Ajuste de exclusiones en la administración de riesgos internos mediante la creación de grupos de detección (versión preliminar)

Importante

Microsoft Purview Insider Risk Management correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Puede excluir que las directivas de administración de riesgos internos puntúe los elementos mediante la configuración Exclusiones globales. Estos tipos de exclusiones se aplican a cada desencadenador e indicador de todas las directivas que se crean dentro de un inquilino. Mediante el uso de grupos de detección, puede modificar una exclusión global integrada para que sea específica para las necesidades de su organización.

También puede usar grupos de detección para modificar los indicadores de riesgo internos integrados para adaptar las detecciones de diferentes conjuntos de usuarios en el nivel de directiva. Por ejemplo, para reducir el número de falsos positivos para las actividades de correo electrónico, es posible que quiera crear una variante del indicador integrado Envío de correo electrónico con datos adjuntos a destinatarios fuera de la organización para detectar solo el correo electrónico enviado a dominios personales.

Proceso para crear y usar grupos de detección

Para usar un grupo de detección como parte de una exclusión global, cree el grupo de detección como se describe en este artículo y, a continuación, selecciónelo como parte de la exclusión global.

El uso de un grupo de detección para modificar un indicador integrado incluye los pasos siguientes:

1. Cree el grupo de detección como se describe en este artículo. Al crear la variante, seleccionará este grupo de detección.
2. Cree la variante.
3. Use la variante en una directiva nueva o existente.
4. Revise las alertas relacionadas con las actividades especificadas en la variante.

Creación de un grupo de detección

Un grupo de detección le ayuda a limitar un indicador integrado o una exclusión global para centrarse en las actividades de alto valor importantes para su organización.

Tipos de detección para indicadores de directiva

Cada indicador de directiva incluye determinados tipos de detección que son aplicables a ese indicador. Por ejemplo, para el indicador Compartir archivos de SharePoint con personas ajenas a la organización , uno de los tipos de detección son los dominios. Al compartir un archivo de SharePoint, elige un dominio con el que compartir el archivo. No todos los indicadores tienen los mismos tipos de detección. Por ejemplo, dominios es un tipo de detección del indicador Compartir archivos de SharePoint con personas ajenas a la organización , pero no es un tipo de detección del indicador Creación o copia de archivos en USB , ya que no es aplicable en ese caso.

La administración de riesgos internos admite actualmente siete tipos de detección:

• Dominios
• Rutas de acceso de archivo
• Tipos de archivo
• Palabras clave
• Tipos de información confidencial
• Sitios de SharePoint
• Clasificadores que se pueden entrenar

Sugerencia

Al crear un grupo de detección, puede ver todos los indicadores aplicables para una detección determinada seleccionando el vínculo Ver indicadores aplicables en el texto de introducción para el tipo de grupo.

En los procedimientos siguientes se muestra cómo crear un grupo de detección para cada tipo de grupo.

Creación de un grupo de detección de dominios

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).

2. En el panel de la derecha, en Tipo, seleccione Dominios.

3. En el panel de la derecha, seleccione Nuevo grupo de dominios.

4. En el panel Nuevo grupo de dominios , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).

5. En el campo Agregar dominios , escriba un dominio y presione Entrar. Continúe agregando más dominios de la misma manera o, si tiene una larga lista de dominios que agregar, puede importarlos como un archivo CSV seleccionando Importar dominios desde un archivo CSV. Los dominios que agregue se muestran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de dominios y cada grupo puede tener hasta 200 elementos.

   Nota:

   Para especificar subdominios de varios niveles para un dominio raíz, active la casilla Incluir subdominios de varios niveles , agregue un dominio y, a continuación, presione Entrar para agregar el dominio a la lista. Se incluirán los subdominios incluidos en ese dominio. Repita el mismo proceso para agregar más dominios y, a continuación, seleccione Agregar dominios cuando haya terminado.

   Sugerencia

   Puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel).

6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Cómo detecta el grupo de dominios públicos gratuitos la filtración de datos empresariales a dominios de correo electrónico personales

El grupo de detección de dominios incluye un grupo de dominio especial denominado Dominios públicos gratuitos que consta de una lista de proveedores de correo electrónico gratuitos (gmail.com o yahoo.com, por ejemplo) que se pueden usar para crear un identificador de correo electrónico personal. Esta lista se usa para resaltar automáticamente la filtración de datos empresariales a dominios de correo electrónico personales para la información de correo electrónico en las pestañas Actividad de usuario y Explorador de actividad. La información muestra el número de correos electrónicos enviados a dominios públicos gratuitos por un usuario dentro del ámbito. La lista también se usa para el algoritmo que identifica el correo electrónico enviado a sí mismo (enviado a la cuenta de correo electrónico personal del usuario en el ámbito). La información de correo electrónico muestra el número de correos electrónicos enviados a sí mismo.

Puede usar este grupo de dominios integrado como cualquier otro grupo de dominios para crear una variante de un indicador integrado para las directivas. Este grupo de dominios solo se aplica al indicador Envío de correo electrónico con datos adjuntos a destinatarios fuera de la organización . En este momento, no puede editar ni eliminar el grupo de dominios públicos gratuitos . Más información sobre la creación de una variante de un indicador integrado

Creación de un grupo de detección de rutas de acceso de archivo

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Rutas de acceso de archivo.
3. En el panel de la derecha, seleccione Nuevo grupo de rutas de acceso de archivo.
4. En el panel Nuevo grupo de rutas de acceso de archivo , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar rutas de acceso de archivo, seleccione las rutas de acceso de archivo que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de rutas de acceso de archivo y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de tipos de archivo

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Tipos de archivo.
3. En el panel de la derecha, seleccione Nuevo grupo de tipos de archivo.
4. En el panel Nuevo grupo de tipos de archivo , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. En el campo Agregar tipo de archivo , escriba una extensión de archivo y presione Entrar. Continúe agregando más extensiones de archivo de la misma manera. Las extensiones que agregue se muestran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de tipos de archivo y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de palabras clave

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Palabras clave.
3. En el panel de la derecha, seleccione Nuevo grupo de palabras clave.
4. En el panel Nuevo grupo de palabras clave , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. En el campo Agregar palabras clave , escriba una palabra clave y presione Entrar. Repita este proceso para cada palabra clave que quiera agregar. Las palabras clave que agregue se enumeran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de palabras clave y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de tipos de información confidencial

Nota:

La lista de exclusión de tipos de información confidencial tiene prioridad sobre la lista de contenido de prioridad .

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Tipos de información confidencial.
3. En el panel de la derecha, seleccione Nuevo grupo de tipos de información confidencial.
4. En el panel Nuevo tipo de información confidencial , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar tipos de información confidencial, seleccione los tipos de información confidencial que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de tipos de información confidencial y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de sitios de SharePoint

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Sitios de SharePoint.
3. En el panel de la derecha, seleccione Nuevo grupo de sitios de SharePoint.
4. En el panel Nuevo grupo de sitios de SharePoint , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar sitios, seleccione los sitios de SharePoint que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de sitios de SharePoint y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de clasificadores entrenable

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Clasificadores entrenables.
3. En el panel de la derecha, seleccione Nuevo grupo de clasificadores entrenables.
4. En el panel Nuevo grupo de clasificadores que se pueden entrenar , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar clasificadores entrenables, seleccione los clasificadores entrenables que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de clasificadores entrenables y cada grupo puede tener hasta 200 elementos.
6. Haga clic en Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Vea también

• Cree una variante de un indicador integrado.
• Use una variante en una directiva nueva o existente.
• Investigue las alertas relacionadas con las actividades especificadas en una variante.