Habilitación del análisis en la administración de riesgos internos
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
Habilitar Administración de riesgos internos de Microsoft Purview análisis ofrece dos ventajas importantes. Cuando el análisis está habilitado, puede hacer lo siguiente:
- Realice una evaluación de posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno.
- Reciba instrucciones en tiempo real sobre cómo configurar los valores de umbral del indicador.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Realizar una evaluación de los riesgos internos en su organización
Administración de riesgos internos de Microsoft Purview análisis le permite realizar una evaluación de posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno. Esta evaluación puede ayudar a su organización a identificar posibles áreas de mayor riesgo para el usuario y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que podría querer configurar. Los exámenes de análisis ofrecen las siguientes ventajas para su organización:
- Fácil de configurar: para empezar a trabajar con los exámenes de análisis, seleccione Ejecutar examen cuando se le solicite la recomendación de análisis o vaya a Configuración de> riesgo de InsiderAnalytics y habilite el análisis.
- Privacidad por diseño: los resultados escaneados y la información se devuelven como actividad de usuario agregada y anónima. Los revisores no identifican los nombres de usuario individuales. Dado que la administración de riesgos internos no clasifica ninguna identidad en la organización para el análisis, la solución representa todas las UPN o identidades que podrían estar implicadas en los datos que salen del límite de la organización. Esto puede implicar cuentas de usuario, cuentas del sistema, cuentas de invitado, etc.
- Comprender los posibles riesgos a través de información consolidada: los resultados del examen pueden ayudarle a identificar rápidamente posibles áreas de riesgo para los usuarios y qué directiva sería mejor para ayudar a mitigar estos riesgos.
Consulte el vídeo de Insider Risk Management Analytics para ayudar a comprender cómo el análisis puede ayudar a acelerar la identificación de posibles riesgos internos.
Áreas examinadas
Análisis examina la actividad de administración de riesgos de varios orígenes para ayudar a identificar información sobre las posibles áreas de riesgo. En función de la configuración actual, el análisis busca actividades de riesgo aptas en las siguientes áreas:
- Registros de auditoría de Microsoft 365: incluidos en todos los exámenes, este es el origen principal para identificar la mayoría de las actividades potencialmente de riesgo.
- Exchange Online: incluida en todos los exámenes, Exchange Online actividad ayuda a identificar las actividades en las que los datos adjuntos se envían por correo electrónico a contactos o servicios externos.
- Microsoft Entra ID: incluido en todos los exámenes, el historial de Microsoft Entra ayuda a identificar las actividades de riesgo asociadas a los usuarios con cuentas de usuario eliminadas.
- Conector de datos de RR. HH. de Microsoft 365: si está configurado, los eventos del conector de RR. HH . ayudan a identificar las actividades de riesgo asociadas a los usuarios que tienen dimisiones o próximas fechas de finalización.
La información de análisis de los exámenes se basa en las mismas señales de actividad de administración de riesgos que usan las directivas de administración de riesgos internos y en los resultados de informes basados en actividades de usuario únicas y de secuencia. Sin embargo, la puntuación de riesgos para el análisis se basa en hasta 10 días de actividad, mientras que las directivas de riesgo interno usan la actividad diaria para obtener información. La primera vez que habilite y ejecute análisis en su organización, verá los resultados del examen durante un día. Si deja el análisis habilitado, verá los resultados de cada examen diario agregado a los informes de información para un intervalo máximo de los 10 días anteriores de actividad.
Recibir instrucciones en tiempo real sobre cómo configurar los valores de umbral del indicador
El ajuste manual de directivas para reducir el "ruido" puede ser una experiencia muy lenta que requiere que realice una gran cantidad de pruebas y errores para determinar la configuración deseada para las directivas. Si el análisis está activado, puede obtener información en tiempo real para ayudarle a ajustar de forma eficaz la selección de indicadores y umbrales de repetición de actividad para que no reciba demasiadas alertas de directiva o demasiadas. Obtenga más información sobre el uso de análisis en tiempo real para ayudar a administrar el volumen de alertas.
Habilitación del análisis e inicio de un examen de posibles riesgos internos en la organización
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Para habilitar el análisis de riesgos internos, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365 .
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución Insider Risk Management .
- En la pestaña Información general , desplácese hacia abajo hasta la tarjeta Análisis de riesgos internos y, a continuación, en Buscar riesgos internos en su organización, seleccione Ejecutar examen. Esto activa el análisis de la organización. Los resultados del análisis pueden tardar hasta 48 horas en estar disponibles como informes para su revisión.
Sugerencia
También puede activar el examen en su organización a través de Configuración en la parte superior de cualquier página de administración de riesgos internos. Seleccione Análisis y, a continuación, active la configuración.
Visualización de información de análisis después del primer examen de análisis
Una vez completado el primer examen de análisis de su organización, los miembros del grupo de roles Administradores de Insider Risk Management recibirán automáticamente una notificación por correo electrónico y podrán ver las conclusiones iniciales y las recomendaciones para actividades potencialmente de riesgo por parte de los usuarios. Los exámenes diarios continúan a menos que desactive el análisis de su organización. Email se proporcionan notificaciones a los administradores para cada una de las tres categorías de ámbito para el análisis (fugas de datos, robo y filtración) después de la primera instancia de actividad potencialmente arriesgada en su organización. Email notificaciones no se envían a los administradores para la detección de actividad de administración de riesgos de seguimiento resultante de los exámenes diarios.
Nota:
Si la configuración de Analytics está deshabilitada y, a continuación, se vuelve a habilitar, se restablecen las notificaciones automáticas por correo electrónico y se envían notificaciones por correo electrónico a los miembros del grupo de roles Administradores de Administración de riesgos internos para obtener información de examen nueva.
Para ver posibles riesgos para su organización, vaya a la pestaña Información general y, a continuación, en la tarjeta análisis de riesgos insider , seleccione Ver resultados.
Nota:
Si el examen de su organización no está completo, verá un mensaje que indica que el examen sigue activo.
En el caso de los análisis completados, verá los posibles riesgos detectados en su organización y las conclusiones y recomendaciones para abordar estos riesgos. Los riesgos identificados y la información específica se incluyen en los informes agrupados por área, el número total de usuarios (todos los tipos de cuentas de Microsoft Entra, incluidos usuarios, invitados, sistemas, etc.) con riesgos identificados, el porcentaje de estos usuarios con actividades potencialmente arriesgadas y una directiva de riesgo interno recomendada para ayudar a mitigar estos riesgos. Los informes incluyen:
- Información sobre fugas de datos: para todos los usuarios que pueden incluir el uso compartido accidental de información fuera de su organización o las pérdidas de datos por parte de usuarios con intención malintencionada.
- Información sobre el robo de datos: para usuarios que abandonan o usuarios con cuentas de Microsoft Entra eliminadas que pueden incluir el uso compartido de información fuera de su organización o el robo de datos por parte de usuarios con intención malintencionada.
- Información de filtración superior: para todos los usuarios que pueden incluir el uso compartido de datos fuera de su organización.
Para mostrar más información sobre una información, seleccione Ver detalles para mostrar el panel de detalles de la información. El panel de detalles incluye los resultados completos de la información, una recomendación de directiva de riesgo interno y Crear directiva para ayudarle a crear rápidamente la directiva recomendada. Al seleccionar Crear directiva , se le lleva al Asistente para directivas y se selecciona automáticamente la plantilla de directiva recomendada relacionada con la información. Por ejemplo, si la información de análisis es para la actividad de robo de datos , la plantilla de directiva de robo de datos se seleccionará previamente en el Asistente para directivas.
Desactivar el análisis
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización. Obtenga más información sobre los roles y permisos de Microsoft Purview.
Para desactivar el análisis de riesgos internos, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365.
Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
- Seleccione Configuración en la esquina superior derecha de la página.
- Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
- En Configuración de riesgos internos, seleccione Análisis y, a continuación, desactive la configuración.
Después de deshabilitar el análisis:
- Los informes de información de análisis permanecerán estáticos y no se actualizarán para nuevos riesgos.
- No podrá ver análisis en tiempo real al personalizar la configuración del umbral de indicador para las directivas.