Procedimientos recomendados para administrar el volumen de alertas en la administración de riesgos internos

Importante

Microsoft Purview Insider Risk Management correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Revisar, investigar y actuar sobre alertas internas potencialmente arriesgadas son partes importantes de la minimización de los riesgos internos en su organización. Tomar medidas rápidamente para minimizar el impacto de estos riesgos puede ahorrar tiempo, dinero y ramificaciones normativas o legales para su organización. En este proceso de corrección, el primer paso para revisar las alertas puede parecer la tarea más difícil para muchos analistas e investigadores.

En este artículo se proporcionan procedimientos recomendados para administrar el volumen de alertas de su organización para que no tenga demasiadas o demasiadas alertas. Para obtener una explicación general sobre cómo se generan las alertas y las herramientas para administrar alertas, consulte Investigación de actividades de riesgo internos.

Demasiadas alertas para revisar

Si recibe muy pocas alertas de administración de riesgos internos:

• Actualice la configuración: Los cambios realizados en la configuración se aplican globalmente en todas las directivas.

  • Habilitar más indicadores: La selección de más indicadores proporciona a las directivas un grupo mayor de actividades para detectar.

    Cómo: Vaya aIndicadores de directiva deconfiguración> y, a continuación, habilite todos los indicadores disponibles y pertinentes.

  • Ajuste el control deslizante Volumen de alertas: Use este control deslizante para ver todas las alertas de gravedad media y alta y las alertas de gravedad más baja. Nota: Ajustar el control deslizante puede dar lugar a más falsos positivos.

    Cómo: Vaya a Configuración Detecciones>inteligentesVolumen dealertas> y, a continuación, mueva el control deslizante a Más alertas.

• Modifique la directiva: Identifique la directiva que no genera suficientes alertas y, a continuación, considere las siguientes acciones:

  • Aumente la cobertura de usuario en la directiva: Las directivas con pocos usuarios incluidos en el ámbito tienen menos probabilidades de generar alertas. Si procede, considere la posibilidad de aumentar el número de usuarios en el ámbito de la directiva.

    Cómo: Seleccione una directiva específica en la página Directivas , seleccione Editar directiva y, a continuación, vaya a la página Usuarios y grupos para aumentar el número de usuarios dentro del ámbito.

  • Reduzca los umbrales del desencadenador: Las directivas basadas en las plantillas De pérdida de datos y Uso de explorador de riesgo (versión preliminar) permiten personalizar algunos umbrales de desencadenador. Estos umbrales definen cuándo comenzará a detectar las actividades del usuario. Si se reducen los umbrales de desencadenador, se reducen los criterios para que un usuario empiece a evaluarse para la actividad de riesgo. Nota: Si un usuario no aparece en la página Usuarios y grupos , significa que aún no se han cumplido los criterios de desencadenamiento de eventos.

    Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Desencadenar umbrales , seleccione la opción Usar umbrales personalizados y, a continuación, ajuste los umbrales.

  • Agregue más indicadores: Los indicadores son las actividades que un usuario debe realizar para considerarse de riesgo. Si no tiene muchos indicadores (actividades consideradas de riesgo) seleccionados en la directiva, es menos probable que se generen alertas.

    Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Indicadores y, a continuación, seleccione más indicadores.

  • Umbrales de indicador inferiores: Una vez que los usuarios empiecen a evaluarse (tengan un evento desencadenante), solo se generará una alerta para esos usuarios si realizan actividades por encima de un umbral determinado que pueden indicar que su actividad es de riesgo. Si se reducen los umbrales del indicador, se reducirá el umbral que los usuarios deben superar para generar una alerta.

    Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Umbrales de indicador , seleccione la opción Personalizar umbrales y, a continuación, establezca los umbrales. Más información sobre las recomendaciones de umbral de indicador

Demasiadas alertas para revisar

Si recibe demasiadas alertas válidas o tiene demasiadas alertas obsoletas de bajo riesgo, considere la posibilidad de realizar las siguientes acciones:

• Habilitar análisis: La habilitación del análisis puede ayudarle a identificar rápidamente posibles áreas de riesgo para los usuarios y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que podría querer configurar.

  Cómo: Vaya a Análisis de configuración>.

• Obtenga información en tiempo real: También puede obtener información en tiempo real de análisis si quiere aprovechar las recomendaciones de umbral. Estas conclusiones pueden ayudarle a ajustar de forma eficaz la selección de indicadores y umbrales de aparición de actividad para que no reciba demasiadas alertas de directiva o demasiadas.

  Cómo: Consulte Uso de análisis en tiempo real para ayudar a administrar el volumen de alertas.

• Ajuste las directivas: Seleccionar y configurar la directiva de riesgo interno correcta es el método más básico para abordar el tipo y el volumen de alertas. A partir de la plantilla de directiva adecuada, se centran los tipos de actividades y alertas de riesgo que se ven. Otros factores que pueden afectar al volumen de alertas son el tamaño del usuario y los grupos dentro del ámbito y el contenido y los canales que se priorizan. Considere la posibilidad de ajustar las directivas para ajustar estas áreas a lo que es más importante para su organización.

  Cómo: Seleccione una directiva específica en la página Directivas y, a continuación, seleccione Editar directiva.

• Modifique la configuración de riesgo interno: La configuración de riesgo interno incluye una amplia variedad de opciones de configuración que pueden afectar al volumen y los tipos de alertas que recibe. Asegúrese de revisar y comprender la siguiente configuración para filtrar el ruido de las alertas:

  • Indicadores de directiva y umbrales de indicadores
  • Exclusiones globales
  • Grupos de detección
  • Variantes de indicadores integrados
  • Detecciones inteligentes
  • Períodos de tiempo de las directivas

• Habilitar la personalización de alertas insertadas: La habilitación de la personalización de alertas insertadas permite a los analistas e investigadores editar rápidamente las directivas al revisar las alertas. Pueden actualizar umbrales para la detección de actividad con recomendaciones de Microsoft, configurar umbrales personalizados o omitir el tipo de actividad que creó la alerta. Si no está habilitado, solo los usuarios asignados al grupo de roles Insider Risk Management pueden usar la personalización de alertas en línea.

  Cómo: Vaya a Configuración Personalización> dealertas insertadas.

• Alertas de eliminación masiva, si procede: Puede ayudar a ahorrar tiempo de evaluación para que los analistas e investigadores descarten inmediatamente varias alertas de forma masiva. Puede seleccionar hasta 400 alertas para descartarlas a la vez.

Administración de restricciones de recursos en la organización

Los usuarios modernos del área de trabajo a menudo tienen una amplia variedad de responsabilidades y demandas en su tiempo. Hay varias acciones que puede realizar para ayudar a abordar las restricciones de recursos:

• Céntrese primero en los esfuerzos de analistas e investigadores en las alertas de mayor riesgo: En función de las directivas, es posible que esté capturando actividades del usuario y generando alertas con distintos grados de impacto potencial en los esfuerzos de mitigación de riesgos. Filtre las alertas por gravedad y dé prioridad a las alertas de gravedad alta .
• Usar Microsoft Copilot: puede usar Microsoft Copilot en Microsoft Purview para resumir una alerta sin abrirla. Esto puede acelerar la experiencia de triaging.
• Asigne usuarios como analistas e investigadores: Tener al usuario adecuado asignado a los roles adecuados es una parte importante del proceso de revisión de alertas de riesgo internos. Asegúrese de que ha asignado los usuarios adecuados a los grupos de roles Insider Risk Management Analysts y Insider Risk Management Investigators .
• Use características de riesgo internos automatizadas para ayudar a descubrir las actividades de mayor riesgo:
  • Use la detección de secuencias de administración de riesgos internos y la detección de filtración acumulativa para detectar rápidamente riesgos más difíciles de encontrar en su organización.
  • Considere la posibilidad de ajustar los refuerzos de la puntuación de riesgo y usar exclusiones globales, grupos de detección y variantes.
  • Ajuste la configuración mínima del umbral del indicador para las directivas.

Vea también

Investigación de actividades de administración de riesgos internos