Procedimientos recomendados para administrar el volumen de alertas en cumplimiento de comunicaciones
Importante
Cumplimiento de comunicaciones de Microsoft Purview proporciona las herramientas para ayudar a las organizaciones a detectar el cumplimiento normativo (por ejemplo, SEC o FINRA) y las infracciones de conducta empresarial, como información confidencial o confidencial, hostigamiento o amenazante del lenguaje y uso compartido de contenido para adultos. Creados con privacidad por diseño, los nombres de usuario se seudonimizan de forma predeterminada, los controles de acceso basados en roles están integrados, los investigadores son admitidos por un administrador y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.
Después de configurar Cumplimiento de comunicaciones de Microsoft Purview, algunos ajustes pueden ayudarle a administrar el volumen de alertas que recibe. Use la lista de procedimientos recomendados de este artículo para ayudar a crear directivas que abarquen tantos usuarios como sea posible y reduzcan el número de alertas que no requieren acción.
Sugerencia
Empiece a trabajar con Microsoft Copilot for Security para explorar nuevas formas de trabajar de forma más inteligente y rápida con la eficacia de la inteligencia artificial. Obtenga más información sobre Microsoft Copilot para la seguridad en Microsoft Purview.
Descripción de los volúmenes de lista de palabras clave
Muchos clientes usan listas de palabras clave personalizadas para escenarios de cumplimiento. Comprender el volumen de coincidencias de directivas para cada palabra clave puede ayudarle a ajustar las directivas. Use el informe Tipo de información confidencial por ubicación para analizar las listas de palabras clave para ver qué palabras clave desencadenan la mayoría de las coincidencias. A continuación, puede investigar más para ver si esas palabras clave tienen altas tasas de falsos positivos. También puede usar los informes de detalles del mensaje para obtener datos sobre las coincidencias de palabras clave de una directiva específica.
Uso del panel de clasificación de datos
Es importante comprender el volumen de elementos clasificados por clasificadores entrenables y tipos de información confidencial. Puede usar el Explorador de contenido en el panel de clasificación de datos para ayudarle a comprender el volumen que puede esperar para su organización.
Cuando empiece a usar clasificadores entrenables por primera vez, es posible que no obtenga suficientes coincidencias o que obtenga demasiadas coincidencias. En la tabla siguiente se muestra el nivel de volumen que se espera para los distintos tipos de clasificadores que se pueden entrenar.
Clasificador que se puede entrenar | Volumen |
---|---|
Discriminación | Bajo |
Acoso dirigido | Bajo |
Amenaza | Bajo |
Imágenes para adultos | Bajo |
Quejas de clientes | Mediano |
Lenguaje soez | Mediano |
Imágenes de Racy | Mediano |
Imágenes de Gory | Mediano |
Regalos & entretenimiento | Mediano |
Blanqueo de dinero | Mediano |
Connivencia normativa | Mediano |
Manipulación de existencias | Mediano |
Divulgación no autorizada | Alto |
Considere la posibilidad de usar el clasificador Imágenes para adultos en lugar del clasificador de imágenes racy, ya que el clasificador de imágenes para adultos detecta una imagen más explícita. Puede usar el Explorador de contenido para ayudarle a comprender el volumen que puede esperar para su organización para cada uno de los clasificadores que se pueden entrenar.
Filtrar ráfagas de correo electrónico
Puede filtrar los mensajes de correo electrónico genéricos y destinados a la comunicación masiva. Por ejemplo, filtrar correo no deseado, boletines, etc. Para obtener más información, vea Más información sobre el informe de remitentes de Email blast.
Filtrar firmas o declinaciones de responsabilidades de correo electrónico
Los tipos de información confidencial se pueden desencadenar a partir de pies de página en correos electrónicos, como declinaciones de responsabilidades. Si muchas de las alertas no accionables proceden de un conjunto específico de oraciones o frases en una firma de correo electrónico o declinación de responsabilidades, puede filtrar la firma de correo electrónico o la declinación de responsabilidades.
Uso de la evaluación de opiniones
Los mensajes de las alertas incluyen la evaluación de opiniones para ayudarle a priorizar rápidamente los mensajes potencialmente más peligrosos para abordarlos primero. El uso de la evaluación de sentimiento no reduce los volúmenes de detección, sino que facilita la priorización de las detecciones. Los mensajes se marcan como Sentimiento positivo, negativo o neutro . En algunas organizaciones, es posible que los mensajes con sentimiento positivo se determinen como una prioridad menor, lo que le permite dedicar más tiempo a otras alertas de mensajes.
Notificar mensajes como clasificados erróneamente
La notificación de falsos positivos como clasificados erróneamente ayuda a mejorar los modelos de Microsoft y a reducir el número de falsos positivos que verá en el futuro.
Filtrar remitentes específicos mediante una condición
Si tiene remitentes que desencadenan detecciones de forma coherente, puede filtrar estos remitentes concretos mediante la siguiente configuración condicional:
Algunos ejemplos de detecciones desencadenantes constantemente pueden ocurrir a través de boletines de noticias, correos electrónicos automatizados, etc. Para obtener más información sobre escenarios, vea Escenarios para crear condiciones en las directivas de cumplimiento de comunicaciones.
Uso de la dirección de comunicación para dirigirse a un conjunto determinado de usuarios
Si detecta estándares de escenarios de conducta empresarial y solo se preocupa por las comunicaciones de los usuarios (no de los invitados), considere la posibilidad de usar una directiva que detecte solo las comunicaciones salientes. Si hace que toda la organización esté en el ámbito, puede asegurarse de que todos los usuarios de la organización están cubiertos, pero excluir a los usuarios de fuera de la organización.
Combinación de clasificadores entrenables
Considere la posibilidad de combinar dos o más clasificadores entrenables entre sí. Por ejemplo, combine los clasificadores Threat y Profanity o los clasificadores De acoso dirigido y Profanidad para aumentar el umbral de los mensajes capturados.
Reducir el porcentaje de comunicaciones revisadas
Si solo desea muestrear un subconjunto de todos los mensajes que desencadenan alertas, especifique un porcentaje de las comunicaciones que se van a revisar.