Ayuda para mitigar dinámicamente los riesgos con protección adaptable (versión preliminar)

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

La protección adaptable en Microsoft Purview usa el aprendizaje automático para identificar los riesgos más críticos y aplicar controles de protección de forma proactiva y dinámica desde:

• directivas de Prevención de pérdida de datos de Microsoft Purview (DLP)
• Microsoft Entra directivas de acceso condicional

La integración con la prevención de pérdida de datos y el acceso condicional puede ayudar a las organizaciones a automatizar su respuesta a los riesgos internos y a reducir el tiempo necesario para identificar y corregir posibles amenazas. Al aprovechar las capacidades de las tres soluciones, las organizaciones pueden crear un marco de seguridad más completo que aborde las amenazas internas y externas.

La protección adaptable ayuda a mitigar los posibles riesgos mediante:

• Detección compatible con el contexto. Ayuda a identificar los riesgos más críticos con el análisis controlado por ML del contenido y las actividades del usuario.
• Controles dinámicos. Ayuda a aplicar controles eficaces a los usuarios de alto riesgo, mientras que otros mantienen la productividad.
• Mitigación automatizada. Ayuda a minimizar el impacto de posibles incidentes de seguridad de datos y a reducir la sobrecarga del administrador.

La protección adaptable asigna dinámicamente las directivas de acceso condicional Prevención de pérdida de datos de Microsoft Purview y Microsoft Entra adecuadas a los usuarios en función de los niveles de riesgo internos definidos y analizados por los modelos de aprendizaje automático en la administración de riesgos internos. Las directivas se convierten en adaptables en función del contexto del usuario, lo que garantiza que la directiva más eficaz, como el bloqueo del uso compartido de datos a través de la prevención de pérdida de datos o el bloqueo del acceso a la aplicación a través del acceso condicional, se aplique solo a los usuarios de alto riesgo, mientras que los usuarios de bajo riesgo mantienen la productividad. La prevención de pérdida de datos y los controles de directivas de acceso condicional se ajustan constantemente, por lo que cuando cambia el nivel de riesgo interno de un usuario, se aplica dinámicamente una directiva adecuada para que coincida con el nuevo nivel de riesgo interno.

Importante

La administración de riesgos internos está disponible actualmente en inquilinos hospedados en regiones geográficas y países compatibles con las dependencias del servicio de Azure. Para comprobar que la solución de administración de riesgos internos es compatible con su organización, consulte Disponibilidad de dependencias de Azure por país o región. La administración de riesgos internos está disponible para nubes comerciales, pero no está disponible para los programas en la nube del Gobierno de EE. UU. en este momento.

Vea el siguiente vídeo para ver un resumen de cómo la protección adaptable puede ayudar a identificar y mitigar los riesgos más críticos de su organización:

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Niveles de riesgo interno y controles preventivos

Con la protección adaptable, los administradores pueden configurar los factores de riesgo o las actividades para los niveles de riesgo internos personalizables en función de las necesidades de su organización. Los niveles de riesgo internos para la protección adaptable se actualizan de forma continua y automática en función de los factores de riesgo y la información de los usuarios, por lo que cuando los riesgos de seguridad de datos de los usuarios aumentan o disminuyen, sus niveles de riesgo internos se ajustan en consecuencia. En función de los niveles de riesgo internos, las directivas de prevención de pérdida de datos y las directivas de acceso condicional aplican automáticamente el nivel correcto de controles preventivos configurados por los administradores (como bloquear, bloquear con invalidación o advertencia).

Según la directiva de administración de riesgos internos asignada en la protección adaptable, se usan diferentes criterios (usuarios, grupos, indicadores, umbrales, etc.) para determinar los niveles de riesgo internos aplicables. Los niveles de riesgo internos se basan en la información del usuario, no solo en el número de instancias de actividades de usuario específicas. Insights es un cálculo del número agregado de actividades y el nivel de gravedad de estas actividades.

Por ejemplo, los niveles de riesgo internos para el usuario A no estarían determinados por el usuario A que realiza una actividad potencialmente de riesgo más de tres veces. Los niveles de riesgo internos para el usuario A se determinarían mediante una visión del número agregado de actividades y las puntuaciones de riesgo se asignarían a la actividad en función de los umbrales configurados en la directiva seleccionada.

Niveles de riesgo internos

Los niveles de riesgo internos en la protección adaptable definen el grado de riesgo de la actividad de un usuario y se pueden basar en criterios como cuántas actividades de filtración realizaron o si su actividad generó una alerta de riesgo interno de gravedad alta. Estos niveles de riesgo internos tienen definiciones de nivel de riesgo interno integradas, pero estas definiciones se pueden personalizar según sea necesario:

• Nivel de riesgo elevado: este es el nivel de riesgo interno más alto. Incluye definiciones integradas para usuarios con alertas de gravedad alta, usuarios con al menos tres conclusiones de secuencia que tienen una alerta de gravedad alta para actividades de riesgo específicas o una o varias alertas de gravedad alta confirmadas.
• Nivel de riesgo moderado: el nivel de riesgo interno medio incluye definiciones integradas para usuarios con alertas de gravedad media o usuarios con al menos dos actividades de filtración de datos con puntuaciones de gravedad alta.
• Nivel de riesgo menor: el nivel de riesgo interno más bajo incluye definiciones integradas para usuarios con alertas de gravedad baja o usuarios con al menos una actividad de filtración de datos con una puntuación de gravedad alta.

Para que un nivel de riesgo interno se asigne a un usuario, el número de conclusiones y la gravedad asignada a la actividad deben coincidir con la definición del nivel de riesgo interno. El número de actividades para una información puede ser una sola actividad o varias actividades que se acumulan en la información única. El número de conclusiones se evalúa para la definición de nivel de riesgo interno, no el número de actividades contenidas en una información.

Por ejemplo, supongamos que las condiciones de la directiva de administración de riesgos internos asignadas a la protección adaptable están destinadas a identificar las descargas de sitios de SharePoint de su organización. Si la directiva detecta que un usuario descargó 10 archivos de un sitio de SharePoint en un solo día que se determina que son de gravedad alta, esto contaría como una sola información que consta de 10 eventos de actividad. Para que esta actividad cumpla los requisitos para asignar un nivel de riesgo elevado al usuario, se necesitarían dos conclusiones adicionales (con gravedad alta) para el usuario. La información adicional puede contener o no una o varias actividades.

Personalización de los niveles de riesgo internos

Los niveles de riesgo internos personalizados le permiten crear niveles de riesgo internos en función de las necesidades de su organización. Puede personalizar los criterios en los que se basa el nivel de riesgo interno y, a continuación, definir condiciones para controlar cuándo se asigna el nivel de riesgo interno a los usuarios.

Tenga en cuenta los ejemplos siguientes para usar la protección adaptable junto con la prevención de pérdida de datos y las directivas de acceso condicional.

• Directivas de prevención de pérdida de datos:
  • Permitir que los usuarios con el nivel de riesgo interno menor o medio reciban sugerencias de directiva y educación sobre los procedimientos recomendados para controlar datos confidenciales. De este modo, puede influir en los cambios de comportamiento positivos a lo largo del tiempo y reducir los riesgos de los datos de la organización.
  • Impedir que los usuarios con el nivel de riesgo elevado guarden o compartan datos confidenciales para minimizar el impacto de posibles incidentes de datos.
• Directivas de acceso condicional:
  • Requerir que los usuarios de nivel de riesgo secundario confirmen los términos de uso antes de usar una aplicación.
  • Impedir que los usuarios de nivel de riesgo medio accedan a determinadas aplicaciones.
  • Impedir completamente que los usuarios de nivel de riesgo elevado usen cualquier aplicación. Más información sobre las directivas de acceso condicional que se aplican habitualmente

Criterios y condiciones de nivel de riesgo interno

La personalización de los criterios y condiciones de nivel de riesgo interno se puede basar en las siguientes áreas:

• Alertas generadas o confirmadas para un usuario: esta opción le permite elegir condiciones según el nivel de gravedad de las alertas que se generan o confirman para un usuario para la directiva de administración de riesgos internos seleccionada. Las condiciones de las alertas no son aditivas y el nivel de riesgo interno se asigna a un usuario si se cumple una de las condiciones.
• Actividad de usuario específica: esta opción le permite elegir condiciones para la detección de actividad, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior (opcional). Las condiciones para la actividad del usuario son aditivas y el nivel de riesgo interno se asigna a un usuario solo si se cumplen todas las condiciones.

Detección de actividad anterior

Esta configuración de nivel de riesgo interno determina cuántos días de protección adaptable se examina para detectar si un usuario cumple las condiciones definidas por cualquiera de los niveles de riesgo internos. La configuración predeterminada es de 7 días, pero puede elegir entre 5 y 30 días de actividad anterior para aplicar condiciones de nivel de riesgo interno. Esta configuración solo se aplica a los niveles de riesgo internos que se basan en la actividad diaria de un usuario y excluye los niveles de riesgo internos en función de las alertas.

En el ejemplo siguiente se muestra cómo interactúan la configuración de detección de actividad pasada y los niveles de riesgo interno para determinar si la actividad pasada de un usuario está en el ámbito:

• Configuración de nivel de riesgo elevado : el usuario realiza al menos tres secuencias, cada una con una puntuación de riesgo de gravedad alta (de 67 a 100)
• Configuración de detección de actividad anterior : 3 días

Actividad de usuario	Actividad en el ámbito del nivel de riesgo interno
El usuario tiene una secuencia de gravedad alta cada día en el día T-3, T-2, T-1	Yes
El usuario tiene 3 secuencias de gravedad alta en el día T-3	Yes
El usuario tiene 1 secuencia de gravedad alta en el día T-4 y 2 secuencias de gravedad alta en el día T-3	No

Período de tiempo de nivel de riesgo interno

Esta configuración de nivel de riesgo interno determina cuánto tiempo permanece asignado un nivel de riesgo interno a un usuario antes de que se restablezca automáticamente. La configuración predeterminada es de 7 días, pero puede elegir entre 5 y 30 días antes de restablecer el nivel de riesgo interno de un usuario.

Los niveles de riesgo internos también se restablecen para un usuario cuando:

• Se descarta la alerta asociada para el usuario.
• Se resuelve el caso asociado para el usuario
• La fecha de finalización del nivel de riesgo interno ha expirado manualmente.

Nota:

Si a un usuario se le asigna actualmente un nivel de riesgo interno y ese usuario cumple de nuevo los criterios para ese nivel de riesgo interno, el período de tiempo de nivel de riesgo interno se extiende para el número definido de días para el usuario.

Permisos para la protección adaptable

En función de cómo use los grupos de roles integrados de administración de riesgos internos y los grupos de roles para la prevención de pérdida de datos o el acceso condicional, es posible que tenga que actualizar los permisos para administradores, analistas e investigadores de su organización.

En la tabla siguiente se describen los permisos necesarios para tareas específicas de protección adaptable.

Tarea	Grupo de roles necesario
Configuración de la protección adaptable y la actualización	Administración de riesgos internos o administradores de administración de riesgos internos
Create y administrar directivas de prevención de pérdida de datos con la condición de protección adaptable	Una de las siguientes opciones: Administrador de cumplimiento, Administrador de datos de cumplimiento, Administración de cumplimiento de prevención de pérdida de datos, Administrador global
Create y administrar directivas de acceso condicional con la condición de protección adaptable	Uno de los siguientes: Administrador global, administrador de acceso condicional, administrador de seguridad
Ver detalles sobre los niveles de riesgo internos asignados por los usuarios	Insider Risk Management, Insider Risk Management Analysts o Insider Risk Management Investigators

Importante

Las cuatro categorías de grupos de roles corresponden a las siguientes pestañas de la página Protección adaptable: Niveles de riesgo internos, Niveles de riesgo internos asignados por los usuarios, Prevención de pérdida de datos, Acceso condicional. Si no está asignado al grupo de roles adecuado, la pestaña no aparecerá en la página Protección adaptable.

Más información sobre los grupos de roles en Microsoft Defender para Office 365 y cumplimiento de Microsoft Purview

Configuración de la protección adaptable

En función de las necesidades de su organización o de dónde esté configurado actualmente con la administración de riesgos internos, la prevención de pérdida de datos y el acceso condicional, tiene dos opciones para empezar a trabajar con la protección adaptable:

• Configuración rápida
• Configuración personalizada

Configuración rápida

La opción de configuración rápida es la forma más rápida de empezar a trabajar con la protección adaptable. Con esta opción, no necesita ninguna administración de riesgos internos, prevención de pérdida de datos o directivas de acceso condicional preexistente y no es necesario configurar previamente ninguna configuración o característica. Si su organización no tiene una suscripción o licencia actuales que admita la administración de riesgos internos o la prevención de pérdida de datos, regístrese para obtener una prueba de soluciones de cumplimiento y riesgo de Microsoft Purview antes de iniciar el proceso de configuración rápida. También puede registrarse para obtener una prueba de Microsoft Entra.

Para empezar, seleccione Activar protección adaptable en las tarjetas de protección adaptable en la página principal del portal de Microsoft Purview o en la página Información general sobre la prevención de pérdida de datos. También puede empezar a trabajar con el proceso de configuración rápida si va a Administración de riesgos> internos Configuraciónrápidadel panel>de protección> adaptable.

Nota:

Si ya es un administrador con ámbito para Microsoft Purview, no puede activar la configuración rápida.

Esto es lo que se configura cuando se usa el proceso de configuración rápida para la protección adaptable:

Área	Configuración
Configuración de riesgo interno (si aún no está configurada)	- Privacidad: Mostrar versiones anónimas de nombres de usuario. Nota: Los nombres de usuario no se anonimizan en el acceso condicional ni en la prevención de pérdida de datos - Períodos de tiempo de directiva: valores predeterminados - Indicadores de directiva: un subconjunto de indicadores de Office (puede ver en la configuración de administración de riesgos internos) - Refuerzos de puntuación de riesgo: Todos - Detecciones inteligentes: volumen de alertas = volumen predeterminado - Análisis: activado - Administración notificaciones: Enviar correo electrónico de notificación cuando se genera la primera alerta a todos
Configuración de riesgo interno (si ya está configurada)	- Indicadores de directiva: los indicadores de Office no están configurados (puede ver en la configuración de administración de riesgos internos). - Todas las demás opciones configuradas anteriormente no se actualizan ni cambian. - Análisis: activado (los umbrales para desencadenar eventos en las directivas son la configuración predeterminada determinada por las recomendaciones de Analytics).
Una nueva directiva de riesgo interno	- Plantilla de directiva: pérdidas de datos - Nombre de directiva: directiva de protección adaptable para Insider Risk Management - Ámbito de directiva para usuarios y grupos: todos los usuarios y grupos - Contenido de prioridad: Ninguno - Desencadenamiento de eventos: eventos de filtración seleccionados (puede ver en la configuración de administración de riesgos internos) - Indicadores de directiva: un subconjunto de indicadores de Office (puede ver en la configuración de administración de riesgos internos) - Refuerzos de puntuación de riesgo: la actividad está por encima de la actividad habitual del usuario para ese día
Niveles de riesgo internos de protección adaptable	- Nivel de riesgo elevado: los usuarios deben tener al menos tres secuencias de filtración de gravedad alta - Nivel de riesgo moderado: los usuarios deben tener al menos dos actividades de gravedad alta (excepto algunos tipos de descargas) - Nivel de riesgo menor: los usuarios deben tener al menos una actividad de gravedad alta (excepto algunos tipos de descargas)
Dos nuevas directivas de prevención de pérdida de datos	Directiva de protección adaptable para DLP de punto de conexión - Regla de nivel de riesgo elevado : bloqueada - Moderado/Regla de nivel de riesgo menor : Auditoría - La directiva se inicia en modo de prueba (solo auditoría) Directiva de protección adaptable para Teams y DLP de Exchange - Regla de nivel de riesgo elevado : bloqueada - Moderado/Reglas de nivel de riesgo menores : Auditoría - La directiva se inicia en modo de prueba (solo auditoría)
Nueva directiva de acceso condicional (creada en modo de solo informe para que los usuarios no se bloqueen)	1-Bloquear el acceso para los usuarios con Insider Risk (versión preliminar) - Usuarios incluidos: todos los usuarios - Usuarios invitados o externos excluidos: B2bDirectConnect User; OtherExternalUser; ServiceProvider - Aplicaciones en la nube: todas las aplicaciones - Niveles de riesgo internos: elevados - Bloquear acceso: seleccionado

Una vez iniciado el proceso de configuración rápida, puede tardar hasta 72 horas en completarse el análisis, se crean la administración de riesgos internos asociada, la prevención de pérdida de datos y las directivas de acceso condicional, y puede esperar ver los niveles de riesgo internos de protección adaptable, la prevención de pérdida de datos y las acciones de acceso condicional aplicadas a las actividades de usuario aplicables. Los administradores reciben un correo electrónico de notificación una vez completado el proceso de configuración rápida.

Configuración personalizada

La opción de configuración personalizada permite personalizar la directiva de administración de riesgos internos, los niveles de riesgo internos y las directivas de prevención de pérdida de datos y acceso condicional configuradas para la protección adaptable. Esta opción también permite configurar estos elementos antes de habilitar realmente las conexiones de protección adaptable entre la administración de riesgos internos y la prevención de pérdida de datos. En la mayoría de los casos, las organizaciones que ya tienen directivas de prevención de pérdida de datos o administración de riesgos internos deben usar esta opción.

Complete los pasos siguientes para configurar la protección adaptable mediante la configuración personalizada:

Paso 1: Create directiva de administración de riesgos internos

Los niveles de riesgo internos se asignan a los usuarios cuando una directiva asignada en la protección adaptable detecta la actividad del usuario o genera alertas que coinciden con las condiciones de nivel de riesgo interno que defina en el paso siguiente. Si no desea usar una directiva de administración de riesgos internos existente (seleccionada en el paso 2), debe crear una nueva directiva de administración de riesgos internos. La directiva de administración de riesgos internos para la protección adaptable debe incluir:

• Usuarios cuya actividad desea detectar. Puede ser todos los usuarios y grupos de su organización o simplemente un subconjunto para escenarios de mitigación de riesgos específicos o con fines de prueba.
• Actividades que considera umbrales de riesgo y personalizados que influyen en la puntuación de riesgo de una actividad. Las actividades de riesgo pueden incluir enviar por correo electrónico a personas ajenas a la organización o copiar archivos en dispositivos USB.

Seleccione Create directiva de riesgo interno para iniciar el asistente para directivas nuevas. La plantilla de directiva Pérdidas de datos se selecciona automáticamente en el asistente, pero puede seleccionar cualquier plantilla de directiva si es necesario.

Importante

En función de la plantilla de directiva seleccionada, es posible que tenga que configurar opciones adicionales para que la directiva detecte correctamente actividades potencialmente de riesgo y cree alertas aplicables.

Paso 2: Configuración del nivel de riesgo interno

Seleccione la pestaña Niveles de riesgo internos . Para empezar, seleccione la directiva de administración de riesgos internos que desea usar para la protección adaptable. Puede ser la nueva directiva que creó en el paso 1 o una directiva o directivas existentes que ya haya configurado.

A continuación, acepte las condiciones de nivel de riesgo interno integradas aplicables o cree las suyas propias. En función del tipo de directiva que haya seleccionado, las condiciones de nivel de riesgo interno reflejarán las condiciones aplicables asociadas a indicadores y actividades que haya configurado en la directiva.

Por ejemplo, si ha elegido una directiva basada en la plantilla de directiva Pérdidas de datos , las opciones integradas de condición de nivel de riesgo interno se aplican a los indicadores y actividades disponibles en esa directiva. Si ha seleccionado una directiva basada en la plantilla de directivas de infracciones de directivas de seguridad , las condiciones de nivel de riesgo interno integradas se limitan automáticamente a los indicadores y actividades disponibles en esa directiva.

Personalización de un nivel de riesgo interno para la directiva

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Seleccione Protección adaptable (versión preliminar) en el panel de navegación izquierdo y, a continuación, seleccione Niveles de riesgo de Insider.

4. En la página Niveles de riesgo internos, seleccione Editar para el nivel de riesgo interno que desea personalizar (Elevado, Moderado o Menor).

5. En el panel Nivel de riesgo interno personalizado , seleccione una opción en la sección Nivel de riesgo interno basado en :

   • Alerta generada o confirmada para un usuario
   • Actividad de usuario específica

6. Si seleccionó la opción Alerta generada o confirmada para un usuario , puede elegir los niveles de gravedad de las alertas que se generan o confirman para un usuario que debe usar este nivel de riesgo interno. Puede conservar la gravedad de las alertas generadas y la gravedad de las condiciones de alertas confirmadas o quitar una de estas condiciones si solo quiere usar una. Si necesita volver a agregar una de estas condiciones, seleccione Agregar condición y, a continuación, seleccione la condición. Para cada condición, elija el nivel de gravedad que se debe aplicar para la condición (Alto, Medio o Bajo). Si se cumple alguna de las condiciones, el nivel de riesgo interno se asigna a un usuario.

7. Si seleccionó la opción Actividad de usuario específica , elija la actividad que desea detectar, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior. Debe configurar las repeticiones Actividades, Gravedad de actividad y Actividad durante las condiciones de la ventana de detección para este nivel de riesgo interno.

   Para la condición Actividades , las opciones entre las que puede elegir se actualizan automáticamente para los tipos de actividades que ha definido con los indicadores configurados en la directiva asociada. Si es necesario, active la casilla Asignar este nivel de riesgo a cualquier usuario que tenga confirmada una alerta futura, incluso si no se cumplen las condiciones anteriores . Si se cumplen todas las condiciones, el nivel de riesgo interno se asigna a un usuario.

   Para la condición de gravedad de la actividad , especifique el nivel de gravedad de las actividades incluidas en la información de actividad diaria. Las opciones son Alta, Media y Baja, y se basan en intervalos de puntuación de riesgo.

   Para las repeticiones de actividad durante la condición de la ventana de detección , especifique el número de veces que se deben detectar las actividades seleccionadas dentro del período de detección de actividad anterior especificado. Este número no está relacionado con el número de eventos que pueden producirse para una actividad. Por ejemplo, si la directiva detecta que un usuario descargó 20 archivos de SharePoint en un día, eso cuenta como una información de actividad diaria que consta de 20 eventos.

8. Seleccione Confirmar para aplicar las condiciones personalizadas de nivel de riesgo interno o Cancelar para descartar los cambios.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.

2. Vaya a la solución Insider Risk Management .

3. Seleccione la pestaña Protección adaptable (versión preliminar) y, a continuación, seleccione Niveles de riesgo de Insider.

4. En la página Niveles de riesgo internos, seleccione Editar para el nivel de riesgo interno que desea personalizar (Elevado, Moderado o Menor).

5. En el panel Nivel de riesgo interno personalizado , seleccione una opción en la sección Nivel de riesgo interno basado en :

   • Alerta generada o confirmada para un usuario
   • Actividad de usuario específica

6. Si seleccionó la opción Alerta generada o confirmada para un usuario , elija los niveles de gravedad de las alertas que se generan o confirman para un usuario que debe usar este nivel de riesgo interno. Puede conservar la gravedad de las alertas generadas y la gravedad de las condiciones de alertas confirmadas o quitar una de estas condiciones si solo quiere usar una. Si necesita volver a agregar una de estas condiciones, seleccione Agregar condición y, a continuación, seleccione la condición. Para cada condición, elija el nivel de gravedad que se debe aplicar para la condición (Alto, Medio o Bajo). Si se cumple alguna de las condiciones, el nivel de riesgo interno se asigna a un usuario.

7. Si seleccionó la opción Actividad de usuario específica , elija la actividad que desea detectar, su gravedad y el número de repeticiones diarias durante la ventana de detección de actividad anterior. Debe configurar las repeticiones Actividades, Gravedad de actividad y Actividad durante las condiciones de la ventana de detección para este nivel de riesgo interno.

   Para la condición Actividades , las opciones entre las que puede elegir se actualizan automáticamente para los tipos de actividades que ha definido con los indicadores configurados en la directiva asociada. Si es necesario, active la casilla Asignar este nivel de riesgo a cualquier usuario que tenga confirmada una alerta futura, incluso si no se cumplen las condiciones anteriores . Si se cumplen todas las condiciones, el nivel de riesgo interno se asigna a un usuario.

   Para la condición de gravedad de la actividad , especifique el nivel de gravedad de las actividades incluidas en la información de actividad diaria. Las opciones son Alta, Media y Baja, y se basan en intervalos de puntuación de riesgo.

   Para las repeticiones de actividad durante la condición de la ventana de detección , especifique el número de veces que se deben detectar las actividades seleccionadas dentro del período de detección de actividad anterior especificado. Este número no está relacionado con el número de eventos que pueden producirse para una actividad. Por ejemplo, si la directiva detecta que un usuario descargó 20 archivos de SharePoint en un día que cuenta como una información de actividad diaria que consta de 20 eventos.

8. Seleccione Confirmar para aplicar las condiciones personalizadas de nivel de riesgo interno o Cancelar para descartar los cambios.

Cómo se asigna el nivel de riesgo interno si un usuario está en el ámbito de varias directivas

Si un usuario está en el ámbito de varias directivas, si recibe alertas de distintos niveles de gravedad, de forma predeterminada, se le asigna el nivel de gravedad más alto recibido. Por ejemplo, considere una directiva que asigna un nivel de riesgo elevado si los usuarios reciben una alerta de gravedad alta. Si un usuario recibe una alerta de gravedad baja de la directiva 1, una alerta de gravedad media de la directiva 2 y una alerta de gravedad alta de la directiva 3, se le asigna un nivel de riesgo elevado , el nivel de gravedad de alerta más alta recibida.

Tenga en cuenta que las condiciones de nivel de riesgo interno deben estar presentes en las directivas seleccionadas que se van a detectar. Por ejemplo, si selecciona la actividad Copiar en USB para asignar un nivel de riesgo moderado, pero la actividad se selecciona en una de las tres directivas seleccionadas, solo la actividad de esa directiva asignará un nivel de riesgo moderado para esa actividad.

Paso 3: Create o editar una directiva de prevención de pérdida de datos

A continuación, cree (o edite) una directiva de prevención de pérdida de datos existente para restringir las acciones de los usuarios que coincidan con las condiciones de nivel de riesgo interno en la protección adaptable. Use las siguientes directrices para la configuración de la directiva de prevención de pérdida de datos:

• Debe incluir el nivel de riesgo interno del usuario para la condición Protección adaptable en la directiva de prevención de pérdida de datos. Esta directiva de prevención de pérdida de datos puede incluir otras condiciones según sea necesario.
• Aunque puede incluir otras ubicaciones en la directiva de prevención de pérdida de datos, la protección adaptable solo admite actualmente Exchange, Microsoft Teams y dispositivos.

Seleccione Create directiva para iniciar el asistente para directivas de prevención de pérdida de datos y crear una nueva directiva de prevención de pérdida de datos. Si tiene una directiva de prevención de pérdida de datos existente que le gustaría configurar para la protección adaptable, vaya aDirectivas de prevención> de pérdida de datos en el portal de cumplimiento y seleccione la directiva de prevención de pérdida de datos que desea actualizar para la protección adaptable. Para obtener instrucciones sobre cómo configurar una nueva directiva de prevención de pérdida de datos o actualizar una directiva de prevención de pérdida de datos existente para la protección adaptable, consulte Más información sobre la protección adaptable en la prevención de pérdida de datos: configuración manual.

Sugerencia

Se recomienda probar la directiva de prevención de pérdida de datos (con sugerencias de directiva) para que pueda revisar las alertas de prevención de pérdida de datos para comprobar que la directiva funciona según lo esperado antes de habilitar la protección adaptable.

Paso 4: Create o editar una directiva de acceso condicional

A continuación, cree (o edite) una directiva de acceso condicional existente para restringir las acciones de los usuarios que coincidan con las condiciones de nivel de riesgo interno en la protección adaptable. Use las siguientes directrices para la configuración de la directiva de acceso condicional:

• En la página Acceso condicional donde controla el acceso en función de las señales de las condiciones, establezca la condición de riesgo Insider en Sí y, a continuación, seleccione un nivel de riesgo interno (elevado, moderado o menor). Este es el nivel de riesgo interno que los usuarios deben tener para que se aplique la directiva.

Seleccione Create directiva para iniciar el Asistente para directivas de acceso condicional y crear una nueva directiva de acceso condicional. Si tiene una directiva de acceso condicional existente que le gustaría configurar para la protección adaptable, vaya aAcceso condicional de protección> en el Centro de administración Microsoft Entra y seleccione la directiva de acceso condicional que desea actualizar para la protección adaptable. Para obtener instrucciones sobre cómo configurar una nueva directiva de acceso condicional o actualizar una directiva de acceso condicional existente para la protección adaptable, consulte Directiva de acceso condicional común: directiva basada en riesgos internos.

Paso 5: Activar la protección adaptable

Después de completar todos los pasos anteriores, está listo para habilitar la protección adaptable. Al activar la protección adaptable:

• La directiva de administración de riesgos internos comienza a buscar la actividad del usuario que coincida con las condiciones de nivel de riesgo interno. Si se detecta, los niveles de riesgo internos se asignan a los usuarios.
• Los usuarios a los que se les asignan niveles de riesgo internos aparecen en la pestaña Niveles de riesgo internos asignados a los usuarios en protección adaptable.
• La directiva de prevención de pérdida de datos aplica acciones de protección para cualquier usuario asignado a los niveles de riesgo internos incluidos en la directiva de prevención de pérdida de datos. La directiva de prevención de pérdida de datos se agrega a la pestaña Prevención de pérdida de datos en Protección adaptable (versión preliminar). Puede ver detalles sobre la directiva de prevención de pérdida de datos y editar las condiciones de la directiva desde el panel.
• La directiva de acceso condicional aplica acciones de protección para cualquier usuario asignado a los niveles de riesgo internos incluidos en la directiva de acceso condicional. La directiva de acceso condicional se agrega a la pestaña Acceso condicional en Protección adaptable (versión preliminar). Puede ver detalles sobre la directiva de acceso condicional y editar las condiciones de la directiva desde el panel.

Para habilitar la protección adaptable, seleccione la pestaña Configuración de protección adaptable y, a continuación, cambie Protección adaptable a Activado. Puede tardar hasta 36 horas en esperar a ver los niveles de riesgo internos de protección adaptable y las acciones de prevención de pérdida de datos y acceso condicional aplicadas a las actividades de usuario aplicables.

Vea el siguiente vídeo en el canal Microsoft Mechanics para ver cómo la protección adaptable puede ajustar automáticamente la intensidad de la protección de datos en función de los niveles de riesgo internos de seguridad de datos calculados de los usuarios.

Administración de la protección adaptable

Una vez que haya habilitado la protección adaptable y haya configurado la administración de riesgos internos, la prevención de pérdida de datos y las directivas de acceso condicional, tendrá acceso a información sobre las métricas de directiva, los usuarios actuales en el ámbito y los niveles de riesgo internos actualmente en el ámbito.

Panel

Después de completar el proceso de configuración rápida o personalizada , la pestaña Panel de Protección adaptable (versión preliminar) muestra widgets para obtener información de resumen sobre los niveles de riesgo internos de los usuarios, las directivas de acceso condicional y las directivas de prevención de pérdida de datos.

• Niveles de riesgo internos asignados por los usuarios: muestra el número de usuarios para cada nivel de riesgo interno (riesgo elevado, riesgo moderado y riesgo menor).
• Directivas que usan niveles de riesgo internos: muestra el estado de las directivas (no iniciadas o completas), el tipo de directiva (acceso condicional o prevención de pérdida de datos) y el número de directivas configuradas para cada tipo de directiva. Si no se ha configurado un tipo de directiva, puede seleccionar el botón Configuración rápida para configurar la directiva.

Niveles de riesgo internos asignados por los usuarios

Los usuarios a los que se ha asignado un nivel de riesgo interno en la protección adaptable aparecen en la pestaña Niveles de riesgo internos asignados por los usuarios . Puede revisar la siguiente información para cada usuario:

• Usuarios: Listas el nombre de usuario. En el caso de las directivas de prevención de pérdida de datos, si la opción Mostrar versiones anónimas de nombres de usuario está seleccionada en la configuración de administración de riesgos internos, verá nombres de usuario anónimos. En el caso de las directivas de acceso condicional, los nombres de usuario no se anonimizan incluso si se selecciona la opción Mostrar versiones anónimas de nombres de usuario .

  Importante

  Para mantener la integridad referencial, el anonimato de los nombres de usuario (si está activado) no se conserva para los usuarios de protección adaptable que tienen alertas o actividad que aparecen fuera de la administración de riesgos internos. Los nombres de usuario reales aparecerán en las alertas de prevención de pérdida de datos relacionadas y en el explorador de actividad.

• Nivel de riesgo interno: el nivel de riesgo interno actual asignado al usuario.

• Asignado al usuario: el número de días o meses que han pasado desde que se asignó al usuario un nivel de riesgo interno.

• Restablecimientos de nivel de riesgo: el número de días hasta que el nivel de riesgo interno se restablece automáticamente para el usuario.

  Para restablecer manualmente el nivel de riesgo interno de un usuario, seleccione el usuario y, a continuación, seleccione Expirar. A este usuario ya no se le asignará un nivel de riesgo interno. No se quitarán las alertas o casos existentes para este usuario. Si este usuario se incluye en la directiva de administración de riesgos internos seleccionada, se volverá a asignar un nivel de riesgo interno si se detecta un evento desencadenante.

• Alertas activas: el número de alertas de administración de riesgos internos actuales para el usuario.

• Casos confirmados como infracción: número de casos confirmados para el usuario.

• Caso: nombre del caso.

Si es necesario, puede filtrar a los usuarios por nivel de riesgo de Insider.

Para ver información detallada sobre riesgos internos y protección adaptable para un usuario específico, seleccione el usuario para abrir el panel de detalles del usuario. El panel de detalles contiene tres pestañas, Perfil de usuario, Actividad de usuario y Resumen de protección adaptable. Para obtener información sobre las pestañas Perfil de usuario y Actividad de usuario , vea Ver detalles del usuario.

La pestaña Resumen de protección adaptable agrega información en cuatro secciones:

• Protección adaptable: en esta sección se muestra información sobre el nivel de riesgo actual, el nivel de riesgo asignado y el restablecimiento del nivel de riesgo activado para el usuario.
• Directivas de prevención de pérdida de datos en el ámbito (dinámico): en esta sección se muestran todas las directivas de prevención de pérdida de datos actualmente en el ámbito del usuario y la fecha de inicio y finalización de la directiva. Esto se basa en el nivel de riesgo interno para la configuración de la directiva de prevención de pérdida de datos y usuarios para los niveles de riesgo interno. Por ejemplo, si un usuario tiene actividades que se han definido como Nivel de riesgo elevado para las directivas de administración de riesgos internos y dos directivas de prevención de pérdida de datos se configuran con la condición Nivel de riesgo elevado , estas dos directivas de prevención de pérdida de datos se mostrarán aquí para el usuario.
• Directivas de acceso condicional en el ámbito (dinámico): en esta sección se muestran todas las directivas de acceso condicional actualmente en el ámbito del usuario y la fecha de inicio y finalización de la directiva. Esto se basa en el nivel de riesgo interno para el usuario y la configuración de la directiva de acceso condicional para los niveles de riesgo internos. Por ejemplo, si un usuario tiene actividades que se han definido como Nivel de riesgo elevado para las directivas de administración de riesgos internos y una directiva de acceso condicional se configura con la condición Nivel de riesgo elevado , la directiva de acceso condicional se mostrará aquí para el usuario.
• Directiva de riesgo interno para la protección adaptable: en esta sección se muestra cualquier directiva de administración de riesgos internos en la que el usuario esté actualmente en el ámbito.

Directivas de acceso condicional

La página Directivas de acceso condicional muestra todas las directivas de acceso condicional que usan la condición de riesgo Insider . Puede revisar la siguiente información para cada directiva:

• Nombre de la directiva: el nombre de la directiva de acceso condicional.
• Estado de la directiva: estado actual de la directiva. Los valores son Activos o Inactivos.
• Niveles de riesgo internos: los niveles de riesgo internos incluidos en la directiva de acceso condicional mediante la condición De riesgo interno. Las opciones son Niveles de riesgo elevados, moderados o menores .
• Estado de la directiva: estado actual de la directiva de acceso condicional. Las opciones son Activado o Probar con notificaciones.
• Creado en: la fecha en que se creó la directiva de acceso condicional.
• Última modificación: fecha en que se editó por última vez la directiva condicional.

Directivas de prevención de pérdida de datos

La página Directivas de prevención de pérdida de datos muestra todas las directivas de prevención de pérdida de datos que usan el nivel de riesgo Insider para Adaptive Protection es condición. Puede revisar la siguiente información para cada directiva:

• Nombre de directiva: nombre de la directiva de prevención de pérdida de datos.
• Estado de la directiva: estado actual de la directiva. Los valores son Activos o Inactivos.
• Ubicación de directiva: las ubicaciones incluidas en la directiva de prevención de pérdida de datos. Actualmente, la protección adaptable solo admite Exchange, Teams y Dispositivos.
• Niveles de riesgo internos: los niveles de riesgo internos incluidos en la directiva de prevención de pérdida de datos mediante el nivel de riesgo Insider para Adaptive Protection son condición. Las opciones son Niveles de riesgo elevados, moderados o menores .
• Estado de la directiva: estado actual de la directiva de prevención de pérdida de datos. Las opciones son Activado o Probar con notificaciones.
• Creado: fecha en que se creó la directiva de prevención de pérdida de datos.
• Última modificación: fecha en que se editó por última vez la directiva de prevención de pérdida de datos.

Ajuste de la configuración del nivel de riesgo interno

Puede encontrar después de revisar los usuarios con niveles de riesgo que tiene demasiados o demasiados usuarios a los que se les asigna un nivel de riesgo interno. Puede usar dos métodos para ajustar las configuraciones de directiva para reducir o aumentar el número de usuarios a los que se les asignan niveles de riesgo internos:

• Modifique la configuración del nivel de riesgo interno. Puede ajustar los umbrales para asignar un nivel de riesgo interno a un usuario:
  • Aumente o disminuya la gravedad de la actividad necesaria para asignar un nivel de riesgo interno. Por ejemplo, si ve demasiados usuarios con niveles de riesgo internos, puede reducir la gravedad de la actividad o la alerta.
  • Si el nivel de riesgo interno se basa en una actividad de usuario específica, aumente o reduzca las repeticiones de actividad durante la ventana de detección. Por ejemplo, si ve demasiados usuarios con niveles de riesgo internos, puede reducir las repeticiones de actividad.
  • Cambie en qué se basa el nivel de riesgo interno. Por ejemplo, si ve demasiados usuarios con niveles de riesgo internos, para reducir el número de usuarios, solo podría asignar un nivel de riesgo interno si se confirma la alerta.
• Modifique los umbrales de directiva. Dado que los niveles de riesgo internos se asignan en función de las detecciones de directivas, también puede modificar la directiva, lo que a su vez cambiará los requisitos para asignar un nivel de riesgo interno. Puede modificar una directiva aumentando o disminuyendo los umbrales de directiva que conducen a alertas y actividades de gravedad alta, media y baja.

Deshabilitar la protección adaptable

Puede haber algunos escenarios en los que es posible que necesite deshabilitar la protección adaptable temporalmente. Para deshabilitar la protección adaptable, seleccione la pestaña Configuración de protección adaptable y, a continuación, cambie Protección adaptable a Desactivado.

Si la protección adaptable está desactivada después de haber estado activada y activa, los niveles de riesgo internos dejarán de asignarse a los usuarios y compartirse con la prevención de pérdida de datos y el acceso condicional, y se restablecerán todos los niveles de riesgo internos existentes para los usuarios. Después de desactivar la protección adaptable, puede tardar hasta 6 horas en dejar de asignar niveles de riesgo internos a la actividad del usuario y restablecerlos todos. La administración de riesgos internos, la prevención de pérdida de datos y las directivas de acceso condicional no se eliminan automáticamente.