Crear y administrar directivas de administración de riesgos internos
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar riesgos internos potencialmente malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
Las directivas de administración de riesgos internos determinan qué usuarios deben estar dentro del ámbito de búsqueda y qué tipos de indicadores de riesgo están configurados para las alertas. Puede crear rápidamente una directiva de seguridad que se aplique a todos los usuarios de su organización o definir usuarios o grupos individuales para la administración en una directiva. Las directivas son compatibles con las prioridades de contenido para centrar las condiciones de las directivas en varios o determinados Microsoft Teams, sitios de SharePoint, tipos de confidencialidad de datos y etiquetas de datos. Mediante el uso de plantillas, puede seleccionar indicadores de riesgo específicos y personalizar los umbrales de los eventos para los indicadores de directivas, personalizando eficazmente las puntuaciones de riesgo y el nivel y la frecuencia de las alertas.
También puede configurar directivas rápidas de pérdida de datos y robo de datos si abandona las directivas de usuario que definen automáticamente las condiciones de directiva en función de los resultados del análisis más reciente. Además, los refuerzos de puntuación de riesgo y las detecciones de anomalías ayudan a identificar la actividad potencialmente riesgosa del usuario que es de mayor importancia o inusual. Las ventanas de la directiva permiten definir el marco temporal para aplicar la directiva a las actividades de alerta y se usan para determinar la duración de la directiva una vez activada.
Consulte el vídeo Configuración de directivas de Insider Risk Management para obtener información general sobre cómo las directivas creadas con plantillas de directivas integradas pueden ayudarle a actuar rápidamente sobre posibles riesgos.
Sugerencia
Empiece a trabajar con Microsoft Copilot para seguridad para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para seguridad en Microsoft Purview.
Panel de directivas
El panel Directiva permite ver rápidamente las directivas de su organización, el estado de la directiva, agregar manualmente usuarios a las directivas de seguridad y ver el estado de las alertas asociadas a cada directiva.
- Nombre de directiva: nombre asignado a la directiva en el Asistente para directivas.
- Estado: estado de mantenimiento de cada directiva. Muestra el número de advertencias y recomendaciones de las directivas, o un estado Correcto para las directivas sin problemas. Puede seleccionar la directiva para ver los detalles del estado de mantenimiento de las advertencias o recomendaciones.
- Alertas activas: número de alertas activas para cada directiva.
- Alertas confirmadas: número total de alertas que dieron lugar a casos de la directiva en los últimos 365 días.
- Acciones realizadas en las alertas: número total de alertas que se confirmaron o descartaron durante los últimos 365 días.
- Eficacia de las alertas de directiva: porcentaje determinado por el total de alertas confirmadas divididas por el total de acciones realizadas en las alertas (que es la suma de las alertas que se confirmaron o descartaron durante el año pasado).
Recomendaciones de directivas de análisis
El análisis de riesgos internos le ofrece una vista agregada de las actividades de usuario anonimizadas relacionadas con la seguridad y el cumplimiento, lo que le permite evaluar posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno. Esta evaluación puede ayudar a su organización a identificar posibles áreas de mayor riesgo y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que puede considerar configurar. Si decide actuar en los resultados del análisis de pérdidas de datos o robo de datos mediante directivas de usuarios que abandonan, incluso tiene la opción de configurar una directiva rápida basada en estos resultados.
Para obtener más información sobre las recomendaciones de directivas y análisis de riesgos internos, consulte Configuración de administración de riesgos internos: Análisis.
Nota:
Debe ser un administrador sin restricciones para acceder a la información de análisis. Obtenga información sobre cómo afectan los grupos administrativos a los permisos.
Directivas rápidas de acciones recomendadas
Para muchas organizaciones, empezar a trabajar con una directiva inicial puede ser un desafío. Si no está familiarizado con la administración de riesgos internos y usa las acciones recomendadas para empezar, puede configurar una directiva rápida para acelerar una directiva general de pérdidas de datos o robo de datos si abandona la directiva de usuarios. La configuración rápida de la directiva se rellena automáticamente en función de los resultados del examen de análisis más reciente de su organización. Por ejemplo, si la comprobación detecta posibles actividades de fuga de datos, la directiva rápida incluiría los indicadores que se usan para detectar esas actividades.
Para empezar, revise la configuración de directiva rápida y configure la directiva con una sola selección. Si necesita personalizar una directiva rápida, puede cambiar las condiciones durante la configuración inicial o después de que se haya creado la directiva. Además, puede mantenerse al día con los resultados de detección de una directiva rápida configurando notificaciones por correo electrónico cada vez que tenga una advertencia de directiva o cada vez que la directiva genere una alerta de gravedad alta.
Nota:
Debe ser un administrador sin restricciones para crear directivas rápidas. Obtenga información sobre cómo afectan los grupos administrativos a los permisos.
Priorizar los contenidos en las directivas
Las directivas de administración de riesgos internos admiten la especificación de una prioridad más alta para el contenido en función de dónde se almacene, el tipo de contenido o cómo se clasifique. También puede elegir si desea asignar puntuaciones de riesgo a todas las actividades detectadas por una directiva o solo a las actividades que incluyan contenido de prioridad. Especificar el contenido como prioritario aumenta la puntuación de riesgo de cualquier actividad asociada, lo que a su vez aumenta la posibilidad de generar una alerta de alta gravedad. Sin embargo, algunas actividades no generarán ninguna alerta a menos que el contenido relacionado contenga tipos de información confidencial incorporados o personalizados o se haya especificado como prioridad en la directiva.
Por ejemplo, su organización tiene un sitio de SharePoint dedicado a un proyecto altamente confidencial. Las filtraciones de información en este sitio de SharePoint podrían comprometer el proyecto y tendrían un impacto significativo en su éxito. Al priorizar este sitio de SharePoint en una directiva de filtración de datos, las puntuaciones de riesgo para las actividades puntuadas se incrementan automáticamente. Esta priorización aumenta la probabilidad de que estas actividades generen una alerta de riesgo interno y eleva el nivel de gravedad de la alerta.
Además, puede optar por centrarse en esta directiva para la actividad del sitio de SharePoint que solo incluye contenido prioritario para este proyecto. Se asignarán puntuaciones de riesgo y se generarán alertas solo cuando las actividades especificadas incluyan contenido de prioridad. Las actividades sin contenido prioritario no se puntuarán, pero podrá revisarlas si se genera una alerta.
Nota:
Si configura una directiva para generar alertas solo para la actividad que incluye contenido prioritario, no se aplicarán cambios a los refuerzos de puntuación de riesgo.
Cuando se crea una directiva de administración de riesgos internos en el asistente de directivas, se puede elegir entre las siguientes prioridades:
- Sitios de SharePoint: cualquier actividad asociada a todos los tipos de archivo en sitios de SharePoint definidos se asigna una mayor puntuación de riesgo. Los usuarios que configuran la directiva y seleccionan sitios de SharePoint prioritarios pueden seleccionar sitios de SharePoint a los que tienen permiso de acceso. Si el usuario actual no puede seleccionar sitios de SharePoint en la directiva, otro usuario con los permisos necesarios puede seleccionar los sitios para la directiva más adelante o el usuario actual debe tener acceso a los sitios necesarios.
- Tipos de información confidencial: cualquier actividad asociada a un contenido que contenga tipos de información confidencial se le asigna una puntuación de riesgo más alta.
- Etiquetas de confidencialidad: a cualquier actividad asociada a un contenido que tenga aplicadas etiquetas de confidencialidad específicas se le asigna una puntuación de riesgo más alta.
- Extensiones de archivo: cualquier actividad asociada al contenido que tenga extensiones de archivo específicas. Los usuarios que configuran una directiva de robo/pérdida de datos que selecciona Extensiones de archivo para priorizar en el asistente para directivas pueden definir hasta 50 extensiones de archivo para priorizar en la directiva. Las extensiones especificadas pueden incluir o omitir un "." como primer carácter de la extensión con prioridad.
- Clasificadores que se pueden entrenar: cualquier actividad asociada con el contenido que se incluye en un clasificador que se puede entrenar. Los usuarios que configuran una directiva que selecciona Clasificadores entrenables en el asistente para directivas pueden seleccionar hasta 5 clasificadores entrenables para aplicar a la directiva. Estos clasificadores pueden ser clasificadores existentes que identifican patrones de información confidencial, como seguridad social, tarjeta de crédito o números de cuenta bancaria o clasificadores personalizados creados en su organización.
Detección de secuencias
Es posible que las actividades de administración de riesgos no se produzcan como eventos aislados. Estos riesgos suelen formar parte de una secuencia más amplia de eventos. Una secuencia es un grupo de dos o más actividades potencialmente arriesgadas realizadas una tras otra que podrían sugerir un riesgo elevado. La identificación de estas actividades de usuario relacionadas es una parte importante de la evaluación del riesgo general. Cuando se selecciona la detección de secuencias para directivas de robo de datos o pérdidas de datos, la información de las actividades de información de secuencia se muestra en la pestaña Actividad del usuario dentro de un caso de administración de riesgos internos. Las siguientes plantillas de directivas admiten la detección de secuencias:
- Robo de datos por parte de los usuarios que abandonan la organización
- Filtración de datos
- Filtraciones de datos por parte de usuarios prioritarios
- Pérdidas de datos por parte de usuarios de riesgo
Estas directivas de administración de riesgos internos pueden usar indicadores específicos y el orden en que ocurren para detectar cada paso en una secuencia de riesgo. En el caso de las directivas creadas a partir de fugas de datos y pérdidas de datos por plantillas de usuario prioritarias , también puede seleccionar qué secuencias desencadenan la directiva. Los nombres de los archivos se usan cuando se asignan las actividades a través de una secuencia. Estos riesgos se organizan en cuatro principales categorías de actividad:
- Recopilación: detecta las actividades de descarga por parte de los usuarios de directivas dentro del ámbito. Entre las actividades de administración de riesgos de ejemplo se incluyen descargar archivos de sitios de SharePoint, servicios en la nube de terceros, dominios no permitidos o mover archivos a una carpeta comprimida.
- Filtración: detecta actividades de uso compartido o extracción en orígenes internos y externos por parte de los usuarios de directivas dentro del ámbito. Una actividad de administración de riesgos de ejemplo incluye el envío de correos electrónicos con datos adjuntos de la organización a destinatarios externos.
- Ofuscación: detecta el enmascaramiento de actividades potencialmente arriesgadas por parte de los usuarios de directivas dentro del ámbito. Una actividad de administración de riesgos de ejemplo incluye el cambio de nombre de los archivos en un dispositivo.
- Limpieza: detecta las actividades de eliminación por parte de los usuarios de directivas dentro del ámbito. Una actividad de administración de riesgos de ejemplo incluye la eliminación de archivos de un dispositivo.
Nota:
La detección de secuencias usa indicadores habilitados en la configuración global para la administración de riesgos internos. Si no se seleccionan los indicadores adecuados, podrá activar estos indicadores en el paso de detección de secuencia del asistente para directivas.
Puede personalizar la configuración de umbral individual para cada tipo de detección de secuencia cuando se configure en la directiva. Esta configuración de umbral ajusta las alertas en función del volumen de archivos asociados al tipo de secuencia.
Nota:
Una secuencia puede contener uno o varios eventos que se excluyen de la puntuación de riesgo en función de la configuración de configuración. Por ejemplo, su organización podría usar la opción Exclusiones globales para excluir .png archivos de la puntuación de riesgo, ya que los archivos de .png no suelen ser de riesgo. Pero un archivo .png podría usarse para ofuscar una actividad malintencionada. Por este motivo, si un evento que se excluye de la puntuación de riesgo forma parte de una secuencia debido a una actividad de ofuscación, el evento se incluye en la secuencia, ya que puede ser interesante en el contexto de la secuencia. Obtenga más información sobre cómo se muestran las exclusiones que forman parte de una secuencia en el Explorador de actividad.
Para obtener más información sobre la administración de la detección de secuencias en la vista de la Actividad del usuario, vea Casos de administración de riesgos internos: actividad de los usuarios.
Detección de filtración acumulativa
Con la privacidad activada de forma predeterminada, los indicadores de riesgo internos ayudan a identificar niveles inusuales de actividades de riesgo cuando se evalúan diariamente para los usuarios que están en el ámbito de las directivas de riesgo internos. La detección acumulativa de filtraciones usa modelos de aprendizaje automático para ayudarle a identificar cuándo las actividades de filtración que realiza un usuario durante un tiempo determinado superan la cantidad normal realizada por los usuarios de su organización durante los últimos 30 días en varios tipos de actividad de filtración. Por ejemplo, si un usuario compartiese más archivos que la mayoría de los usuarios durante el mes pasado, esta actividad se detectaría y clasificaría como una actividad de filtración acumulativa.
Los analistas e investigadores de administración de riesgos internos pueden usar información de detección acumulativa de filtraciones para ayudar a identificar las actividades de filtración que no suelen generar alertas , pero que están por encima de lo habitual para su organización. Algunos ejemplos pueden ser la filtración lenta de datos por parte de los usuarios en un intervalo de días, o cuando los usuarios comparten repetidamente datos en varios canales más de lo habitual para el uso compartido de datos para su organización, o en comparación con sus grupos del mismo nivel.
Nota:
De forma predeterminada, la detección de filtración acumulativa genera puntuaciones de riesgo basadas en la actividad de filtración acumulativa de un usuario en comparación con las normas de su organización. Puede habilitar las opciones de detección de filtración acumulativa en la sección Indicadores de directiva de la página Detección de riesgos internos. Las puntuaciones de riesgo más altas se asignan a actividades de filtración acumulativas para sitios de SharePoint, tipos de información confidencial y contenido con etiquetas de confidencialidad configuradas como contenido de prioridad en una directiva o para la actividad que implica etiquetas configuradas como de alta prioridad en Microsoft Purview Information Protection.
La detección de filtración acumulada está activada de forma predeterminada cuando se utilizan las siguientes plantillas de directivas:
- Robo de datos por parte de los usuarios que abandonan la organización
- Filtración de datos
- Filtraciones de datos por parte de usuarios prioritarios
- Pérdidas de datos por parte de usuarios de riesgo
Grupos del mismo nivel para la detección de filtración acumulativa
La administración de riesgos internos identifica tres tipos de grupos del mismo nivel para analizar la actividad de filtración realizada por los usuarios. Los grupos del mismo nivel definidos para los usuarios se basan en los criterios siguientes:
Sitios de SharePoint: la administración de riesgos internos identifica grupos del mismo nivel en función de los usuarios que acceden a sitios de SharePoint similares.
Organización similar: usuarios con informes y miembros del equipo basados en la jerarquía de la organización. Esta opción requiere que la organización use Microsoft Entra ID para mantener la jerarquía de la organización.
Título de trabajo similar: usuarios con una combinación de distancia organizativa y títulos de trabajo similares. Por ejemplo, un usuario con un título de administrador de ventas sénior con una designación de rol similar como administrador de ventas potenciales en la misma organización se identificaría como un puesto de trabajo similar. Esta opción requiere que la organización use Microsoft Entra ID para mantener la jerarquía de la organización, las designaciones de roles y los títulos de trabajo. Si no tiene Microsoft Entra ID configurados para la estructura de la organización y los títulos de trabajo, la administración de riesgos internos identifica los grupos del mismo nivel basados en sitios comunes de SharePoint.
Si habilita la detección de filtración acumulativa, su organización acepta compartir Microsoft Entra datos con el portal de cumplimiento, incluida la jerarquía de la organización y los títulos de trabajo. Si su organización no usa Microsoft Entra ID para mantener esta información, la detección puede ser menos precisa.
Nota:
La detección de filtración acumulada utiliza los indicadores de filtración activados en la configuración global para la administración de riesgos internos y los indicadores de filtración seleccionados en una directiva. Como tal, la detección de filtración acumulada solo se evalúa para los indicadores de filtración necesarios seleccionados. Las actividades de filtración acumulativas para etiquetas de confidencialidad configuradas en el contenido de prioridad generan puntuaciones de riesgo más altas.
Cuando la detección de filtración acumulada está activada para las directivas de robo o filtración de datos, la información de las actividades de filtración acumulada se muestra en la pestaña Actividad del usuario dentro de un caso de administración de riesgos internos. Para obtener más información sobre la administración de actividades de usuario, consulte Casos de administración de riesgos internos: actividades de usuario.
Estado de la directiva
Nota:
Si la directiva tiene el ámbito de una o varias unidades administrativas, solo puede ver el estado de la directiva para las directivas a las que tiene el ámbito. Si es un administrador sin restricciones, puede ver el estado de la directiva para todas las directivas del inquilino.
El estado de la directiva le permite conocer los posibles problemas de sus directivas de administración de riesgos internos. La columna Estado de la pestaña Directivas puede alertarle de problemas de directivas que pueden impedir que se notifique la actividad del usuario o por qué el número de alertas de actividad es inusual. El estado de la directiva también puede confirmar que la directiva está en buen estado y no necesita atención o cambios de configuración.
Importante
Debe tener el rol Insider Risk Management o Insider Risk Management Admins para acceder al estado de la directiva.
Si hay problemas con una directiva, el estado de la misma muestra advertencias de notificación y recomendaciones para ayudarle a tomar medidas para resolver los problemas de la directiva. Estas notificaciones pueden ayudarle a resolver los siguientes problemas:
- Directivas con configuración incompleta. Estos problemas pueden incluir la falta de usuarios o grupos en la directiva o otros pasos de configuración de la directiva incompletos.
- Directivas con problemas de configuración de indicadores. Los indicadores son una parte importante de cada directiva. Si no se configuran los indicadores, o si se seleccionan muy pocos, la directiva puede no evaluar las actividades de riesgo como se espera.
- Los desencadenadores de directiva no funcionan o los requisitos del desencadenador de directiva no están configurados correctamente. La funcionalidad de la directiva puede depender de otros servicios o requisitos de configuración para detectar eficazmente los eventos desencadenantes para activar la asignación de la puntuación de riesgo a los usuarios en la directiva. Estas dependencias pueden incluir problemas con la configuración del conector, el uso compartido de alertas de ATP de Microsoft Defender o la configuración de la directiva de prevención de pérdida de datos.
- Los límites de volumen se acercan o superan los límites. Las directivas de administración de riesgos internos usan numerosos servicios y puntos de conexión de Microsoft 365 para agregar señales de actividad de riesgo. Dependiendo del número de usuarios en sus directivas, los límites de volumen pueden retrasar la identificación y notificación de las actividades de riesgo. Obtenga más información sobre estos límites en la sección Límites de la plantilla de directiva de este artículo.
Para ver rápidamente el estado de mantenimiento de una directiva, vaya a la pestaña Directiva y a la columna Estado . Aquí verá las siguientes opciones de estado de mantenimiento de la directiva para cada directiva:
- Correcto: no se han identificado problemas con la directiva.
- Recomendaciones: problema con la directiva que puede impedir que la directiva funcione según lo previsto.
- Advertencias: un problema con la directiva que puede impedir que identifique actividades potencialmente de riesgo.
Para obtener más detalles sobre cualquier recomendación o advertencia, seleccione una directiva en la pestaña Directiva para abrir la tarjeta de detalles de la misma. En la sección Notificaciones de la tarjeta de detalles se muestra más información sobre las recomendaciones y advertencias, incluidas las instrucciones sobre cómo solucionar estos problemas.
Mensajes de notificación
Use la siguiente tabla para obtener más información sobre las recomendaciones y las notificaciones de advertencia, así como sobre las acciones a realizar para resolver posibles problemas.
Mensajes de notificación | Plantillas de directiva | Causas / Probar esta acción para corregir |
---|---|---|
La directiva no está asignando puntuaciones de riesgo a la actividad | Todas las plantillas de directiva | Es posible que quiera revisar el ámbito de la directiva y desencadenar la configuración de eventos para que la directiva pueda asignar puntuaciones de riesgo a las actividades. 1. Revise los usuarios seleccionados para la directiva. Si tiene pocos usuarios seleccionados, es posible que desee seleccionar usuarios adicionales. 2. Si está usando un conector de recursos humanos, compruebe que su conector de recursos humanos está enviando los datos correctos. 3. Si usa una directiva DLP como evento desencadenante, compruebe la configuración de la directiva DLP para asegurarse de que está configurada para usarse en esta directiva. 4. Para las directivas de infracción de seguridad, revise el estado de evaluación de prioridad de alertas Microsoft Defender para punto de conexión seleccionado en Configuración de riesgo interno > Detecciones inteligentes. Confirme que el filtro de alerta no es demasiado estrecho. |
La directiva no ha generado ninguna alerta | Todas las plantillas de directiva | Es posible que quiera revisar la configuración de la directiva para que esté analizando la actividad de puntuación más relevante. 1. Confirme que ha seleccionado los indicadores que desea puntuar. Cuantos más indicadores se seleccionen, más actividades se asignarán a las puntuaciones de riesgo. 2. Revisar la personalización del umbral para la directiva. Si los umbrales seleccionados no se alinean con la tolerancia al riesgo de la organización, ajuste las selecciones para que las alertas se creen en función de los umbrales que prefiera. 3. Revise los usuarios y grupos seleccionados para la directiva. Confirme que ha seleccionado todos los usuarios y grupos aplicables. 4. Para las directivas de infracción de seguridad, confirme que ha seleccionado el estado de evaluación de prioridades de alertas que desea puntuar para las alertas de ATP de Microsoft Defender en Detecciones inteligentes en la configuración. |
No hay usuarios ni grupos incluidos en esta directiva | Todas las plantillas de directiva | Los usuarios o grupos no están asignados a la directiva. Edite su directiva y seleccione los usuarios o grupos para la misma. |
No se han seleccionado indicadores para esta directiva. | Todas las plantillas de directiva | Los indicadores no han sido seleccionados para la directiva Edite su directiva y seleccione los indicadores adecuados para la misma. |
Esta directiva no incluye a ningún grupo de usuarios prioritarios | - Filtraciones de datos por parte de usuarios prioritarios - Infracciones de directiva de seguridad por usuario prioritario |
Los grupos de usuarios prioritarios no están asignados a la directiva. Configure grupos de usuarios prioritarios en las configuraciones de administración de riesgos internos y asigne grupos de usuarios prioritarios a la directiva. |
No se ha seleccionado ningún evento desencadenante para esta directiva | Todas las plantillas de directiva | No se ha configurado un evento desencadenante para la directiva Las puntuaciones de riesgo no se asignarán a las actividades de los usuarios hasta que se edite la directiva y se seleccione un evento desencadenante. |
El conector de recursos humanos no está configurado o no funciona como se esperaba | - Robo de datos por parte del usuario que abandona la organización - Infracciones de la directiva de seguridad por parte del usuario que abandona la organización - Pérdidas de datos por parte de usuarios de riesgo - Infracciones de directivas de seguridad por parte de usuarios de riesgo |
Hay un problema con el conector de RR. HH. 1. Si está utilizando un conector de recursos humanos, compruebe que su conector de recursos humanos está enviando datos correctos O 2. Seleccione el evento de desencadenador eliminado de la cuenta Microsoft Entra. |
No hay dispositivos incorporados | - Robo de datos por parte de los usuarios que abandonan la organización - Fugas de datos - Pérdidas de datos por parte de usuarios de riesgo - Filtraciones de datos por parte de usuarios prioritarios |
Los indicadores de dispositivo están seleccionados, pero no hay ningún dispositivo incorporado al portal de cumplimiento Compruebe si los dispositivos están incorporados y cumplen los requisitos. |
El conector de recursos humanos no ha cargado datos recientemente | - Robo de datos por parte del usuario que abandona la organización - Infracciones de la directiva de seguridad por parte del usuario que abandona la organización - Pérdidas de datos por parte de usuarios de riesgo - Infracciones de directivas de seguridad por parte de usuarios de riesgo |
El conector de RR. HH. no ha importado datos en más de 7 días. Compruebe que su conector de recursos humanos está configurado correctamente y que envía datos. |
No podemos comprobar el estado del conector de RR. HH. en este momento, vuelva a comprobarlo más tarde. | - Robo de datos por parte del usuario que abandona la organización - Infracciones de la directiva de seguridad por parte del usuario que abandona la organización - Pérdidas de datos por parte de usuarios de riesgo - Infracciones de directivas de seguridad por parte de usuarios de riesgo |
La solución de administración de riesgos internos no puede comprobar el estado de su conector de recursos humanos. Compruebe que su conector de recursos humanos está configurado correctamente y envía datos, o vuelva a comprobar el estado de la directiva. |
La directiva DLP no está seleccionada como evento desencadenante | - Fugas de datos - Filtraciones de datos por parte de usuarios prioritarios |
No se ha seleccionado una directiva DLP como un evento desencadenante o se ha eliminado la directiva DLP seleccionada. Edite la directiva y seleccione una directiva DLP activa o "El usuario realiza una actividad de filtración" como evento desencadenante en la configuración de la directiva. |
La directiva DLP usada en esta directiva de riesgos internos está desactivada | - Fugas de datos - Filtraciones de datos por parte de usuarios prioritarios |
La directiva DLP usada en esta directiva está desactivada. 1. Activar la directiva DLP asignada a esta directiva. O 2. Edite esta directiva y seleccione una nueva directiva DLP o "El usuario realiza una actividad de filtración" como evento desencadenante en la configuración de la directiva. |
La directiva DLP no cumple con los requisitos | - Fugas de datos - Filtraciones de datos por parte de usuarios prioritarios |
Las directivas DLP usadas como eventos desencadenantes deben ser configuradas para generar alertas de alta gravedad. 1. Edite su directiva DLP para asignar las alertas aplicables como de Alta gravedad. O 2. Edite esta directiva y seleccione El usuario realiza una actividad de filtración como evento desencadenante. |
Su organización no tiene una suscripción a ATP de Microsoft Defender | - Infracciones de directivas de seguridad - Infracciones de la directiva de seguridad por parte de los usuarios que abandonan la organización - Infracciones de directivas de seguridad por parte de usuarios de riesgo - Infracciones de directiva de seguridad por usuario prioritario |
No se ha detectado una suscripción activa a ATP de Microsoft Defender para su organización. Hasta que se agregue una suscripción a ATP de Microsoft Defender, estas directiva no asignarán puntuaciones de riesgo a la actividad de los usuarios. |
Microsoft Defender para punto de conexión alertas no se comparten con el portal de cumplimiento | - Infracciones de directivas de seguridad - Infracciones de la directiva de seguridad por parte de los usuarios que abandonan la organización - Infracciones de directivas de seguridad por parte de usuarios de riesgo - Infracciones de directiva de seguridad por usuario prioritario |
Microsoft Defender para punto de conexión alertas no se comparten con el portal de cumplimiento. Configurar el uso compartido de las alertas de ATP de Microsoft Defender. |
Se está acercando al límite máximo de usuarios puntuados activamente para esta plantilla de directiva. | Todas las plantillas de directiva | Cada plantilla de directiva tiene un número máximo de usuarios dentro del ámbito de búsqueda. Vea los detalles de la sección de límites de la plantilla. Revise los usuarios de la pestaña Usuarios y quite los usuarios que ya no necesiten puntuar. |
El desencadenamiento del evento se produce repetidamente para más del 15 % de los usuarios de esta directiva | Todas las plantillas de directiva | Ajuste el evento desencadenante para ayudar a reducir la frecuencia con la que los usuarios se introducen en el ámbito de la directiva. |
Crear una nueva directiva
Para crear una nueva directiva de administración de riesgos internos, normalmente usará el asistente para directivas en la solución de administración de riesgos Insider en el portal de cumplimiento Microsoft Purview. También puede crear directivas rápidas para pérdidas generales de datos y robo de datos si aparta a los usuarios de las comprobaciones de Analytics si procede.
Complete el paso 6: Crear una directiva de administración de riesgos internos para configurar nuevas directivas de riesgo internos.
Actualizar una directiva
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Directivas en el panel de navegación izquierdo.
- En el panel de directivas, seleccione la directiva que desea actualizar.
- En la página de detalles de la directiva, seleccione Editar directiva.
- En la página Nombre y descripción , si lo desea, puede actualizar la descripción de la directiva.
Nota:
No puede editar la plantilla de directiva ni el campo Nombre .
- Seleccione Siguiente para continuar.
- Vaya al paso 7 del procedimiento Crear una directiva.
Copiar una directiva
Es posible que tenga que crear una nueva directiva que sea similar a una directiva existente pero que solo necesite unos pocos cambios de configuración. En lugar de crear una nueva directiva desde cero, puede copiar una directiva existente y luego modificar las áreas que deben actualizarse en la nueva directiva.
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- Seleccione Directivas en el panel de navegación izquierdo.
- En el panel de directivas, seleccione la directiva que desea copiar.
- En la página de detalles de la directiva, seleccione Copiar.
- En el Asistente para directivas, asigne un nombre a la nueva directiva y actualice la configuración de directiva según sea necesario.
Iniciar inmediatamente la puntuación de la actividad de los usuarios
Puede haber escenarios en los que tenga que empezar a asignar puntuaciones de riesgo a los usuarios con directivas de riesgo internos fuera de la administración de riesgos internos que desencadenan el flujo de trabajo de eventos. Use Iniciar actividad de puntuación para los usuarios en la pestaña Directivas para agregar manualmente un usuario (o usuarios) a una o varias directivas de riesgo internos durante un período de tiempo específico, para empezar a asignar puntuaciones de riesgo a su actividad y para omitir el requisito de que un usuario tenga un indicador desencadenante (como una coincidencia de directiva DLP o una fecha de finalización de empleo del conector de RR. HH.).
El valor del campo Motivo de la actividad de puntuación aparece en la escala de tiempo de actividad de los usuarios. Los usuarios agregados manualmente a las directivas se muestran en el panel Usuarios y se crean alertas si la actividad cumple los umbrales de alerta de directiva. En un momento dado, puede tener hasta 4000 usuarios en el ámbito que se han agregado manualmente mediante la característica Iniciar actividad de puntuación para usuarios .
Algunos escenarios en los que es posible que quiera iniciar inmediatamente la puntuación de las actividades de usuario incluyen:
- Cuando los usuarios se identifican con problemas de riesgo y desea empezar inmediatamente a asignar puntuaciones de riesgo a su actividad para una o varias de las directivas.
- Cuando hay un incidente que puede requerir que empiece a asignar inmediatamente puntuaciones de riesgo a la actividad de los usuarios implicados para una o varias de las directivas.
- Cuando aún no haya configurado el conector de RR. HH., pero quiere empezar a asignar puntuaciones de riesgo a las actividades de usuario para eventos de RR. HH. mediante la carga de un archivo .csv.
Nota:
Los usuarios agregados manualmente pueden tardar varias horas en aparecer en el panel Usuarios . Las actividades de los 90 días anteriores de estos usuarios pueden tardar hasta 24 horas en aparecer. Para ver las actividades de los usuarios agregados manualmente, vaya a la pestaña Usuarios , seleccione el usuario en el panel Usuarios y, a continuación, abra la pestaña Actividad de usuario en el panel de detalles.
Iniciar manualmente la actividad de puntuación de los usuarios en una o varias directivas de administración de riesgos internos
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Directivas en el panel de navegación izquierdo.
En el panel de directivas, seleccione la directiva o directivas a las que desea agregar usuarios.
Seleccione Iniciar la actividad de puntuación para los usuarios.
En el panel Agregar usuarios a varias directivas , en el campo Motivo , agregue un motivo para agregar los usuarios.
En el campo This should last for (choose between 5 and 30 days) (Esto debe durar entre 5 y 30 días), defina el número de días para puntuar la actividad del usuario.
Escriba el nombre del usuario que desea agregar o use el campo Buscar usuario para agregar a las directivas para buscar un usuario y, a continuación, seleccione el nombre de usuario. Repita este proceso para asignar usuarios adicionales. La lista de usuarios seleccionados aparece en la sección usuarios del panel Agregar usuarios a varias directivas .
Nota:
Si la directiva tiene como ámbito una o varias unidades administrativas, solo puede ver los usuarios a los que se le ha asignado el ámbito.
Para importar una lista de usuarios, seleccione Importar para importar un archivo .csv (valores separados por comas). El archivo debe tener el siguiente formato y debe enumerar los nombres de los usuarios principales en el archivo:
user principal name user1@domain.com user2@domain.com
Seleccione Agregar usuarios a directivas para aceptar los cambios.
Dejar de puntuar a los usuarios en una directiva
Para dejar de puntuar a los usuarios en una directiva, vea el artículo Usuarios de la administración de riesgos internos: quitar usuarios de la asignación dentro del ámbito de búsqueda de las directivas.
Eliminar una directiva
Importante
No se puede deshacer una eliminación de directiva.
Al eliminar una directiva, hay dos opciones. Puede:
- Elimine solo la directiva.
- Elimine la directiva y todas las alertas y usuarios asociados.
Si elige la segunda opción:
- Todas las alertas generadas por esa directiva se eliminan a menos que estén asociadas a un caso. Los casos asociados nunca se eliminan al eliminar una directiva.
- Cualquier usuario asociado a una alerta de esa directiva se quita de la página Usuarios .
- Si un usuario está en el ámbito de más de una directiva, ese usuario solo se quita de la directiva que se va a eliminar. No se quitan de otras directivas activas.
Por ejemplo, supongamos que crea una directiva con fines de prueba antes de implementarla en su organización. Una vez finalizadas las pruebas, puede eliminar rápidamente la directiva y todos los datos de prueba asociados para que pueda empezar de nuevo cuando esté listo para insertar la directiva en directo.
La eliminación de directivas puede tardar hasta 72 horas.
Nota:
Si elimina una directiva asociada a la administración de riesgos internos Adaptive Protection, verá una advertencia de que Adaptive Protection dejará de asignar niveles de riesgo internos a los usuarios hasta que elija una directiva diferente en Adaptive Protection. Esto se debe a que Adaptive Protection debe estar asociado a una directiva para que esté en vigor.
Para eliminar una directiva
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
Vaya a la solución Insider Risk Management .
Seleccione Directivas en el panel de navegación izquierdo.
En el panel de directivas, seleccione la directiva que desea eliminar.
Seleccione Eliminar la barra de herramientas del panel.
Realiza una de las siguientes acciones:
- Seleccione Eliminar solo la directiva.
- Seleccione Eliminar la directiva y todas las alertas y usuarios asociados.
Importante
No se puede deshacer una eliminación de directiva.
Seleccione Confirmar.
Verá un mensaje en la parte superior de la pantalla que le indica si la eliminación se realizó correctamente o si está pendiente.