Ajuste las exclusiones en la administración de riesgos internos mediante la creación de grupos de detección y variantes de indicadores integrados (versión preliminar)

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Administración de riesgos internos de Microsoft Purview ofrece docenas de indicadores listos para usar. Pero es posible que la detección de riesgos internos no sea una solución única para todos los usuarios de una organización. Puede usar la configuración Detecciones inteligentes en las directivas de administración de riesgos internos para excluir globalmente ciertas actividades de las puntuaciones de las directivas. Pero estas exclusiones se aplican a todos los desencadenadores e indicadores de todas las directivas que cree dentro de un inquilino. Con los grupos de detección y las variantes, las organizaciones pueden modificar los indicadores de riesgo internos integrados y adaptar las detecciones para diferentes conjuntos de usuarios. Por ejemplo, para reducir el número de falsos positivos para las actividades de correo electrónico, es posible que quiera crear una variante del indicador integrado Envío de correo electrónico con datos adjuntos a destinatarios fuera de la organización para detectar solo el correo electrónico enviado a dominios personales.

Proceso general para crear un grupo de detección y usarlo junto con una variante de indicador integrada

La creación de un grupo de detección y su uso junto con una variante incluye cuatro pasos:

1. Cree un grupo de detección como se describe en este artículo. Al crear la variante, seleccionará este grupo de detección.
2. Cree la variante.
3. Use la variante en una directiva nueva o existente.
4. Revise las alertas relacionadas con las actividades especificadas en la variante.

Creación de un grupo de detección

Para crear una variante de un indicador integrado, empiece por crear un grupo de detección. Un grupo de detección le ayuda a limitar un indicador integrado para centrarse en las actividades de alto valor importantes para su organización.

Cada indicador de directiva incluye determinados tipos de detección que son aplicables a ese indicador. Por ejemplo, para el indicador Compartir archivos de SharePoint con personas ajenas a la organización , uno de los tipos de detección son los dominios. Al compartir un archivo de SharePoint, elige un dominio con el que compartir el archivo. No todos los indicadores tienen los mismos tipos de detección. Por ejemplo, dominios es un tipo de detección del indicador Compartir archivos de SharePoint con personas ajenas a la organización , pero no es un tipo de detección del indicador Creación o copia de archivos en USB , ya que no es aplicable en ese caso.

La administración de riesgos internos admite actualmente siete tipos de detección:

• Dominios
• Rutas de acceso de archivo
• Tipos de archivo
• Palabras clave
• Tipos de información confidencial
• Sitios de SharePoint
• Clasificadores que se pueden entrenar

Sugerencia

Al crear un grupo de detección, puede ver todos los indicadores aplicables para una detección determinada seleccionando el vínculo Ver indicadores aplicables en el texto de introducción para el tipo de grupo.

En los procedimientos siguientes se muestra cómo crear un grupo de detección para cada tipo de grupo.

Creación de un grupo de detección de dominios

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).

2. En el panel de la derecha, en Tipo, seleccione Dominios.

3. En el panel de la derecha, seleccione Nuevo grupo de dominios.

4. En el panel Nuevo grupo de dominios , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).

5. En el campo Agregar dominios , escriba un dominio y presione Entrar. Continúe agregando más dominios de la misma manera o, si tiene una larga lista de dominios que agregar, puede importarlos como un archivo CSV seleccionando Importar dominios desde un archivo CSV. Los dominios que agregue se muestran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de dominios y cada grupo puede tener hasta 200 elementos.

   Nota:

   Para especificar subdominios de varios niveles para un dominio raíz, active la casilla Incluir subdominios de varios niveles , agregue un dominio y, a continuación, presione Entrar para agregar el dominio a la lista. Se incluirán los subdominios incluidos en ese dominio. Repita el mismo proceso para agregar más dominios y, a continuación, seleccione Agregar dominios cuando haya terminado.

   Sugerencia

   Puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel).

6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de rutas de acceso de archivo

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Rutas de acceso de archivo.
3. En el panel de la derecha, seleccione Nuevo grupo de rutas de acceso de archivo.
4. En el panel Nuevo grupo de rutas de acceso de archivo , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar rutas de acceso de archivo, seleccione las rutas de acceso de archivo que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de rutas de acceso de archivo y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de tipos de archivo

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Tipos de archivo.
3. En el panel de la derecha, seleccione Nuevo grupo de tipos de archivo.
4. En el panel Nuevo grupo de tipos de archivo , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. En el campo Agregar tipo de archivo , escriba una extensión de archivo y presione Entrar. Continúe agregando más extensiones de archivo de la misma manera. Las extensiones que agregue se muestran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de tipos de archivo y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de palabras clave

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Palabras clave.
3. En el panel de la derecha, seleccione Nuevo grupo de palabras clave.
4. En el panel Nuevo grupo de palabras clave , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. En el campo Agregar palabras clave , escriba una palabra clave y presione Entrar. Repita este proceso para cada palabra clave que quiera agregar. Las palabras clave que agregue se enumeran en la parte inferior del panel. Puede crear hasta 10 grupos de detección de palabras clave y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de tipos de información confidencial

Nota:

La lista de exclusión de tipos de información confidencial tiene prioridad sobre la lista de contenido de prioridad .

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Tipos de información confidencial.
3. En el panel de la derecha, seleccione Nuevo grupo de tipos de información confidencial.
4. En el panel Nuevo tipo de información confidencial , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar tipos de información confidencial, seleccione los tipos de información confidencial que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de tipos de información confidencial y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de sitios de SharePoint

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Sitios de SharePoint.
3. En el panel de la derecha, seleccione Nuevo grupo de sitios de SharePoint.
4. En el panel Nuevo grupo de sitios de SharePoint , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar sitios, seleccione los sitios de SharePoint que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de sitios de SharePoint y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Creación de un grupo de detección de clasificadores entrenable

1. En la configuración de administración de riesgos internos, seleccione Grupos de detección (versión preliminar).
2. En el panel de la derecha, en Tipo, seleccione Clasificadores entrenables.
3. En el panel de la derecha, seleccione Nuevo grupo de clasificadores entrenables.
4. En el panel Nuevo grupo de clasificadores que se pueden entrenar , agregue un nombre para el grupo (o acepte el nombre sugerido) y una descripción (opcional).
5. Seleccione Agregar clasificadores entrenables, seleccione los clasificadores entrenables que desea excluir de la puntuación y, a continuación, seleccione Agregar. Puede crear hasta 10 grupos de detección de clasificadores entrenables y cada grupo puede tener hasta 200 elementos.
6. Seleccione Guardar. Verá un cuadro de diálogo Pasos siguientes que le informa sobre el siguiente paso del proceso, que incluye el uso de este grupo de detección en una variante.

Vea también

• Cree una variante de un indicador integrado.
• Use una variante en una directiva nueva o existente.
• Investigue las alertas relacionadas con las actividades especificadas en una variante.