Investigación de actividades de administración de riesgos internos
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
La investigación de actividades de usuario potencialmente arriesgadas es un primer paso importante para minimizar los riesgos internos para su organización. Estos riesgos pueden ser actividades que generan alertas a partir de directivas de administración de riesgos internos. También pueden ser riesgos de las actividades relacionadas con el cumplimiento que detectan las directivas, pero no crean inmediatamente alertas de administración de riesgos internos para los usuarios. Puede investigar estos tipos de actividades mediante los informes de actividad de usuario (versión preliminar) o con el panel Alerta.
Sugerencia
Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para la seguridad en Microsoft Purview.
Informes de actividad de usuario
Los informes de actividad de usuario permiten examinar actividades potencialmente de riesgo (para usuarios específicos y durante un período de tiempo definido) sin tener que asignar estas actividades, de forma temporal o explícita, a una directiva de administración de riesgos internos. En la mayoría de los escenarios de administración de riesgos internos, los usuarios se definen explícitamente en las directivas y pueden tener alertas de directiva (en función de los eventos desencadenantes) y puntuaciones de riesgo asociadas a las actividades. Pero en algunos escenarios, es posible que desee examinar las actividades de los usuarios que no se definen explícitamente en una directiva. Estas actividades pueden ser para los usuarios a los que ha recibido una sugerencia sobre el usuario y las actividades potencialmente de riesgo, o para los usuarios que normalmente no necesitan asignarse a una directiva de administración de riesgos internos.
Después de configurar los indicadores en la página Configuración de administración de riesgos internos, se detecta la actividad del usuario para la actividad potencialmente arriesgada asociada a los indicadores seleccionados. Esta configuración significa que toda la actividad detectada para los usuarios está disponible para su revisión, independientemente de si tiene un evento desencadenante o si crea una alerta. Los informes se crean por usuario y pueden incluir todas las actividades durante un período personalizado de 90 días. No se admiten varios informes para el mismo usuario.
Después de examinar actividades potencialmente peligrosas, los investigadores pueden descartar las actividades de un usuario individual como benignas. También pueden compartir o enviar por correo electrónico un vínculo al informe con otros investigadores, o bien optar por asignar usuarios (de forma temporal o explícita) a una directiva de administración de riesgos internos. Los usuarios deben estar asignados al grupo de roles Investigadores de Administración de riesgos internos para ver la página Informes de actividad de usuario .
Para empezar, seleccione Administrar informes en la sección Investigar actividad de usuario de la página Información general sobre la administración de riesgos internos.
Para ver las actividades de un usuario, seleccione primero Crear informe de actividad de usuario y complete los campos siguientes en el panel Nuevo informe de actividad de usuario :
- Usuario: busque un usuario por nombre o dirección de correo electrónico.
- Fecha de inicio: use el control de calendario para seleccionar la fecha de inicio de las actividades del usuario.
- Fecha de finalización: use el control de calendario para seleccionar la fecha de finalización de las actividades del usuario. La fecha de finalización seleccionada debe ser mayor que dos días después de la fecha de inicio seleccionada y no superior a 90 días a partir de la fecha de inicio seleccionada.
Nota:
Los datos fuera del intervalo seleccionado se pueden incluir si el usuario se incluyó anteriormente en una alerta.
Los datos de actividad del usuario están disponibles para informar aproximadamente 48 horas después de que se produjo la actividad. Por ejemplo, para revisar los datos de actividad del usuario del 1 de diciembre, deberá asegurarse de que hayan transcurrido al menos 48 horas antes de crear el informe (crearía un informe el 3 de diciembre lo antes posible).
Los informes nuevos suelen tardar hasta 10 horas en estar listos para su revisión. Cuando el informe está listo, el informe listo aparece en la columna Estado de la página Informe de actividad del usuario. Seleccione el usuario para ver el informe detallado:
El informe de actividad de usuario del usuario seleccionado contiene las pestañas Actividad de usuario, Explorador de actividad y Pruebas forenses :
- Actividad del usuario: use esta vista de gráfico para investigar actividades potencialmente de riesgo y ver las actividades potencialmente relacionadas que se producen en secuencias. Esta pestaña está estructurada para permitir la revisión rápida de un caso, incluida una escala de tiempo histórica de todas las actividades, los detalles de la actividad, la puntuación de riesgo actual del usuario en el caso, la secuencia de eventos de riesgo y los controles de filtrado para ayudar con los esfuerzos de investigación.
- Explorador de actividades: esta pestaña proporciona a los investigadores de riesgos una herramienta de análisis completa que proporciona información detallada sobre las actividades. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de la actividad de riesgo detectada e identificar y filtrar todas las actividades potencialmente de riesgo asociadas a alertas. Para más información sobre el uso del Explorador de actividad, consulte la sección Explorador de actividad más adelante en este artículo.
Panel de alertas
Las alertas de administración de riesgos internos se generan automáticamente mediante indicadores de riesgo definidos en las directivas de administración de riesgos internos. Estas alertas proporcionan a los analistas e investigadores de cumplimiento una visión general del estado actual del riesgo y permiten a su organización evaluar y tomar medidas para detectar posibles riesgos. De forma predeterminada, las directivas generan una cierta cantidad de alertas de gravedad baja, media y alta, pero puede aumentar o reducir el volumen de alertas para satisfacer sus necesidades. Además, puede configurar el umbral de alerta para los indicadores de directiva al crear una nueva directiva con la herramienta de creación de directivas.
Nota:
Para las alertas que se generan, la administración de riesgos internos genera una única alerta agregada por usuario. Cualquier nueva información para ese usuario se agrega a la misma alerta.
Consulte el vídeo Experiencia de evaluación de prioridades de Insider Risk Management para obtener información general sobre cómo las alertas proporcionan detalles, contexto y contenido relacionado para la actividad de riesgo y cómo hacer que el proceso de investigación sea más eficaz.
Importante
Si las directivas tienen como ámbito una o varias unidades administrativas, solo puede ver alertas para los usuarios a los que tiene el ámbito. Por ejemplo, si un ámbito administrativo se aplica solo a los usuarios de Alemania, solo puede ver alertas para los usuarios de Alemania. Los administradores sin restricciones pueden ver todas las alertas de todos los usuarios de la organización.
Los administradores restringidos no pueden acceder a las alertas de los usuarios asignados a ellos a través de grupos de seguridad o grupos de distribución agregados en unidades administrativas. Estas alertas de usuario solo son visibles para los administradores sin restricciones. Microsoft recomienda agregar usuarios directamente a unidades administrativas para asegurarse de que sus alertas también sean visibles para los administradores restringidos con unidades administrativas asignadas.
Cómo se generan las alertas
En el gráfico siguiente se muestra cómo se generan las alertas en la administración de riesgos internos.
Filtrar alertas, guardar una vista de un conjunto de filtros, personalizar columnas o buscar alertas
Según el número y el tipo de directivas activas de administración de riesgos internos de su organización, revisar una larga cola de alertas puede ser todo un reto. Para ayudarle a realizar un seguimiento de las alertas, puede hacer lo siguiente:
- Filtrar alertas por varios atributos.
- Guarde una vista de un conjunto de filtros para reutilizarlo más adelante.
- Mostrar u ocultar columnas.
- Busque una alerta.
Filtrar alertas
Seleccione Agregar filtro.
Seleccione uno o varios de los atributos siguientes:
Atributo Description Actividad que generó la alerta Muestra la principal coincidencia de directivas y actividades potencialmente de riesgo durante el período de evaluación de la actividad que condujo a la generación de la alerta. Este valor se puede actualizar con el tiempo. Motivo del despido de alerta Motivo para descartar la alerta. Asignado a El administrador al que se asigna la alerta para la triaging (si está asignada). Directiva El nombre de la directiva. Factores de riesgo Factores de riesgo que ayudan a determinar el riesgo que puede tener la actividad de un usuario. Los valores posibles son Actividades de filtración acumulativas, Actividades que incluyen contenido prioritario, Actividades de secuencia, Actividades que incluyen dominios no permitidos, Miembro de un grupo de usuarios prioritario y Posible usuario de alto impacto. Gravedad Nivel de gravedad de riesgo del usuario. Las opciones son Alta, Media, y Baja. Estado Estado de la alerta. Las opciones son Confirmada, Descartada, Falta por revisar, y Resuelta. Hora detectada (UTC) Las fechas de inicio y finalización para cuando se creó la alerta. El filtro busca alertas entre UTC 00:00 en la fecha de inicio y UTC 00:00 en la fecha de finalización. Desencadenamiento de eventos Evento que puso al usuario en el ámbito de la directiva. El evento desencadenante puede cambiar con el tiempo. Los atributos que seleccione se agregan a la barra de filtros.
Seleccione un atributo en la barra de filtros y, a continuación, seleccione un valor por el que filtrar. Por ejemplo, seleccione el atributo Hora detectada (UTC ), escriba o seleccione las fechas en los campos Fecha de inicio y Fecha de finalización y, a continuación, seleccione Aplicar.
Sugerencia
Si desea empezar de nuevo en cualquier momento, seleccione Restablecer todo en la barra de filtros.
Guardar una vista de un conjunto de filtros para reutilizarlo más adelante
Después de aplicar los filtros como se describe en el procedimiento anterior, seleccione Guardar encima de la barra de filtros, escriba un nombre para el conjunto de filtros y, a continuación, seleccione Guardar.
El conjunto de filtros se agrega como una tarjeta encima de la barra de filtros. Incluye un número que muestra el recuento de alertas que cumplen los criterios del conjunto de filtros.
Nota:
Puede guardar hasta cinco conjuntos de filtros. Si necesita eliminar un conjunto de filtros, seleccione los puntos suspensivos (tres puntos) en la esquina superior derecha de la tarjeta y, a continuación, seleccione Eliminar.
Para volver a aplicar un conjunto de filtros guardado, simplemente seleccione la tarjeta del conjunto de filtros.
Mostrar u ocultar columnas
En el lado derecho de la página, seleccione Personalizar columnas.
Seleccione o desactive las casillas de las columnas que desea mostrar u ocultar.
La configuración de columna se guarda entre sesiones y entre exploradores.
Búsqueda de alertas
Use el control Buscar para buscar un nombre principal de usuario (UPN), un nombre de administrador asignado o un identificador de alerta.
Evaluación de alertas
La investigación y la actuación en alertas en la administración de riesgos internos incluye los pasos siguientes:
- Revise el panel Alertas para ver las alertas con el estado Necesita revisar. Filtre por estado de alerta si es necesario para ayudar a localizar estos tipos de alertas.
- Comience con las alertas con la gravedad más alta. Filtre por gravedad de alerta si es necesario para ayudar a localizar estos tipos de alertas.
- Seleccione una alerta para detectar más información y revisar los detalles de la alerta. Si es necesario, use el Explorador de actividad para revisar una escala de tiempo del comportamiento potencialmente peligroso asociado e identificar todas las actividades de riesgo de la alerta.
- Actuar sobre la alerta. Puede confirmar y crear un caso para la alerta o descartar y resolver la alerta.
Cada uno de estos pasos se describe con más detalle en esta sección.
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Uso de Copilot para resumir una alerta
Puede seleccionar Resumir con Copilot o el icono de Copilot para resumir rápidamente una alerta y priorizar las alertas que necesitan investigación adicional. Puede resumir las alertas seleccionadas sin abrir la alerta o después de ver los detalles de la alerta. Al resumir una alerta con Microsoft Copilot en Microsoft Purview, aparece un panel de Copilot en el lado derecho de la pantalla con un resumen de alerta.
El resumen de la alerta incluye todos los detalles esenciales sobre la alerta, como la directiva que se desencadenó, la actividad que generó la alerta, el evento desencadenante, el usuario implicado, su última fecha de trabajo (si procede), los atributos de usuario clave y los principales factores de riesgo del usuario. Copilot en Microsoft Purview consolida la información sobre el usuario de todas sus alertas y directivas en el ámbito y enfatiza los principales factores de riesgo del usuario.
Las solicitudes sugeridas se enumeran automáticamente para ayudar a refinar aún más el resumen y para ayudar a proporcionar información adicional sobre las actividades asociadas a la alerta. Elija entre los siguientes avisos sugeridos:
- Enumere todas las actividades de filtración de datos que implican a este usuario.
- Enumere todas las actividades secuenciales que implican a este usuario.
- ¿El usuario ha incurrido en algún comportamiento inusual?
- Mostrar las acciones clave realizadas por el usuario en los últimos 10 días.
- Resuma los últimos 30 días de actividad del usuario.
Sugerencia
Evaluación de una alerta
Para evaluar las alertas, vaya a la página Detalles de la alerta.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- En el panel Alertas, seleccione la alerta que desea evaluar.
- En la página Detalles de la alerta, puede revisar la información sobre la alerta. Puede confirmar la alerta y crear un caso nuevo, confirmar la alerta y agregarla a un caso existente, o descartar la alerta. Esta página también incluye el estado actual de la alerta y el nivel de gravedad del riesgo de alerta, que se muestran como Alto, Medio o Bajo. El nivel de gravedad puede aumentar o disminuir con el tiempo si no se evalúa la alerta. En el caso de los falsos positivos, puede seleccionar varias alertas y descartarlas de forma masiva seleccionando Descartar alertas.
Sección encabezado/resumen de la página Detalles de la alerta
Esta sección de la página Detalles de la alerta contiene información general sobre el usuario y la alerta. Esta información está disponible para contexto al revisar información detallada sobre la actividad de administración de riesgos detectada incluida en la alerta para el usuario:
- Actividad que generó esta alerta: muestra la principal actividad potencialmente de riesgo y la coincidencia de directivas durante el período de evaluación de la actividad que condujo a la generación de la alerta.
- Evento desencadenante: muestra el evento desencadenante más reciente que solicitó a la directiva que empezara a asignar puntuaciones de riesgo a la actividad del usuario. Si ha configurado la integración con el cumplimiento de comunicaciones para las pérdidas de datos por parte de usuarios de riesgo o infracciones de directivas de seguridad por directivas de usuarios de riesgo , el evento desencadenante de estas alertas se limita a la actividad de cumplimiento de la comunicación.
- Detalles del usuario: muestra información general sobre el usuario asignado a la alerta. Si la anonimización está habilitada, los campos nombre de usuario, dirección de correo electrónico, alias y organización se anonimizan.
- Historial de alertas de usuario: muestra una lista de alertas para el usuario durante los últimos 30 días. Incluye un vínculo para ver el historial de alertas completo del usuario.
Nota:
Cuando se detecta un usuario como un posible usuario de alto impacto, esta información se resalta en el encabezado de alerta de la página Detalles del usuario . Los detalles del usuario también incluyen un resumen con los motivos por los que se ha detectado al usuario como tal. Para obtener más información sobre cómo establecer indicadores de directiva para posibles usuarios de alto impacto, consulte Configuración de administración de riesgos internos.
Las alertas generadas a partir de directivas destinadas solo a actividades que incluyen contenido prioritario incluyen la única actividad con contenido de prioridad puntuada para esta notificación de alerta en esta sección.
Sugerencia
Para obtener información general rápida de una alerta, seleccione Resumir en la página de detalles de la alerta. Al seleccionar Resumir, aparece un panel de Copilot en el lado derecho de la página con un resumen de alerta. El resumen de la alerta incluye todos los detalles esenciales sobre la alerta, como la directiva que se desencadenó, la actividad que generó la alerta, el evento desencadenante, el usuario implicado, su última fecha de trabajo (si procede), los atributos de usuario clave y los principales factores de riesgo del usuario. Copilot en Microsoft Purview consolida la información sobre el usuario de todas sus alertas y directivas en el ámbito y enfatiza los principales factores de riesgo del usuario. También puede resumir la alerta de la cola Alertas sin tener que abrirla mediante Copilot. También puede usar la versión independiente de Microsoft Copilot for Security para investigar la administración de riesgos internos, la prevención de pérdida de datos (DLP) de Microsoft Purview y las alertas de Microsoft Defender XDR.
Pestaña Todos los factores de riesgo
Esta pestaña de la página Detalles de la alerta abre el resumen de los factores de riesgo de la actividad de alerta del usuario. Los factores de riesgo pueden ayudarle a determinar el riesgo que supone la actividad de administración de riesgos de este usuario durante la revisión. Los factores de riesgo incluyen resúmenes de:
- Principales actividades de filtración: muestra las actividades de filtración con el número o eventos más altos de la alerta.
- Actividades de filtración acumulativas: muestra eventos asociados a actividades de filtración acumulativas.
- Secuencias de actividades: muestra las actividades potencialmente de riesgo detectadas asociadas a secuencias de riesgo.
- Actividad inusual para este usuario: muestra actividades específicas para el usuario que se consideran potencialmente de riesgo, ya que son inusuales y se apartan de sus actividades típicas.
- Contenido de prioridad: muestra actividades potencialmente de riesgo asociadas con el contenido prioritario.
- Dominios no permitidos: muestra actividades potencialmente de riesgo para eventos asociados a dominios no permitidos.
- Acceso a registros de estado: muestra actividades potencialmente de riesgo para los eventos asociados con el acceso a los registros de estado.
- Uso de exploradores de riesgo: muestra actividades potencialmente arriesgadas para eventos asociados con la navegación a sitios web potencialmente inadecuados.
Con estos filtros, solo verá alertas con los factores de riesgo anteriores, pero es posible que la actividad que generó una alerta no se incluya en ninguna de estas categorías. Por ejemplo, es posible que se haya generado una alerta que contiene actividades de secuencia simplemente porque el usuario copió un archivo en un dispositivo USB.
Contenido detectado
En esta sección de la pestaña Todos los factores de riesgo se incluye contenido asociado a las actividades de riesgo de la alerta y se resumen los eventos de actividad por áreas clave. Al seleccionar un vínculo de actividad, se abre el Explorador de actividades y se muestran más detalles sobre la actividad.
Pestaña Actividad de usuario
La pestaña Actividad de usuario es una de las herramientas más eficaces para el análisis interno de riesgos y la investigación de alertas y casos en la solución de administración de riesgos internos. Esta pestaña está estructurada para permitir la revisión rápida de todas las actividades de un usuario, incluida una escala de tiempo histórica de todas las alertas, detalles de alerta, la puntuación de riesgo actual del usuario y la secuencia de eventos de riesgo.
Acciones de caso: las opciones para resolver el caso se encuentran en la barra de herramientas de acciones de casos. Al ver un caso, puede resolver un caso, enviar un aviso de correo electrónico al usuario o escalar el caso para una investigación de datos o usuario.
Cronología de la actividad de riesgo: se muestra la cronología completa de todas las alertas de riesgo asociadas al caso, incluidos todos los detalles disponibles en la burbuja de alerta correspondiente.
Filtros y ordenación (versión preliminar):
- Categoría de riesgo: Filtre las actividades por las siguientes categorías de riesgo: actividades con puntuaciones > de riesgo 15 (a menos que en una secuencia) y actividades de secuencia.
- Tipo de actividad: Filtre las actividades por los siguientes tipos: Access, Deletion, Collection, Exfiltration, Infiltration, Ofusscation, Security, Communication Risk.
- Ordenar por: enumere la escala de tiempo de las actividades potencialmente de riesgo por Fecha ocurrida o Puntuación de riesgo.
Filtros de tiempo: de forma predeterminada, los últimos tres meses de actividades potencialmente arriesgadas se muestran en el gráfico Actividad del usuario. Puede filtrar fácilmente la vista de gráfico seleccionando las pestañas 6 Meses, 3 Meses o 1 Mes en el gráfico de burbujas.
Secuencia de riesgo: el orden cronológico de las actividades potencialmente arriesgadas es un aspecto importante de la investigación de riesgos y la identificación de estas actividades relacionadas es una parte importante de la evaluación del riesgo general para su organización. Las actividades de alerta relacionadas se muestran con líneas de conexión para resaltar que estas actividades están asociadas a un área de riesgo mayor. Las secuencias también se identifican en esta vista mediante un icono situado encima de las actividades de secuencia en relación con la puntuación de riesgo de la secuencia. Mantenga el puntero sobre el icono para ver la fecha y hora de la actividad de riesgo asociada a esta secuencia. Esta visión de las actividades puede ayudar a los investigadores literalmente a "conectar los puntos" para las actividades de riesgo que podrían haberse visto como eventos aislados o puntuales. Seleccione el icono o cualquier burbuja de la secuencia para mostrar los detalles de todas las actividades de riesgo asociadas. Los detalles incluyen:
- Nombre de la secuencia.
- Intervalo de fechas o fechas de la secuencia.
- Puntuación de riesgo para la secuencia. Esta puntuación es la puntuación numérica de la secuencia de los niveles de gravedad de riesgo de alerta combinados para cada actividad relacionada de la secuencia.
- Número de eventos asociados a cada alerta de la secuencia. También están disponibles vínculos a cada archivo o correo electrónico asociado a cada actividad potencialmente arriesgada.
- Mostrar actividades en secuencia. Muestra la secuencia como una línea de resaltado en el gráfico de burbujas y expande los detalles de la alerta para mostrar todas las alertas relacionadas en la secuencia.
Actividad y detalles de alertas de riesgo: las actividades potencialmente de riesgo se muestran visualmente como burbujas de color en el gráfico Actividad del usuario. Las burbujas se crean para diferentes categorías de riesgo. Seleccione una burbuja para mostrar los detalles de cada actividad potencialmente de riesgo. Los detalles incluyen:
- Fecha de la actividad de riesgo.
- Categoría de actividad de riesgo. Por ejemplo, Email con datos adjuntos enviados fuera de la organización o archivos descargados de SharePoint Online.
- Nivel de riesgo de la alerta. Esta puntuación es la puntuación numérica para el nivel de gravedad del riesgo de alerta.
- Número de eventos asociada a la alerta. También están disponibles vínculos a cada archivo o correo electrónico asociado a la actividad de riesgo.
Actividades de filtración acumulativas: seleccione esta opción para ver un gráfico visual de cómo se está creando la actividad a lo largo del tiempo para el usuario.
Leyenda de actividad de riesgo: en la parte inferior del gráfico de actividad del usuario, una leyenda codificada por colores le ayuda a determinar rápidamente la categoría de riesgo para cada alerta.
Pestaña Explorador de actividad
Nota:
El Explorador de actividad está disponible en el área de administración de alertas para los usuarios con eventos desencadenantes después de que esta característica esté disponible en su organización.
El Explorador de actividades proporciona a los investigadores y analistas de riesgos una herramienta de análisis completa que proporciona información detallada sobre las alertas. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de actividad potencialmente riesgosa detectada e identificar y filtrar todas las actividades de riesgo asociadas a alertas.
Uso del explorador de actividad
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- En el panel Alertas, seleccione la alerta que desea evaluar.
- En el panel Detalles de alertas, seleccione Abrir vista expandida.
- En la página de la alerta seleccionada, seleccione la pestaña Explorador de actividad .
Al revisar las actividades en el Explorador de actividades, los investigadores y analistas pueden seleccionar una actividad específica y abrir el panel de detalles de la actividad. En el panel se muestra información detallada sobre la actividad que los investigadores y analistas pueden usar durante el proceso de evaluación de prioridades de alertas. La información detallada puede proporcionar contexto para la alerta y ayudar a identificar el ámbito completo de la actividad de riesgo que desencadenó la alerta.
Al seleccionar los eventos de una actividad de la escala de tiempo de actividad, es posible que el número de actividades que se muestran en el explorador no coincida con el número de eventos de actividad enumerados en la escala de tiempo. Ejemplos de por qué puede producirse esta diferencia:
- Detección de filtración acumulativa: la detección acumulativa de filtración analiza los registros de eventos, pero aplica un modelo que incluye la desduplicación de actividades similares al riesgo de filtración acumulativa de proceso. Además, también puede haber una diferencia en el número de actividades potencialmente arriesgadas que se muestran en el Explorador de actividades si ha realizado cambios en la directiva o la configuración existentes. Por ejemplo, si modifica dominios permitidos o no permitidos o agrega nuevas exclusiones de tipos de archivo una vez creada una directiva y se han producido coincidencias de actividad potencialmente de riesgo, las actividades de detección de filtración acumulativa diferirán de los resultados antes de que cambie la directiva o la configuración. Los totales de actividad de detección de filtración acumulativa se basan en la configuración de directiva y configuración en el momento del cálculo y no incluyen actividades antes de los cambios de directiva y configuración.
- Correos electrónicos a destinatarios externos: a la actividad potencialmente arriesgada de los correos electrónicos enviados a destinatarios externos se le asigna una puntuación de riesgo en función del número de correos electrónicos enviados, que pueden no coincidir con los registros de eventos de actividad.
Secuencias que contienen eventos excluidos de la puntuación de riesgo
Una secuencia puede contener uno o varios eventos que se excluyen de la puntuación de riesgo en función de la configuración de configuración. Por ejemplo, su organización podría usar la opción Exclusiones globales para excluir .png archivos de la puntuación de riesgo, ya que los archivos de .png no suelen ser de riesgo. Pero un archivo .png podría usarse para ofuscar una actividad malintencionada. Por este motivo, si un evento que se excluye de la puntuación de riesgo forma parte de una secuencia debido a una actividad de ofuscación, el evento se incluye en la secuencia, ya que puede ser interesante en el contexto de la secuencia.
El Explorador de actividad muestra la siguiente información para los eventos excluidos en secuencias:
- Si una secuencia contiene un paso donde se excluyen todos los eventos, la información incluye solo el nombre y la fecha de la actividad. Seleccione el vínculo Ver los eventos excluidos para filtrar los eventos excluidos en el Explorador de actividad. El icono Gráfico de dispersión de actividad de usuario tiene una puntuación de riesgo de 0 si se excluyen todos los eventos.
- Si una secuencia tiene una información en la que se excluyen algunos eventos, se muestra la información de eventos de los eventos no aislados, pero el recuento de eventos no incluye los eventos excluidos. Seleccione el vínculo Ver los eventos excluidos para filtrar los eventos excluidos en el Explorador de actividad.
- Si selecciona un vínculo de secuencia para una información, puede explorar en profundidad la secuencia de eventos en el panel de detalles de la actividad, incluidos los eventos que se excluyeron de la puntuación. Un evento excluido de la puntuación se marca como Excluido.
Filtrar alertas en el explorador de actividad
Para filtrar alertas en el Explorador de actividad para obtener información de columna, seleccione Filtros. Puede filtrar las alertas por uno o varios atributos enumerados en el panel de detalles de la alerta. El explorador de actividades también admite columnas personalizables para ayudar a los investigadores y analistas a centrar el panel en la información más importante para ellos.
Use los filtros Ámbito de actividad, Factor de riesgo y Revisar estado para mostrar y ordenar actividades e información para las áreas siguientes.
Ámbito de actividad: filtra todas las actividades puntuadas para el usuario.
- Toda la actividad puntuada para este usuario
- Solo actividad puntuada en esta alerta
Factor de riesgo: filtros para la actividad del factor de riesgo aplicable a todas las directivas que asignan puntuaciones de riesgo Esto incluye toda la actividad de todas las directivas para los usuarios dentro del ámbito.
- Actividad inusual
- Incluye eventos con contenido prioritario
- Incluye eventos con dominio no permitido
- Actividades de secuencia
- Actividades de filtración acumulativas
- Actividades de acceso a registros de estado
- Uso de explorador de riesgo
Estado de revisión: filtra el estado de revisión de la actividad.
- todas
- Aún no revisado (filtra cualquier actividad que formaba parte de una alerta descartada o resuelta)
Guardar una vista de un filtro para reutilizarla más adelante
Si crea un filtro y personaliza columnas para el filtro, puede guardar una vista de los cambios para que usted u otros usuarios puedan filtrar rápidamente los mismos cambios más adelante. Al guardar una vista, guarda los filtros y las columnas. Al cargar la vista, carga tanto filtros como columnas guardados.
- Cree un filtro y personalice las columnas.
Sugerencia
Si desea empezar de nuevo en cualquier momento, seleccione Restablecer. Para cambiar las columnas que ha personalizado, seleccione Restablecer columnas.
- Cuando tenga el filtro como quiera, seleccione Guardar esta vista, escriba un nombre para la vista y, a continuación, seleccione Guardar.
Nota:
La longitud máxima de un nombre de vista es de 40 caracteres y no se pueden usar caracteres especiales.
- Para volver a usar la vista del filtro más adelante, seleccione Vistas y, a continuación, seleccione la vista que desea abrir en la pestaña Vistas recomendadas (muestra las vistas más usadas) o la pestaña Vistas personalizadas (los filtros usados con más frecuencia se muestran en la parte superior de la lista).
Al seleccionar una vista de esta manera, restablece todos los filtros existentes y los reemplaza por la vista que seleccionó.
Estado de alerta y gravedad
Nota:
La administración de riesgos internos usa la limitación de alertas integrada para ayudar a proteger y optimizar su investigación de riesgos y experiencia de revisión. Esta limitación protege frente a problemas que pueden dar lugar a una sobrecarga de alertas de directiva, como conectores de datos mal configurados o directivas de prevención de pérdida de datos. Como resultado, es posible que haya un retraso al mostrar nuevas alertas para un usuario.
Puede clasificar las alertas en uno de los siguientes estados:
- Confirmado: una alerta confirmada y asignada a un caso nuevo o existente.
- Descartado: una alerta descartada como benigna en el proceso de triaje. Puede proporcionar un motivo para el despido de la alerta e incluir notas que estén disponibles en el historial de alertas del usuario para proporcionar contexto adicional para futuras referencias o para otros revisores. Los motivos pueden variar entre las actividades esperadas, los eventos no prácticos, simplemente reducir el número de actividades de alerta para el usuario o un motivo relacionado con las notas de alerta. Las opciones de clasificación de motivos incluyen actividad que se espera para este usuario, la actividad es lo suficientemente impactante como para que yo investigue más y las alertas para este usuario contienen demasiada actividad.
- Revisión de necesidades: una nueva alerta en la que aún no se han realizado acciones de evaluación de prioridades.
- Resuelto: alerta que forma parte de un caso cerrado y resuelto.
Las puntuaciones de riesgo de alerta se calculan automáticamente a partir de varios indicadores de actividad de riesgo. Estos indicadores incluyen el tipo de actividad de riesgo, el número y la frecuencia de aparición de la actividad, el historial de la actividad de riesgo de los usuarios y la adición de riesgos de actividad que pueden aumentar la gravedad de la actividad potencialmente riesgosa. La puntuación de riesgo de alerta controla la asignación mediante programación de un nivel de gravedad de riesgo para cada alerta y no se puede personalizar. Si las alertas siguen sin administrarse y las actividades de riesgo continúan acumulando en la alerta, el nivel de gravedad del riesgo puede aumentar. Los analistas e investigadores de riesgos pueden usar la gravedad del riesgo de alertas para ayudar a evaluar las alertas de acuerdo con las directivas y estándares de riesgo de su organización.
Los niveles de gravedad del riesgo de alerta son:
- Gravedad alta: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo significativo. Las actividades de riesgo asociadas son graves, repetitivas y se relacionan fuertemente con otros factores de riesgo significativos.
- Gravedad media: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo moderado. Las actividades de riesgo asociadas son moderados, frecuentes y tienen cierta correlación con otros factores de riesgo.
- Gravedad baja: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo menor. Las actividades de riesgo asociadas son menores, más poco frecuentes y no se relacionan con otros factores de riesgo significativos.
Descartar varias alertas (versión preliminar)
Puede ayudar a ahorrar tiempo de evaluación para que los analistas e investigadores descarten inmediatamente varias alertas a la vez. La opción Descartar alertas de la barra de comandos le permite seleccionar una o varias alertas con un estado De necesidad de revisión en el panel y descartar rápidamente estas alertas como benignas según corresponda en el proceso de evaluación de prioridades. Puede seleccionar hasta 400 alertas para descartarlas a la vez.
Descartar una alerta de riesgo interno
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- En el panel Alertas, seleccione la alerta (o alertas) que tenga el estado Necesita revisión .
- En la barra de comandos Alertas, seleccione Descartar alertas.
- En el panel Descartar detalles de alertas , revise los detalles de usuario y directiva asociados a las alertas seleccionadas.
- Seleccione Descartar alertas para resolver las alertas como benignas.
Informes de alertas
Para ver los informes de alertas, vaya a la página Informes . Cada widget de informe de la página Informes muestra información de los últimos 30 días:
- Total de alertas que necesitan revisión: se muestra el número total de alertas que necesitan revisión y evaluación de prioridades, incluido un desglose por gravedad de alerta.
- Alertas abiertas en los últimos 30 días: el número total de alertas creadas por la directiva coincide en los últimos 30 días, ordenado por niveles de gravedad de alertas altos, medios y bajos.
-
Tiempo medio para resolver alertas: un resumen de las estadísticas de alertas útiles:
- Tiempo medio para resolver alertas de gravedad alta, expresado en horas, días o meses.
- Tiempo medio para resolver alertas de gravedad media, expresado en horas, días o meses.
- Tiempo medio para resolver alertas de gravedad baja, expresado en horas, días o meses.
Asignación de una alerta
Si es administrador y es miembro del grupo de roles Insider Risk Management, Insider Risk Management Analysts o Insider Risk Management Investigators , puede asignar la propiedad de una alerta a usted mismo o a un usuario de administración de riesgos internos con uno de los mismos roles. Una vez asignada una alerta, también puede reasignarla a un usuario con cualquiera de los mismos roles. Solo puede asignar una alerta a un administrador a la vez.
Nota:
Si las directivas tienen como ámbito una o varias unidades administrativas, la propiedad de una alerta solo se puede conceder a los usuarios de administración de riesgos internos con los permisos de grupo de roles adecuados y el usuario resaltado en la alerta debe estar en el ámbito de la unidad de administración. Por ejemplo, si un ámbito administrativo se aplica solo a los usuarios de Alemania, el usuario de administración de riesgos internos solo puede ver alertas para los usuarios de Alemania. Los administradores sin restricciones pueden ver todas las alertas de todos los usuarios de la organización.
Una vez asignado un administrador, puede buscar por administrador.
Nota:
Los administradores contenidos en un grupo de seguridad de Microsoft Entra no se admiten para la asignación de alertas. Los administradores deben asignarse directamente a uno de los roles necesarios.
Si usa un grupo personalizado, asegúrese de que el grupo personalizado contiene el rol De administración de casos. Los grupos de roles Insider Risk Management Analysts y Insider Risk Management Investigators contienen el rol de administración de casos , pero si usa un grupo personalizado, debe agregar explícitamente el rol de administración de casos al grupo.
Asignación de una alerta desde el panel Alertas
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- En el panel Alertas, seleccione las alertas que desea asignar.
- En la barra de comandos situada encima de la cola de alertas, seleccione Asignar.
- En el panel Asignar propietario del lado derecho de la pantalla, busque un administrador con los permisos adecuados y, a continuación, active la casilla para ese administrador.
- Seleccione Asignar.
Asignación de una alerta desde la página de detalles alertas
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- Seleccione una alerta.
- En el panel de detalles de la alerta, en la esquina superior derecha de la página, seleccione Asignar.
- En la lista Contactos sugeridos , seleccione el administrador adecuado.
Creación de un caso para una alerta
Puede crear un caso para una alerta si desea investigar aún más la actividad potencialmente de riesgo.
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Alertas en el panel de navegación izquierdo.
- En el panel Alertas, seleccione la alerta para la que desea confirmar y cree un nuevo caso.
- En el panel Detalles de alertas, seleccione Acciones>Confirmar alertas & crear caso.
- En el cuadro de diálogo Confirmar alerta y crear caso de riesgo interno , escriba un nombre para el caso, seleccione los usuarios que desea agregar como colaboradores y agregue comentarios según corresponda. Los comentarios se agregan automáticamente al caso como nota de caso.
- Seleccione Crear caso para crear un caso nuevo.
Una vez creado el caso, los investigadores y analistas pueden administrar y actuar sobre el caso. Para obtener más información, consulte el artículo sobre el caso de administración de riesgos de Insider .
Límites de retención y elementos
A medida que la administración de riesgos internos alerta de la antigüedad, su valor para minimizar la actividad potencialmente riesgosa disminuye para la mayoría de las organizaciones. Por el contrario, los casos activos y los artefactos asociados (alertas, información, actividades) siempre son útiles para las organizaciones y no deben tener una fecha de expiración automática. Esto incluye todas las alertas y artefactos futuros en un estado activo para cualquier usuario asociado a un caso activo.
Para ayudar a minimizar el número de elementos anteriores que proporcionan un valor actual limitado, se aplican los siguientes límites y retención para alertas de administración de riesgos internos, casos e informes de usuario:
Elemento | Retención/límite |
---|---|
Alertas con estado de revisión de necesidades | 120 días desde la creación de alertas y, a continuación, se elimina automáticamente |
Casos activos (y artefactos asociados) | Retención indefinida, nunca expirar |
Casos resueltos (y artefactos asociados) | 120 días a partir de la resolución de casos y, a continuación, se elimina automáticamente |
Número máximo de casos activos | 100 |
Informes de actividades de usuario | 120 días desde la creación del informe y, a continuación, se elimina automáticamente |
Buenas prácticas para administrar el volumen de alertas
Revisar, investigar y actuar sobre alertas internas potencialmente arriesgadas son partes importantes de la minimización de los riesgos internos en su organización. Tomar medidas rápidamente para minimizar el impacto de estos riesgos puede ahorrar tiempo, dinero y ramificaciones normativas o legales para su organización. Más información sobre los procedimientos recomendados para administrar la cola de alertas de administración de riesgos internos