Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Desde la definición de niveles de riesgo hasta la configuración de acciones de mitigación en la prevención de pérdida de datos (DLP) o las directivas de acceso condicional, La protección adaptable es altamente configurable. La forma en que configure los niveles de riesgo y las directivas que usan la condición de protección adaptable depende de la posición de seguridad de su organización y de su voluntad de interrumpir la experiencia del usuario final para los usuarios de la organización.
Esta configuración es nuestra recomendación para las organizaciones que desean minimizar los falsos positivos y posibles interrupciones para los usuarios.
Configuración de la protección adaptable
Elevado
Moderado
Menor
Configuración de nivel de riesgo
Alerta confirmada de cualquier gravedad para un usuario
Alerta de gravedad alta generada para un usuario
Alerta de gravedad baja o media generada para un usuario
Prevención de pérdida de datos
Configuración de Teams y Exchange
Con esta configuración, la organización crea dos directivas DLP para las ubicaciones de Teams y Exchange. Una es para usuarios de riesgo elevado y la otra es para usuarios de riesgo moderados y menores.
Se impide que los usuarios con privilegios elevados compartan contenido en Teams y Exchange con personas ajenas a su organización. Los usuarios de riesgo moderado y menor tienen sus intentos de compartir contenido externamente en Teams y Exchange auditados. Los usuarios de todos los niveles de riesgo reciben una notificación por correo electrónico de que su intento de compartir contenido entra en conflicto externamente con la directiva de su organización.
Estas configuraciones se pueden modificar para ajustarse a la posición de seguridad y las directivas de su organización. Las sugerencias de directiva no se admiten actualmente para la protección adaptable en DLP.
Elemento de directiva DLP
Elevado
Moderado
Condiciones
El nivel de riesgo interno para la protección adaptable es
- Riesgo elevado
Y
- El contenido se comparte desde Microsoft 365 con personas ajenas a mi organización
El nivel de riesgo interno para la protección adaptable es
- Riesgo moderado
Y
- El contenido se comparte desde Microsoft 365 con personas ajenas a mi organización
Acciones
Restricción del acceso o cifrado del contenido en ubicaciones de Microsoft 365
- Bloquear solo a personas ajenas a la organización
Ninguno
Notificación del usuario
Activado
- Notificar al usuario que envió, compartió o modificó por última vez el contenido.
Activado
- Notificar al usuario que envió, compartió o modificó por última vez el contenido.
Invalidación de usuario
Desactivado
Desactivado
Informes de incidentes
Activado
- Gravedad Level-Low - Envío de una alerta cada vez que una actividad coincide con la regla
Activado
- Gravedad Level-Low - Envío de una alerta cada vez que una actividad coincide con la regla
Opciones adicionales
Desactivado
Desactivado
Estado
Ejecución de la directiva en modo de simulación
- Sugerencias de directiva no seleccionadas
Ejecución de la directiva en modo de simulación
- Sugerencias de directiva no seleccionadas
Configuración del punto de conexión
Con esta configuración, la organización crea dos directivas para dispositivos. Una es para usuarios de riesgo elevado y la otra es para usuarios de riesgo moderados y menores.
Se impide que los usuarios con privilegios elevados carguen en dominios de servicio en la nube restringidos o accedan al contenido desde exploradores no permitidos. También se les impide copiar contenido en el Portapapeles, dispositivos USB extraíbles y recurso compartido de red. También se les impide imprimir contenido que coincida con las condiciones de la directiva. Tampoco podrán acceder al contenido con aplicaciones restringidas. Para los usuarios moderados y menores, todas estas actividades se auditan.
Elemento de directiva DLP
Elevado
Moderado
Condiciones
El nivel de riesgo interno para la protección adaptable es
- Riesgo elevado
Y
- El tipo de archivo es Word procesamiento, hoja de cálculo, presentación, Archivo y correo
El nivel de riesgo interno para la protección adaptable es
- Riesgo moderado, riesgo menor
Y
- El contenido se comparte desde Microsoft 365 con personas ajenas a mi organización
Acciones
Auditoría o restricción de actividades en dispositivos
- Carga en un dominio de servicio en la nube restringido o acceso desde exploradores no permitidos (Bloquear)
Actividades de archivo para todas las aplicaciones - Aplicar restricciones a una actividad específica - Copiar en el Portapapeles (bloquear) - Copiar en un dispositivo USB extraíble (bloquear) - Copia en el recurso compartido de red (bloquear) - Imprimir (bloquear)
Actividades de aplicaciones restringidas - Acceso mediante aplicaciones restringidas (Bloquear)
Auditoría o restricción de actividades en dispositivos
- Carga en un dominio de servicio en la nube restringido o acceso desde exploradores no permitidos (Auditoría)
Actividades de archivo para todas las aplicaciones - Aplicar restricciones a una actividad específica - Copiar en el Portapapeles (auditoría) - Copiar en un dispositivo USB extraíble (auditoría) - Copia en el recurso compartido de red (auditoría) - Imprimir (auditoría)
Actividades de aplicaciones restringidas - Acceso mediante aplicaciones restringidas (auditoría)
Notificación del usuario
Desactivado
Desactivado
Invalidación de usuario
Desactivado
Desactivado
Informes de incidentes
Activado
- Gravedad Level-Low - Envío de una alerta cada vez que una actividad coincide con la regla
Activado
- Gravedad Level-Low - Envío de una alerta cada vez que una actividad coincide con la regla
Opciones adicionales
Desactivado
Desactivado
Estado
Ejecución de la directiva en modo de simulación
- Sugerencias de directiva no seleccionadas
Ejecución de la directiva en modo de simulación
- Sugerencias de directiva no seleccionadas
Administración de riesgos internos
Configuración de directiva de acceso condicional
Se recomienda crear las siguientes directivas de acceso condicional con la condición de riesgo Insider al configurar Adaptive Protection para minimizar la interrupción de la productividad del usuario y, al mismo tiempo, proporcionar protección contra usuarios de riesgo.
Elevado
En el caso de los usuarios de riesgo elevado, se recomienda minimizar el posible impacto mediante un enfoque multiprongido para limitar cómo pueden acceder a datos confidenciales. En función de la posición de riesgo de su organización, puede configurar cualquier combinación de estas directivas.
Bloquear desde Office 365 Aplicaciones: cuando se usa con la condición de riesgo Insider, esta configuración impide que los usuarios de riesgo elevado inicien sesión en Office 365 aplicaciones.
Bloquear el acceso a sitios etiquetados específicos: esta configuración no solo impide que los usuarios con privilegios elevados accedan a esos sitios de SharePoint cuando se usan con la condición de riesgo de insider de acceso condicional, sino que impide que Copilot genere contenido basado en estos sitios. Con el contexto de autenticación en el acceso condicional, esta configuración ayuda a limitar cómo los usuarios de riesgo pueden aprovechar el acceso a información confidencial mediante la inteligencia artificial generativa.
Bloquear descargas mediante el control de aplicaciones de acceso condicional: evite la filtración de datos mediante la condición de riesgo Insider con esta configuración para impedir que los usuarios descarguen riesgos elevados desde aplicaciones en la nube específicas. Esta configuración puede ser útil para las organizaciones que no quieren bloquear por completo el acceso desde aplicaciones en la nube, pero que siguen deseando aplicar controles adicionales a usuarios con privilegios elevados.
Obtenga información sobre el acceso condicional para los usuarios de riesgo menores al tiempo que protege su productividad. El uso de una directiva con la condición de riesgo Insider en modo Report-Only proporciona una mayor visibilidad sobre los usuarios de riesgo menores, a la vez que conserva su productividad.
Adaptive Protection in Microsoft Purview uses machine learning to dynamically apply the most effective data loss prevention (DLP) controls for identified critical risks, enhancing data security and saving time for security teams.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.
Obtenga información sobre cómo funcionan conjuntamente la administración de riesgos internos y la prevención de pérdida de datos para proteger dinámicamente su organización frente a actividades de usuario de riesgo.
Obtenga información sobre los procedimientos recomendados para administrar la cola de alertas de administración de riesgos internos para que no tenga demasiadas alertas o demasiadas que revisar.
Los administradores pueden configurar un conector de datos para importar detecciones agregadas preprocesadas y usarlas en Administración de riesgos internos de Microsoft Purview. Esto le permite ampliar las detecciones a cargas de trabajo de terceros, como Salesforce o Dropbox, y usarlas junto con las detecciones integradas de la administración de riesgos internos.
Los administradores pueden configurar un conector de datos para importar datos desde el sistema de badging físico de su organización a Microsoft 365. Esto le permite usar estos datos en directivas de administración de riesgos internos para ayudarle a detectar el acceso a los edificios físicos por parte de usuarios específicos que pueden indicar una posible amenaza interna para su organización.