Uso compartido de datos de administración de riesgos internos con otras soluciones

  • Artículo

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Puede compartir datos de la administración de riesgos internos de cualquiera de las siguientes maneras:

  • Exportación de información de alertas a soluciones SIEM
  • Compartir niveles de gravedad de riesgo de usuario con alertas de prevención de pérdida de datos (DLP) Microsoft Defender y Microsoft Purview

Exportación de información de alertas a soluciones SIEM

Administración de riesgos internos de Microsoft Purview información de alertas se puede exportar a la información de seguridad y a las soluciones de administración de eventos (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) mediante el esquema de api de actividad de administración de Office 365. Puede usar las API de actividad de administración de Office 365 para exportar información de alertas a otras aplicaciones que su organización puede usar para administrar o agregar información de riesgo interno. La información de alertas se exporta y está disponible cada 60 minutos a través de las API de actividad de administración de Office 365.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Si su organización usa Microsoft Sentinel, también puede usar el conector de datos de administración de riesgos internos para importar información de alertas de riesgo internos a Sentinel. Para obtener más información, consulte Insider Risk Management (IRM) (versión preliminar) en el artículo de Microsoft Sentinel.

Importante

Para mantener la integridad referencial de los usuarios que tienen alertas o casos de riesgo internos en Microsoft 365 u otros sistemas, el anonimato de los nombres de usuario no se conserva para las alertas exportadas al usar la API de exportación o al exportar a soluciones de Microsoft Purview eDiscovery. Las alertas exportadas mostrarán los nombres de usuario de cada alerta en este caso. Si va a exportar a archivos CSV desde alertas o casos, se conserva el anonimato.

Uso de las API para revisar la información de alertas de riesgo internos

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
  2. Seleccione el botón Configuración en la esquina superior derecha de la página.
  3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
  4. Seleccione Exportar alertas. De forma predeterminada, esta configuración está deshabilitada para la organización de Microsoft 365.
  5. Active la configuración.
  6. Filtre las actividades comunes de auditoría de Office 365 por SecurityComplianceAlerts.
  7. Filtre SecurityComplianceAlerts por la categoría InsiderRiskManagement .

La información de alerta contiene información del esquema alertas de seguridad y cumplimiento y el esquema común de la API de actividad de Office 365 Management.

Los siguientes campos y valores se exportan para las alertas de administración de riesgos internos para el esquema alertas de seguridad y cumplimiento:

Parámetro de alerta Descripción
AlertType El tipo de la alerta es Custom.
AlertId GUID de la alerta. Las alertas de administración de riesgos internos son mutables. A medida que cambia el estado de la alerta, se genera un nuevo registro con el mismo AlertID. Este AlertID se puede usar para correlacionar las actualizaciones de una alerta.
Categoría La categoría de la alerta es InsiderRiskManagement. Esta categoría se puede usar para distinguir de estas alertas de otras alertas de seguridad y cumplimiento.
Comentarios Comentarios predeterminados para la alerta. Los valores son Nueva alerta (registrada cuando se crea una alerta) y Alerta actualizada (registrada cuando hay una actualización de una alerta). Use AlertID para correlacionar las actualizaciones de una alerta.
Datos Los datos de la alerta incluyen el identificador de usuario único, el nombre principal de usuario y la fecha y hora (UTC) cuando el usuario se desencadenó en una directiva.
Nombre Nombre de directiva para la directiva de administración de riesgos internos que generó la alerta.
PolicyId GUID de la directiva de administración de riesgos internos que desencadenó la alerta.
Severity Gravedad de la alerta. Los valores son Alto, Medio o Bajo.
Origen Origen de la alerta. El valor es Office 365 Security & Compliance.
Estado Estado de la alerta. Los valores son Activos (Revisión de necesidades en riesgo interno), Investigar (Confirmado en riesgo interno), Resuelto (Resuelto en riesgo interno), Descartado (Descartado en riesgo interno).
Versión Versión del esquema alertas de seguridad y cumplimiento.

Los siguientes campos y valores se exportan para las alertas de administración de riesgos internos para el esquema común de la API de actividad de Office 365 Management.

  • UserId
  • Id
  • RecordType
  • CreationTime
  • Operación
  • OrganizationId
  • UserType
  • UserKey

Compartir niveles de gravedad de riesgo de usuario con alertas de Microsoft Defender y DLP

Puede compartir los niveles de gravedad de riesgo de usuario de la administración de riesgos internos para proporcionar un contexto de usuario único a Microsoft Defender y alertas de prevención de pérdida de datos (DLP) de Microsoft Purview. La administración de riesgos internos analiza las actividades del usuario durante un período de entre 90 y 120 días y busca comportamientos anómalos durante ese período de tiempo. Al agregar estos datos a las alertas Microsoft Defender y DLP, se mejoran los datos disponibles en esas soluciones para ayudar a los analistas a priorizar las alertas.

¿Qué ocurre cuando comparte niveles de gravedad de riesgo de usuario de administración de riesgos internos?

En Microsoft Defender

  • Se agrega un campo De gravedad de riesgo interno a la sección Activos afectados de la página incidentes DLP de Microsoft Defender para los usuarios que tienen un nivel de riesgo interno alto o medio en la administración de riesgos internos. Si el usuario tiene un nivel de riesgo interno bajo , no se agrega nada a la página Incidentes. Esto mantiene las distracciones al mínimo para los analistas para que puedan centrarse en las actividades de usuario más arriesgadas.

  • Puede seleccionar el nivel de riesgo interno en la sección Activos afectados para ver un resumen de actividad de riesgo interno y una escala de tiempo de actividad para ese usuario. Tener hasta 120 días de análisis puede ayudar al analista a determinar el riesgo general de las actividades del usuario.

  • Si selecciona el evento DLP en la página de coincidencia de directiva DLP, aparecerá una sección Entidades afectadas en la sección Coincidencia de directiva DLP que muestra todos los usuarios que coinciden con la directiva.

En alertas DLP

  • Para la directiva de administración de riesgos internos asociada a la alerta DLP, se agrega a la cola de alertas DLP una columna de gravedad de riesgo insider con valores de Alto, Medio, Bajo o Ninguno . Si hay varios usuarios que tienen actividades que coinciden con la directiva, se muestra el usuario con el nivel de riesgo interno más alto.

    Un valor de None puede significar cualquiera de los siguientes:

    • El usuario no forma parte de ninguna directiva de administración de riesgos internos.

    • El usuario forma parte de una directiva de administración de riesgos internos, pero no ha realizado actividades de riesgo para entrar en el ámbito de la directiva (no hay datos de filtración).

  • Puede seleccionar el nivel de riesgo interno en la cola de alertas DLP para acceder a la pestaña Resumen de actividad de usuario , que muestra una escala de tiempo de todas las actividades de filtración para ese usuario durante los últimos 90-120 días. Al igual que la cola de alertas DLP, la pestaña Resumen de actividad de usuario muestra al usuario con el nivel de riesgo interno más alto. Este contexto profundo de lo que un usuario ha hecho en los últimos 90 a 120 días proporciona una visión más amplia de los riesgos que presenta ese usuario.

    En el resumen de actividad del usuario solo se muestran los datos de los indicadores de filtración. Los datos de otros indicadores confidenciales, como RR. HH., exploración, etc., no se comparten con las alertas DLP.

  • Se agrega una sección de detalles de actor a la página Detalles de la alerta DLP. Puede usar esta página para ver todos los usuarios implicados en la alerta DLP específica. Para cada usuario implicado en la alerta DLP, puede ver todas las actividades de filtración de los últimos 90 a 120 días.

  • Si selecciona el botón Obtener un resumen de Copilot para seguridad en una alerta DLP, el resumen de alerta proporcionado por Microsoft Copilot para seguridad incluye el nivel de gravedad de administración de riesgos internos además de la información de resumen dlp, si el usuario está en el ámbito de una directiva de administración de riesgos internos.

    Sugerencia

    También puede usar Copilot para seguridad para investigar las alertas DLP. Si la configuración de uso compartido de datos de administración de riesgos internos está activada, puede realizar una investigación combinada de administración de riesgos DLP/insider. Por ejemplo, es posible que quiera empezar pidiendo a Copilot que resuma una alerta DLP y, a continuación, pida a Copilot que muestre el nivel de riesgo interno asociado al usuario marcado en la alerta. O bien, es posible que quiera preguntar por qué el usuario se considera un usuario de alto riesgo. La información de riesgo del usuario en este caso procede de la administración de riesgos internos. Copilot para seguridad integra sin problemas la administración de riesgos internos con DLP para ayudar con las investigaciones. Más información sobre el uso de la versión independiente de Copilot para las investigaciones combinadas de administración de riesgos DLP/insider

Requisitos previos

Para compartir los niveles de riesgo internos de administración de riesgos internos con alertas Microsoft Defender y DLP, el usuario:

  • Debe formar parte de una directiva de administración de riesgos internos.
  • Debe haber realizado actividades de filtración que lleven al usuario al ámbito de la directiva.

Nota:

Si tiene acceso a alertas DLP en Microsoft Purview o Microsoft Defender, puede ver el contexto de usuario desde la administración de riesgos internos compartida con esas soluciones.

Uso compartido de datos con alertas Microsoft Defender y DLP

Puede compartir los niveles de gravedad de riesgo de usuario de administración de riesgos internos con alertas Microsoft Defender y DLP activando una única configuración.

  1. En la configuración de administración de riesgos internos, seleccione la opción Uso compartido de datos .
  2. En la sección Uso compartido de datos con Microsoft Defender XDR (versión preliminar), active la configuración.

Nota:

Si no activa esta configuración, el valor que se muestra en la columna gravedad de riesgo de las alertas dlp es "Los datos de usuario no están disponibles".

Consulte también