Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A Gestão de Riscos Internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.
Pode partilhar dados da Gestão de Riscos Internos das seguintes formas:
- Exportar informações de alerta para soluções SIEM.
- Partilhe alertas e níveis de gravidade de risco de utilizador com Microsoft Defender XDR.
- Partilhe níveis de gravidade de risco do utilizador com alertas de prevenção de perda de dados (DLP).
Exportar informações de alerta para soluções SIEM
Pode exportar Gerenciamento de Risco Interno do Microsoft Purview informações de alerta para informações de segurança e soluções de gestão de eventos (SIEM) e resposta automatizada de orquestração de segurança (SOAR) com o esquema da API de Atividade de Gestão de Office 365. Utilize as APIs de Atividade de Gestão de Office 365 para exportar informações de alerta para outras aplicações que a sua organização utiliza para gerir ou agregar informações de risco interno. As informações de alerta são exportadas e disponíveis a cada 60 minutos através das APIs de Atividade de Gestão de Office 365.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Se a sua organização utilizar o Microsoft Sentinel, também pode utilizar o conector de dados de Gestão de Riscos Internos inicial para importar informações de alerta de risco interno para o Microsoft Sentinel. Para obter mais informações, veja Gestão de Riscos Internos no artigo do Microsoft Sentinel.
Importante
Para manter a integridade referencial dos utilizadores que têm alertas ou casos de risco interno no Microsoft 365 ou noutros sistemas, a anonimização dos nomes de utilizador não é preservada para alertas exportados ao utilizar a API de exportação ou ao exportar para soluções Descoberta Eletrônica do Microsoft Purview. Os alertas exportados apresentam nomes de utilizador para cada alerta neste caso. Se exportar para ficheiros CSV a partir de alertas ou casos, a anonimização é preservada.
Utilizar as APIs para rever informações de alertas de risco interno
- Inicie sessão no portal do Microsoft Purview com credenciais para uma conta de administrador na sua organização do Microsoft 365.
- Selecione Definições no canto superior direito da página.
- Selecione Gestão de Riscos Internos para aceder às definições da Gestão de Riscos Internos.
- Selecione Exportar alertas. Por predefinição, esta definição está desativada para a sua organização do Microsoft 365.
- Ative a definição.
- Filtre as atividades comuns de auditoria Office 365 por SecurityComplianceAlerts.
- Filtre SecurityComplianceAlerts pela categoria InsiderRiskManagement .
As informações de alerta contêm informações do esquema de Segurança e Alertas de Conformidade da API de Atividade de Gestão Office 365 e esquema comum. Os seguintes campos e valores são exportados para alertas de Gestão de Riscos Internos para o esquema comum:
- CreationTime
- ID
- Operação
- OrganizationId
- RecordType
- UserId
- UserKey
- UserType
Partilhar níveis de gravidade de alertas com outras soluções de segurança da Microsoft
Pode partilhar níveis de gravidade de alertas da Gestão de Riscos Internos para trazer contexto de utilizador exclusivo para alertar as experiências de investigação nas seguintes soluções de segurança da Microsoft:
- Microsoft Defender XDR
- Conformidade de Comunicação do Microsoft Purview
- Prevenção Contra Perda de Dados do Microsoft Purview (DLP)
A Gestão de Riscos Internos analisa as atividades dos utilizadores durante um período de 90 a 120 dias e procura um comportamento anómalo durante esse período. Adicionar estes dados a outras soluções de segurança melhora os dados disponíveis nessas soluções para ajudar os analistas a priorizar alertas.
Dica
Os níveis de gravidade dos alertas na Gestão de Riscos Internos são diferentes dos níveis de risco interno definidos na Proteção Adaptável.
- Os níveis de gravidade dos alertas (Baixo, Médio ou Alto) são atribuídos aos utilizadores com base na atividade detetada nas políticas de Gestão de Riscos Internos. O sistema calcula estes níveis a partir das classificações de risco de alerta atribuídas a todos os alertas ativos associados ao utilizador. Estes níveis ajudam os analistas de risco interno e os investigadores a priorizar e responder à atividade dos utilizadores em conformidade.
- Níveis de risco interno (Elevado, Moderado ou Menor) em Risco de medida de Proteção Adaptável determinado por condições definidas pelo administrador, como o número de atividades de transferência de dados não autorizadas executadas pelos utilizadores num dia ou se a atividade gerou um alerta de risco interno de gravidade elevada.
Pré-requisitos
Para partilhar níveis de risco de utilizadores da Gestão de Riscos Internos com outras soluções de segurança da Microsoft, o utilizador tem de cumprir as seguintes condições:
- Faça parte de uma política de Gestão de Riscos Internos.
- Execute atividades de exfiltração que trazem o utilizador para o âmbito da política.
- Para partilhar com DLP: tenha permissões de alerta DLP. Depois de ativada a definição Partilha de dados, os utilizadores com permissões de alerta DLP podem aceder ao contexto de Gestão de Riscos Internos para a investigação de alertas DLP e para a página Utilizadores do Microsoft Defender XDR. Os utilizadores com permissões de Gestão de Riscos Internos também podem aceder a estes dados.
- Para partilhar com a Conformidade de Comunicações: ser-lhe-ão atribuídas as funções Analista de Conformidade de Comunicações ou Investigador de Conformidade de Comunicações para ver os níveis de gravidade de risco do utilizador e o histórico de atividade em Conformidade de Comunicações.
Dica
Se tiver acesso a alertas DLP no Microsoft Purview e/ou Microsoft Defender, pode ver o contexto de utilizador da Gestão de Riscos Internos partilhado com essas soluções.
Partilhar dados com outras soluções de segurança da Microsoft
Pode partilhar níveis de gravidade de alertas da Gestão de Riscos Internos com outras soluções de segurança da Microsoft ao ativar uma única definição.
- Nas definições de Gestão de Riscos Internos, selecione a definição Partilha de dados .
- Na secção Partilhar dados com outras soluções de segurança da Microsoft , ative a definição.
Observação
Se não ativar esta definição, o valor apresentado na coluna DLP alertas de gravidade de risco interno é "Os dados do utilizador não estão disponíveis" e é apresentado como "Atividade de Risco Interno não disponível" em Conformidade de Comunicação.
O que acontece quando partilha níveis de gravidade de alertas da Gestão de Riscos Internos?
Em Microsoft Defender XDR
A partilha de dados de alertas no portal do Microsoft Defender é fundamental para proteger as informações confidenciais da sua organização e manter a segurança. Os analistas do Centro de Operações de Segurança (SOC) podem:
- Investigue os alertas da Gestão de Riscos Internos na fila de alertas do Microsoft Defender.
- Investigue alertas de Gestão de Riscos Internos correlacionados com alertas de outras origens de deteção, como Prevenção de Perda de Dados, Microsoft Defender para Identidade, Microsoft Defender para o Office e muito mais na fila de incidentes Microsoft Defender XDR.
- Execute consultas de Investigação Avançada em duas novas tabelas que contêm dados de alerta da Gestão de Riscos Internos.
- Exportar dados de alertas avançados da Gestão de Riscos Internos através do Microsoft API do Graph.
- Veja a gravidade da Gestão de Riscos Internos para um utilizador durante a triagem de alertas. É adicionado um campo de gravidade de risco Interno à página Utilizadores para utilizadores com um nível de risco Alto, Médio ou Baixo na Gestão de Riscos Internos. Estes dados estão disponíveis para todos os utilizadores com um alerta ativo da Gestão de Riscos Internos. É apresentado um resumo da atividade de risco interno e linha do tempo de atividade para esse utilizador no lado direito da página Utilizadores.
Migrar das APIs de atividade de gestão Office 365 para as APIs do Microsoft Graph
Pode aceder aos metadados de alertas da Gestão de Riscos Internos através da API de atividade de gestão de Office 365. No entanto, API do Graph fornece metadados mais avançados e suporte bidirecional. Recomendamos que migre para API do Graph para integrar dados de Gestão de Riscos Internos nos seus sistemas empresariais.
A tabela seguinte resume os parâmetros da API de atividade de gestão de Office 365 mais comuns e o parâmetro de API do Graph da Microsoft equivalente:
| parâmetro da API de atividade de gestão de Office 365 | Parâmetro do Microsoft API do Graph |
|---|---|
| Parâmetro de alerta | Nenhum parâmetro equivalente |
| AlertId | ID |
| Categoria | ServiceSource |
| Comments | Nenhum parâmetro equivalente |
| Data | Evidence.useraccount.userPrincipalName(juntamente com o sufixo) |
| Nome | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Severity | Severity |
| Origem | DetectionSource |
| Status | Status |
| Versão | Nenhum parâmetro equivalente |
Para obter um mapeamento detalhado do esquema, veja o esquema de Defender XDR na API de atividade de gestão de Office 365 e no Microsoft API do Graph.
Integrar a Gestão de Riscos Internos nas Operações de Segurança do ServiceNow
O ServiceNow fornece integrações para se ligar às tecnologias de segurança da Microsoft com o Microsoft Graph. Estas soluções incluem o Microsoft Sentinel, o Microsoft Defender Advanced Threat Protection e o Azure Advanced Threat Protection. Esta integração permite-lhe aceder a informações valiosas dos produtos Microsoft e ajuda-o a gerir e responder de forma eficiente a incidentes de segurança centralmente através da plataforma ServiceNow. Os dados de alerta da Gestão de Riscos Internos são acedidos fora do ambiente do Microsoft Purview através da API de segurança do Microsoft Graph.
Para partilhar dados de alertas da Gestão de Riscos Internos com o ServiceNow, conclua os seguintes passos:
- Obter a Integração de Ingestão de Alertas do Microsoft Graph API de Segurança para Operações de Segurança
- Siga a documentação do ServiceNow para configurar ou criar um perfil para a integração de ingestão de alertas do Microsoft Graph API de Segurança.
Para obter mais informações, veja Investigar ameaças de risco interno no portal do Microsoft Defender.
Em Alertas de Conformidade de Comunicações
Para cada correspondência de política de Conformidade de Comunicação , pode ver a gravidade de risco do utilizador associada ao remetente. Veja estas informações no separador Atividade do utilizador em comunicação para o alerta. Esta vista fornece perfis de risco, correspondências de políticas e atividades de utilizador capturadas pela Gestão de Riscos Internos e Conformidade de Comunicações.
Os níveis de gravidade são categorizados como Alto, Médio, Baixo ou Nenhum.
Para níveis de gravidade de risco de Nenhum, o motivo pode ser para qualquer um dos seguintes cenários:
- O utilizador não está incluído numa política de risco interno.
- Não é atribuída uma classificação de risco às atividades do utilizador, o que significa que o utilizador não está no âmbito ativo da política.
- O utilizador está incluído numa política de Gestão de Riscos Internos, mas não participou em nenhuma atividade de risco.
- A organização não tem uma política ativa de Gestão de Riscos Internos.
Se a gravidade do risco do utilizador não estiver disponível, a partilha de dados não será ativada a partir da Gestão de Riscos Internos.
Pode ver atividades de risco interno durante um máximo de 120 dias na secção Ver Detalhes no separador Histórico de utilizadores na Gestão de Riscos Internos. Atualmente, o resumo da atividade do utilizador em Conformidade de Comunicações mostra apenas dados de indicadores de exfiltração.
Em alertas DLP
Para a política de Gestão de Riscos Internos associada ao alerta DLP, a fila de alertas DLP inclui uma coluna de gravidade de risco Interno com valores de Alto, Médio, Baixo ou Nenhum. Se vários utilizadores tiverem atividades que correspondam à política, a fila apresenta o utilizador com o nível de risco interno mais elevado.
Um valor de Nenhum pode significar qualquer um dos seguintes:
O utilizador não faz parte de nenhuma política de Gestão de Riscos Internos.
O utilizador faz parte de uma política de Gestão de Riscos Internos, mas não efetuou atividades de risco que os coloquem no âmbito da política (não existem dados de exfiltração).
Pode selecionar o nível de risco interno na fila de alertas DLP para aceder ao separador Resumo da atividade do utilizador, que mostra uma linha do tempo de todas as atividades de transferência de ficheiros para esse utilizador nos últimos 90 a 120 dias. Tal como na fila de alertas DLP, o separador Resumo da atividade do utilizador mostra o utilizador com o nível de risco interno mais elevado. Este contexto aprofundado sobre o que um utilizador fez nos últimos 90 a 120 dias fornece uma visão mais ampla dos riscos apresentados por esse utilizador.
Apenas os dados dos indicadores de exfiltração são apresentados no resumo da atividade do utilizador. Os dados de outros indicadores confidenciais, como RH, navegação, etc., não partilham com alertas DLP.
É adicionada uma secção Detalhes do ator à página de detalhes do Alerta DLP. Pode utilizar esta página para ver todos os utilizadores envolvidos no alerta DLP específico. Para cada utilizador envolvido no alerta DLP, pode ver todas as atividades de exfiltração dos últimos 90 a 120 dias.
Se selecionar Obter um resumo de Security Copilot num alerta DLP, o resumo do alerta fornecido pelo Microsoft Security Copilot inclui o nível de gravidade gestão de risco interno, além das informações de resumo DLP, se o utilizador estiver no âmbito de uma política de Gestão de Riscos Internos.
Dica
Também pode utilizar Security Copilot para investigar alertas DLP. Se a definição Partilha de Dados de Gestão de Riscos Internos estiver ativada, pode efetuar uma investigação combinada de Gestão de Riscos DLP/Insider. Por exemplo, poderá querer começar por pedir ao Copilot para resumir um alerta DLP e, em seguida, pedir ao Copilot para mostrar o nível de risco interno associado ao utilizador sinalizado no alerta. Em alternativa, poderá querer perguntar por que motivo o utilizador é considerado um utilizador de alto risco. As informações de risco do utilizador neste caso são provenientes da Gestão de Riscos Internos. Security Copilot integra totalmente a Gestão de Riscos Internos com dLP para ajudar nas investigações. Saiba mais sobre como utilizar a versão autónoma do Copilot para investigações combinadas de Gestão de Riscos DLP/Insider.