Tomar medidas en casos de administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Los casos son el corazón de la administración de riesgos internos y le permiten investigar y actuar en profundidad sobre los problemas generados por los indicadores de riesgo definidos en sus políticas. Los casos se crean manualmente a partir de alertas en situaciones en las que se necesita más acción para solucionar un problema relacionado con el cumplimiento para un usuario. Cada caso se limita a un único usuario y se pueden agregar varias alertas para el usuario a un caso existente o a un caso nuevo.

Después de investigar los detalles de un caso, puede tomar medidas mediante:

• Enviar un aviso al usuario
• Resolución del caso como benigno
• Uso compartido del caso con la instancia de ServiceNow o con un destinatario de correo electrónico
• Escalado del caso de una investigación de eDiscovery (Premium)

Consulte el vídeo Investigación y escalación de la administración de riesgos internos para obtener información general sobre cómo se investigan y administran los casos en la administración de riesgos internos.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Panel Casos

El panel casos de administración de riesgos internos le permite ver y actuar en casos. Cada widget de informe del panel muestra información de los últimos 30 días.

• Casos activos: el número total de casos activos que se están investigando.
• Casos de los últimos 30 días: el número total de casos creados, ordenados por estado Activo y Cerrado .
• Estadísticas: tiempo medio de los casos activos, enumerados en horas, días o meses.

En la cola de casos se enumeran todos los casos activos y cerrados de su organización, además del estado actual de los siguientes atributos de caso:

• Identificador de caso: identificador del caso.
• Nombre de caso: nombre del caso, definido cuando se confirma una alerta y se crea el caso.
• Estado: estado del caso, activo o cerrado.
• Usuario: el usuario del caso. Si se habilita la anonimización de nombres de usuario, se muestra información anónima.
• Mayúsculas y minúsculas abiertas: el tiempo transcurrido desde que se abrió el caso.
• Total de alertas de directiva: el número de coincidencias de directivas incluidas en el caso. Este número puede aumentar si se agregan nuevas alertas al caso.
• Caso actualizado por última vez: el tiempo transcurrido desde que se ha agregado una nota de caso o un cambio en el estado del caso.
• Última actualización por: el nombre del analista o investigador de administración de riesgos internos que actualizó por última vez el caso.

Nota:

Si las directivas tienen como ámbito una o varias unidades administrativas, la propiedad de un caso solo se puede conceder a los usuarios de administración de riesgos internos con los permisos de grupo de roles adecuados y el usuario resaltado en la alerta debe estar en el ámbito de la unidad de administración. Por ejemplo, si un ámbito administrativo se aplica solo a los usuarios de Alemania, el usuario de administración de riesgos internos solo puede ver alertas para los usuarios de Alemania. Los administradores sin restricciones pueden ver todos los casos de todos los usuarios de la organización.

Use el control Búsqueda para buscar un identificador de caso o para buscar texto específico en nombres de caso. Use el filtro de mayúsculas y minúsculas para ordenar los casos por los atributos siguientes:

• Estado
• Tiempo de caso abierto, fecha de inicio y fecha de finalización
• Última actualización, fecha de inicio y fecha de finalización

Asignar un caso

Si es un administrador con los permisos adecuados, puede asignar la propiedad de un caso a usted mismo o a un usuario de administración de riesgos internos con el rol Insider Risk Management, Insider Risk Management Analyst o Insider Risk Management Investigator. Una vez asignado un caso, también puede reasignarlo a un usuario con cualquiera de los mismos roles. Solo puede asignar un caso a un administrador a la vez.

Si un administrador está asignado a un caso, puede filtrar por administrador.

Asignación de un caso desde el panel Casos

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. En el panel Casos, seleccione los casos que desea asignar.
5. En la barra de botones situada encima de la cola de casos, seleccione Asignar.
6. En el panel Asignar propietario del lado derecho de la pantalla, busque un administrador con los permisos adecuados y, a continuación, active la casilla para ese administrador.
7. Seleccione Asignar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. En el panel Casos, seleccione los casos que desea asignar.
5. En la barra de botones situada encima de la cola de casos, seleccione Asignar.
6. En el panel Asignar propietario del lado derecho de la pantalla, busque un administrador con los permisos adecuados y, a continuación, active la casilla para ese administrador.
7. Seleccione Asignar.

Asignación de un caso desde la página de detalles casos

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso.
5. En el panel de detalles del caso, a la izquierda del botón Resolver un caso , seleccione Asignar.
6. En la lista Contactos sugeridos , seleccione el administrador adecuado.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso.
5. En el panel de detalles del caso, a la izquierda del botón Resolver un caso , seleccione Asignar.
6. En la lista Contactos sugeridos , seleccione el administrador adecuado.

Casos de filtro

En función del número y el tipo de directivas de administración de riesgos internos activas de su organización, la revisión de una gran cola de casos puede ser complicado. El uso de filtros de casos puede ayudar a los analistas e investigadores a ordenar casos por varios atributos. Para filtrar alertas en el panel Casos, seleccione el control Filtro . Puede filtrar los casos por uno o varios atributos:

• Estado: seleccione uno o varios valores de estado para filtrar la lista de casos. Las opciones son Active y Closed.
• Mayúsculas y minúsculas abiertas: seleccione las fechas de inicio y finalización para cuando se abrió el caso.
• Última actualización: seleccione las fechas de inicio y finalización para cuando se actualizó el caso.

Filtrar casos, guardar una vista de un conjunto de filtros, personalizar columnas o buscar alertas

En función del número y el tipo de directivas de administración de riesgos internos activas de su organización, la revisión de una gran cola de casos puede ser complicado. Para ayudarle a realizar un seguimiento de los casos, puede hacer lo siguiente:

• Filtrar casos por varios atributos.
• Guarde una vista de un conjunto de filtros para reutilizarlo más adelante.
• Mostrar u ocultar columnas.
• Búsqueda para una alerta.

Casos de filtro

1. Seleccione Agregar filtro.

2. Seleccione uno o varios de los atributos siguientes:

   Atributo	Description
   Asignado a	El administrador al que se asigna la alerta para la triaging (si está asignada).
   Caso actualizado por última vez	Las fechas de inicio y finalización de cuándo se actualizó el caso por última vez.
   Estado	Estado actual del caso. Las opciones son Active y Closed.
   Mayúsculas y minúsculas abiertas	Las fechas de inicio y finalización para cuando se abrió el caso.

   Los atributos que seleccione se agregan a la barra de filtros.

3. Seleccione un atributo en la barra de filtros y, a continuación, seleccione un valor por el que filtrar. Por ejemplo, seleccione el atributo Fecha de la última actividad , escriba o seleccione las fechas en los campos Fecha de inicio y Fecha de finalización y, a continuación, seleccione Aplicar.

   Sugerencia

   Si desea empezar de nuevo en cualquier momento, seleccione Restablecer todo en la barra de filtros.

Guardar una vista de un conjunto de filtros para reutilizarlo más adelante

1. Después de aplicar los filtros como se describe en el procedimiento anterior, seleccione Guardar encima de la barra de filtros, escriba un nombre para el conjunto de filtros y, a continuación, seleccione Guardar.

   El conjunto de filtros se agrega como una tarjeta encima de la barra de filtros. Incluye un número que muestra el recuento de casos que cumplen los criterios del conjunto de filtros.

   Nota:

   Puede guardar hasta cinco conjuntos de filtros. Si necesita eliminar un conjunto de filtros, seleccione el botón de puntos suspensivos (tres puntos) en la esquina superior derecha de la tarjeta y, a continuación, seleccione Eliminar.

2. Para volver a aplicar un conjunto de filtros guardado, simplemente seleccione la tarjeta del conjunto de filtros.

Mostrar u ocultar columnas

1. En el lado derecho de la página, seleccione Personalizar columnas.

2. Seleccione o desactive las casillas de las columnas que desea mostrar u ocultar.

La configuración de columna se guarda entre sesiones y entre exploradores.

Búsqueda para alertas

Use el control Búsqueda para buscar un nombre principal de usuario (UPN), un nombre de administrador asignado o un identificador de alerta.

Investigación de un caso

Una investigación más profunda de las alertas de administración de riesgos internos es fundamental para tomar las medidas correctivas adecuadas. Los casos de administración de riesgos internos son la herramienta de administración central para profundizar en el historial de actividades de riesgo del usuario, los detalles de alertas, la secuencia de eventos de riesgo y explorar el contenido y los mensajes expuestos a los riesgos. Los analistas e investigadores de riesgo también usan casos para centralizar comentarios y notas de revisión y procesar la resolución de casos.

Seleccionar un caso abre las herramientas de administración de casos y permite a analistas y expertos profundizar en los detalles de los casos.

Información general de casos

En la pestaña Información general del caso se resumen los detalles del caso para analistas e investigadores de riesgo. Incluye la siguiente información en el área Acerca de este caso

• Identificador de caso: identificador del caso.
• Estado: estado actual del caso, activo o cerrado.
• Caso creado en: fecha y hora en que se creó el caso.
• Puntuación de riesgo del usuario: el nivel de riesgo calculado actual del usuario para el caso. Esta puntuación se calcula cada 24 horas y usa puntuaciones de riesgo de alerta de todas las alertas activas asociadas al usuario. Cuando el usuario se detecta como un posible usuario de alto impacto o el usuario es miembro de un refuerzo de riesgo de grupo de usuarios prioritario está habilitado como refuerzos de puntuación de riesgo en la sección Indicadores de directiva de la página de configuración de administración de riesgos internos, la página Detalles del usuario incluye información detallada sobre el nivel de riesgo calculado del usuario.
• Email: alias de correo electrónico del usuario para el caso.
• Organización o departamento: la organización o el departamento al que está asignado el usuario.
• Nombre del administrador: nombre del administrador del usuario.
• Correo electrónico del administrador: alias de correo electrónico del administrador del usuario.

La pestaña Información general del caso también incluye una sección Alertas que incluye la siguiente información sobre las alertas de coincidencia de directivas asociadas al caso:

• Coincidencias de directivas: el nombre de la directiva de administración de riesgos internos asociada a las alertas de coincidencia para la actividad de usuario potencialmente arriesgada que puede provocar un incidente de seguridad.
• Estado: estado de la alerta.
• Gravedad: gravedad de la alerta.
• Tiempo detectado: el tiempo transcurrido desde que se generó la alerta.

Alertas

La pestaña Alertas resume las alertas actuales incluidas en el caso. Se pueden agregar nuevas alertas a un caso existente y se agregarán a la cola de alertas a medida que se asignen. Los siguientes atributos de alerta se enumeran en la cola:

• Alerta
• Identificador de alerta
• Estado
• Severity
• Tiempo detectado

Seleccione una alerta de la cola para mostrar la página Detalles de la alerta.

Use el control de búsqueda para buscar un identificador de alerta o para buscar texto específico en los nombres de alerta. Use el filtro de alertas para ordenar casos por los atributos siguientes:

• Estado
• Severity
• Hora detectada, fecha de inicio y fecha de finalización

Use el control de filtro para filtrar las alertas por varios atributos, entre los que se incluyen:

• Estado: seleccione uno o varios valores de estado para filtrar la lista de alertas. Las opciones son Confirmada, Descartada, Falta por revisar, y Resuelta.
• Gravedad: seleccione uno o varios niveles de gravedad de riesgo de alerta para filtrar la lista de alertas. Las opciones son Alta, Media, y Baja.
• Hora detectada: seleccione las fechas de inicio y finalización para cuando se creó la alerta.
• Directiva: seleccione una o varias directivas para filtrar las alertas generadas por las directivas seleccionadas.

Actividad de usuario

La pestaña Actividad de usuario permite a los analistas e investigadores de riesgo revisar los detalles de la actividad del usuario y usar una representación visual de todas las actividades potencialmente de riesgo asociadas a alertas de riesgo y casos para determinar si esas actividades de riesgo pueden dar lugar a un incidente de seguridad. Por ejemplo, como parte del proceso de evaluación de prioridades de alertas, es posible que los analistas tengan que revisar todas las actividades de riesgo asociadas al caso para obtener más detalles. En los casos, los investigadores de riesgo pueden revisar los detalles de la actividad del usuario y el gráfico de burbujas para ayudar a comprender el ámbito general de las actividades de riesgo asociadas al caso. Para obtener más información sobre el gráfico De actividad de usuario, consulte el artículo Actividades de administración de riesgos de Insider .

Explorador de actividad (versión preliminar)

La pestaña Explorador de actividad permite a los analistas e investigadores de riesgo revisar los detalles de la actividad del caso asociados a las alertas de riesgo. Por ejemplo, como parte de las acciones de administración de casos, es posible que los investigadores y analistas necesiten revisar todas las actividades de riesgo asociadas al caso para obtener más detalles. Con el Explorador de actividades, los revisores pueden examinar rápidamente una escala de tiempo de actividad potencialmente riesgosa detectada e identificar y filtrar todas las actividades de riesgo asociadas a alertas.

Para obtener más información sobre el Explorador de actividades, consulte el artículo Actividades de administración de riesgos de Insider .

Pruebas forenses

La pestaña Pruebas forenses permite a los investigadores de riesgo revisar las capturas visuales asociadas a las actividades de riesgo incluidas en los casos. Por ejemplo, como parte de las acciones de administración de casos, es posible que los investigadores necesiten ayudar a aclarar el contexto de la actividad del usuario que se está revisando. Ver los clips reales de la actividad puede ayudar al investigador a determinar si la actividad del usuario es potencialmente arriesgada y puede provocar un incidente de seguridad.

Para obtener más información sobre las pruebas forenses, consulte el artículo Información sobre las pruebas forenses de administración de riesgos internos .

Explorador de contenido

La pestaña Explorador de contenido permite a los investigadores de riesgo revisar copias de todos los archivos individuales y mensajes de correo electrónico asociados a alertas de riesgo. Por ejemplo, si se crea una alerta cuando un usuario descarga cientos de archivos de SharePoint Online y la actividad desencadena una alerta de directiva, todos los archivos descargados para la alerta se capturan y copian en el caso de administración de riesgos internos de orígenes de almacenamiento originales.

El Explorador de contenido es una herramienta eficaz con características básicas y avanzadas de búsqueda y filtrado. Para obtener más información sobre el uso del Explorador de contenido, consulte Explorador de contenido de administración de riesgos internos.

Notas del caso

La pestaña Notas del caso en el caso es donde los analistas e investigadores de riesgo comparten comentarios, comentarios e información sobre su trabajo para el caso. Las notas son adiciones permanentes a un caso y no se pueden editar ni eliminar después de guardar la nota. Cuando se crea un caso a partir de una alerta, los comentarios escritos en el cuadro de diálogo Confirmar alerta y crear casos de riesgo internas se agregan automáticamente como nota de caso.

El panel de notas del caso muestra las notas del usuario que creó la nota y el tiempo transcurrido desde que se guardó la nota. Para buscar en el campo de texto de la nota de caso una palabra clave específica, use el botón Búsqueda en el panel de casos y escriba una palabra clave específica.

Adición de una nota de caso

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso y, a continuación, seleccione la pestaña Notas del caso.
5. Seleccione Agregar nota de caso.
6. En el cuadro de diálogo Agregar nota de caso , escriba la nota.
7. Seleccione Guardar para agregar la nota al caso.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso y, a continuación, seleccione la pestaña Notas del caso.
5. Seleccione Agregar nota de caso.
6. En el cuadro de diálogo Agregar nota de caso , escriba la nota.
7. Seleccione Guardar para agregar la nota al caso.

Colaboradores

En la pestaña de Colaboradores activos se encuentra la opción de que los analistas de riesgos y los analistas de riesgos puedan agregar otros revisores al caso. De forma predeterminada, todos los usuarios asignados a los investigadores de Insider Risk Management y los roles de Insider Risk Management se enumeran como colaboradores para cada caso activo y cerrado.

El acceso temporal a un caso se puede conceder agregando un usuario como colaborador, pero con las siguientes restricciones:

• Los analistas e investigadores pueden agregar colaboradores
• Los analistas no se pueden agregar como colaboradores
• Los colaboradores no pueden agregar colaboradores

Los colaboradores tienen todo el control de administración de casos en el caso específico, excepto:

• Permiso para confirmar o descartar alertas
• Permiso para editar los colaboradores de los casos

Adición de un colaborador a un caso

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso y, a continuación, seleccione la pestaña Colaboradores .
5. Seleccione Agregar colaborador.
6. En el cuadro de diálogo Agregar colaborador , empiece a escribir el nombre del usuario que desea agregar y, a continuación, seleccione el usuario en la lista de usuarios sugeridos. Esta lista se genera a partir de la Microsoft Entra ID de la suscripción de inquilino.
7. Seleccione Agregar para agregar el usuario como colaborador.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso y, a continuación, seleccione la pestaña Colaboradores .
5. Seleccione Agregar colaborador.
6. En el cuadro de diálogo Agregar colaborador , empiece a escribir el nombre del usuario que desea agregar y, a continuación, seleccione el usuario en la lista de usuarios sugeridos. Esta lista se genera a partir de la Microsoft Entra ID de la suscripción de inquilino.
7. Seleccione Agregar para agregar el usuario como colaborador.

Acciones de casos

Los investigadores de riesgo pueden tomar medidas sobre un caso en uno de varios métodos, en función de la gravedad del caso, el historial de riesgo del usuario y las directrices de riesgo de su organización. En algunas situaciones, es posible que tenga que escalar un caso a un usuario o a una investigación de datos para colaborar con otras áreas de su organización y profundizar en las actividades de riesgo. La administración de riesgos internos está estrechamente integrada con otras soluciones de Microsoft Purview para ayudarle con la administración de soluciones de un extremo a otro.

Enviar notificación por correo electrónico

En la mayoría de los casos, las acciones de usuario que crean alertas de riesgo internos son accidentales o accidentales. El envío de un aviso al usuario por correo electrónico es un método eficaz para documentar la revisión y la acción de casos, y es un método para recordar a los usuarios las directivas corporativas o indicarles que actualicen el entrenamiento. Los avisos se generan a partir de las plantillas de aviso que se crean para la infraestructura de administración de riesgos internos.

Es importante recordar que el envío de un aviso de correo electrónico a un usuario no resuelve el caso como Cerrado. En algunos casos, es posible que desee dejar un caso abierto después de enviar un aviso a un usuario para buscar actividades de más riesgo sin abrir un nuevo caso. Si quiere resolver un caso después de enviar un aviso, debe seleccionar la opción Resolver casos como paso siguiente después de enviar un aviso.

Enviar un aviso al usuario asignado a un caso

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso y, a continuación, seleccione el botón Enviar aviso de correo electrónico en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Enviar aviso de correo electrónico , seleccione el control desplegable Elegir una plantilla de aviso para seleccionar la plantilla de aviso para el aviso. Esta selección rellena previamente los demás campos del aviso.
6. Revise los campos de aviso y actualice según corresponda. Los valores especificados invalidarán los valores de la plantilla.
7. Seleccione Enviar para enviar el aviso al usuario. Todos los avisos enviados se agregan a la cola de notas de caso en el panel Notas del caso.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso y, a continuación, seleccione el botón Enviar aviso de correo electrónico en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Enviar aviso de correo electrónico , seleccione el control desplegable Elegir una plantilla de aviso para seleccionar la plantilla de aviso para el aviso. Esta selección rellena previamente los demás campos del aviso.
6. Revise los campos de aviso y actualice según corresponda. Los valores especificados invalidarán los valores de la plantilla.
7. Seleccione Enviar para enviar el aviso al usuario. Todos los avisos enviados se agregan a la cola de notas de caso en el panel Notas del caso.

Escalar para investigación

Escale el caso para la investigación del usuario en situaciones en las que se necesite una revisión legal adicional para la actividad de riesgo del usuario. Esta escalación abre un nuevo caso de Microsoft Purview eDiscovery (Premium) en la organización de Microsoft 365. eDiscovery (Premium) ofrece un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar el contenido que responde a las investigaciones legales internas y externas de la organización. También permite que su equipo legal administre todo el flujo de trabajo de notificaciones de retención legal para comunicarse con los administradores implicados en un caso. Escalar a un caso de exhibición de documentos electrónicos (Premium) desde un caso de administración de riesgos internos ayuda a su equipo legal a tomar las medidas adecuadas y administrar la conservación del contenido. Para obtener más información sobre los casos de eDiscovery (Premium), consulte Información general de Microsoft Purview eDiscovery (Premium).

Escalado de un caso a una investigación de usuario

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso y, a continuación, seleccione el botón Escalar para investigación en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Escalar para investigación , escriba un nombre para la nueva investigación de usuario. Si es necesario, escriba notas sobre el caso y, a continuación, seleccione Escalar.
6. Revise los campos de aviso y actualice según corresponda. Los valores especificados invalidarán los valores de la plantilla.
7. Seleccione Confirmar para crear el caso de investigación del usuario.

Una vez que el caso de administración de riesgos internos se ha escalado a un nuevo caso de investigación de usuarios, puede revisar el nuevo caso en el área eDiscovery>Advanced del portal de Microsoft Purview.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso y, a continuación, seleccione el botón Escalar para investigación en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Escalar para investigación , escriba un nombre para la nueva investigación de usuario. Si es necesario, escriba notas sobre el caso y, a continuación, seleccione Escalar.
6. Revise los campos de aviso y actualice según corresponda. Los valores especificados invalidarán los valores de la plantilla.
7. Seleccione Confirmar para crear el caso de investigación del usuario.

Una vez que el caso de administración de riesgos internos se ha escalado a un nuevo caso de investigación de usuarios, puede revisar el nuevo caso en el área eDiscovery>Advanced del portal de cumplimiento Microsoft Purview.

Ejecución de tareas automatizadas con flujos de Power Automate para el caso

Con los flujos recomendados de Power Automate, los investigadores y analistas de riesgo pueden tomar medidas rápidamente para:

• Solicitar información de RR. HH. o empresa sobre un usuario en un caso de riesgo interno.
• Notificar al administrador cuando un usuario tiene una alerta de riesgo interno.
• Cree un registro para un caso de administración de riesgos internos en ServiceNow.
• Notificar a los usuarios cuando se agregan a una directiva de riesgo interno.

Para ejecutar, administrar o crear flujos de Power Automate para un caso de administración de riesgos internos:

1. Seleccione Automatizar en la barra de herramientas de acciones de casos.
2. Elija el flujo de Power Automate que se va a ejecutar y, a continuación, seleccione Ejecutar flujo.
3. Una vez completado el flujo, seleccione Listo.

Para más información sobre los flujos de Power Automate para la administración de riesgos internos, consulte Introducción a la configuración de administración de riesgos internos.

Ver o crear un equipo de Microsoft Teams para el caso

Cuando la integración de Microsoft Teams para la administración de riesgos internos está habilitada en la configuración, se crea automáticamente un equipo de Microsoft Teams cada vez que se confirma una alerta y se crea un caso. Los investigadores y analistas de riesgo pueden abrir Rápidamente Microsoft Teams y navegar directamente al equipo para ver un caso seleccionando Ver equipo de Microsoft Teams en la barra de herramientas de acción del caso.

Para los casos abiertos antes de habilitar la integración del equipo de Microsoft, los investigadores y analistas de riesgo pueden crear un nuevo equipo de Microsoft Teams para un caso seleccionando Crear equipo de Microsoft Teams en la barra de herramientas de acciones del caso.

Cuando se resuelve un caso, el equipo de Microsoft asociado se archivará automáticamente (oculto y se convertirá en de solo lectura).

Para más información sobre Microsoft Teams para la administración de riesgos internos, consulte Introducción a la configuración de administración de riesgos internos.

Resolver el caso

Una vez que los analistas e investigadores de riesgo han completado su revisión e investigación, se puede resolver un caso para actuar sobre todas las alertas que se incluyen actualmente en el caso. La resolución de un caso agrega una clasificación de resolución, cambia el estado del caso a Cerrado y los motivos de la acción de resolución se agregan automáticamente a la cola de notas del caso en el panel Notas del caso. Los casos se resuelven ya sea como:

• Benigno: la clasificación de los casos en los que las alertas de coincidencia de directivas se evalúan como de bajo riesgo, no grave o falso positivo.
• Infracción de directiva confirmada: clasificación de los casos en los que las alertas de coincidencia de directivas se evalúan como de riesgo, grave o resultado de intenciones malintencionadas.

Resolución de un caso

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Casos en el panel de navegación izquierdo.
4. Seleccione un caso y, a continuación, seleccione el botón Resolver caso en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Resolver caso , seleccione el control desplegable Resolver como para seleccionar la clasificación de resolución del caso. Las opciones son Infracciones de directivas benignas o confirmadas.
6. En el cuadro de diálogo Resolver caso , escriba los motivos de la clasificación de resolución en el campo De acción realizada .
7. Seleccione Resolver para cerrar el caso.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Casos .
4. Seleccione un caso y, a continuación, seleccione el botón Resolver caso en la barra de herramientas de acciones de caso.
5. En el cuadro de diálogo Resolver caso , seleccione el control desplegable Resolver como para seleccionar la clasificación de resolución del caso. Las opciones son Infracciones de directivas benignas o confirmadas.
6. En el cuadro de diálogo Resolver caso , escriba los motivos de la clasificación de resolución en el campo De acción realizada .
7. Seleccione Resolver para cerrar el caso.