as relações no gráfico ao selecionar o ícone + em utilizadores ou recursos.

O gráfico de risco de dados contém vários nós. Selecionar um nó mostra detalhes sobre o nó:

  • Detalhes do utilizador: mostra informações sobre os utilizadores associados ao alerta. Estas informações incluem informações da organização para cada utilizador, incluindo o Nome Principal de Utilizador (UPN), etiquetas, localização, cargo e muito mais.
  • Detalhes dos dados: mostra informações sobre ficheiros e sites. Estas informações incluem a localização do objeto, o tipo, as etiquetas e muito mais.

Pode ver as informações do gráfico de risco de dados para os utilizadores com base nos últimos 30 dias de atividade. Esta duração fixa não é expansível.

  • Last updated on