Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Puede compartir datos de la administración de riesgos internos de las siguientes maneras:
- Exportar información de alertas a soluciones SIEM.
- Comparta alertas y niveles de gravedad de riesgo de usuario con Microsoft Defender XDR.
- Comparta los niveles de gravedad de riesgo del usuario con alertas de prevención de pérdida de datos (DLP).
Exportación de información de alertas a soluciones SIEM
Administración de riesgos internos de Microsoft Purview información de alertas se puede exportar a la información de seguridad y a las soluciones de administración de eventos (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) mediante el esquema de api de actividad de administración de Office 365. Puede usar las API de actividad de administración de Office 365 para exportar información de alertas a otras aplicaciones que su organización podría usar para administrar o agregar información de riesgo interno. La información de alertas se exporta y está disponible cada 60 minutos a través de las API de actividad de administración de Office 365.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Si su organización usa Microsoft Sentinel, también puede usar el conector de datos de administración de riesgos internos para importar información de alertas de riesgo internos a Microsoft Sentinel. Para obtener más información, consulte Insider Risk Management en el artículo Microsoft Sentinel.
Importante
Para mantener la integridad referencial de los usuarios que tienen alertas o casos de riesgo internos en Microsoft 365 u otros sistemas, el anonimato de los nombres de usuario no se conserva para las alertas exportadas al usar la API de exportación o al exportar a soluciones de Microsoft Purview eDiscovery. Las alertas exportadas muestran nombres de usuario para cada alerta en este caso. Si va a exportar a archivos CSV desde alertas o casos, se conserva el anonimato.
Uso de las API para revisar la información de alertas de riesgo internos
- Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.
- Seleccione Configuración en la esquina superior derecha de la página.
- Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
- Seleccione Exportar alertas. De forma predeterminada, esta configuración está deshabilitada para la organización de Microsoft 365.
- Active la configuración.
- Filtre las actividades comunes de auditoría de Office 365 por SecurityComplianceAlerts.
- Filtre SecurityComplianceAlerts por la categoría InsiderRiskManagement .
La información de alerta contiene información del esquema de alertas de seguridad y cumplimiento de api de actividad de Office 365 Management) y del esquema común. Los siguientes campos y valores se exportan para las alertas de administración de riesgos internos para el esquema común:
- UserId
- Id.
- RecordType
- CreationTime
- Operación
- OrganizationId
- UserType
- UserKey
Compartir niveles de gravedad de alerta con otras soluciones de seguridad de Microsoft
Puede compartir los niveles de gravedad de alerta de la administración de riesgos internos para proporcionar un contexto de usuario único a las experiencias de investigación de alertas en las siguientes soluciones de seguridad de Microsoft:
- Microsoft Defender XDR
- Cumplimiento de comunicaciones de Microsoft Purview
- Prevención de pérdida de datos de Microsoft Purview (DLP)
La administración de riesgos internos analiza las actividades del usuario durante un período de entre 90 y 120 días y busca comportamientos anómalos durante ese período de tiempo. Agregar estos datos a otras soluciones de seguridad mejora los datos disponibles en esas soluciones para ayudar a los analistas a priorizar las alertas.
Sugerencia
Los niveles de gravedad de alerta en la administración de riesgos internos son diferentes de los niveles de riesgo internos definidos en Adaptive Protection.
- Los niveles de gravedad de alerta (bajo, medio o alto) se asignan a los usuarios en función de la actividad detectada en las directivas de administración de riesgos internos. Estos niveles se calculan en función de las puntuaciones de riesgo de alerta asignadas a todas las alertas activas asociadas al usuario. Estos niveles ayudan a los analistas e investigadores de riesgo internos a priorizar y responder a la actividad del usuario en consecuencia.
- Los niveles de riesgo internos (elevados, moderados o menores) de Adaptive Protection son una medida de riesgo determinada por condiciones definidas por el administrador, como el número de actividades de filtración que los usuarios realizan en un día o si su actividad generó una alerta de riesgo interno de alta gravedad.
Requisitos previos
Para compartir los niveles de riesgo de usuario de administración de riesgos internos con otras soluciones de seguridad de Microsoft, el usuario:
- Debe formar parte de una directiva de administración de riesgos internos.
- Debe haber realizado actividades de filtración que lleven al usuario al ámbito de la directiva.
- (Para compartir con DLP): debe tener permisos de alerta DLP. Una vez activada la opción Uso compartido de datos, los usuarios con permisos de alerta DLP pueden acceder al contexto de administración de riesgos internos para la investigación de alertas DLP y para la página Usuarios de Microsoft Defender XDR. Los usuarios con permisos de administración de riesgos internos también pueden acceder a estos datos.
- (Para compartir con el cumplimiento de comunicaciones): los usuarios deben tener asignados los roles Analista de cumplimiento de comunicaciones o Investigador de cumplimiento de comunicaciones para ver los niveles de gravedad de riesgo del usuario y el historial de actividad en cumplimiento de la comunicación.
Sugerencia
Si tiene acceso a alertas DLP en Microsoft Purview o Microsoft Defender, puede ver el contexto de usuario desde la administración de riesgos internos compartida con esas soluciones.
Uso compartido de datos con otras soluciones de seguridad de Microsoft
Puede compartir los niveles de gravedad de alertas de administración de riesgos internos con otras soluciones de seguridad de Microsoft activando una sola configuración.
- En la configuración de administración de riesgos internos, seleccione la opción Uso compartido de datos .
- En la sección Uso compartido de datos con otras soluciones de seguridad de Microsoft , active la configuración.
Nota:
Si no activa esta configuración, el valor que se muestra en la columna gravedad del riesgo de las alertas DLP es "Los datos de usuario no están disponibles" y se muestra como "Actividad de riesgo interno no disponible" en cumplimiento de la comunicación.
¿Qué ocurre cuando comparte niveles de gravedad de alertas de administración de riesgos internos?
En Microsoft Defender XDR
El uso compartido de datos de alertas en el portal de Microsoft Defender es fundamental para proteger la información confidencial de la organización y mantener la seguridad. Los analistas del Centro de operaciones de seguridad (SOC) pueden:
- Investigue las alertas de administración de riesgos internos en la cola de alertas de Microsoft Defender.
- Investigue alertas de administración de riesgos internos correlacionadas con alertas de otros orígenes de detección, como prevención de pérdida de datos, Microsoft Defender for Identity, Microsoft Defender para Office, etc. en la cola de incidentes de Microsoft Defender XDR.
- Ejecute consultas de búsqueda avanzada en dos tablas nuevas que contengan datos de alertas de administración de riesgos internos.
- Exporte datos completos de alertas de administración de riesgos internos a través de Microsoft Graph API.
- Vea la gravedad de administración de riesgos internos de un usuario durante la evaluación de la evaluación de alertas. Se agrega un campo de gravedad de riesgo interno a la página Usuarios para los usuarios que tienen un nivel de riesgo alto, medio o bajo en la administración de riesgos internos. Estos datos están disponibles para cualquier usuario con una alerta de administración de riesgos internos activa. En el lado derecho de la página Usuarios aparece un resumen de la actividad de riesgo interno y una escala de tiempo de actividad para ese usuario.
Migración desde las API de actividad de administración de Office 365 a las API de Microsoft Graph
Los metadatos de alertas de administración de riesgos internos están disponibles a través de Office 365 API de actividad de administración. Sin embargo, Graph API proporciona metadatos más completos y compatibilidad bidireccional. Se recomienda migrar a Graph API para integrar datos de administración de riesgos internos con los sistemas empresariales.
En la tabla siguiente se resumen los parámetros de API de actividad de administración de Office 365 más comunes y el parámetro de Microsoft Graph API equivalente:
| Office 365 parámetro de API de actividad de administración | Parámetro de Microsoft Graph API |
|---|---|
| Parámetro de alerta | No hay ningún parámetro equivalente |
| AlertId | ID |
| Categoría | ServiceSource |
| Comentarios | No hay ningún parámetro equivalente |
| Datos | Evidence.useraccount.userPrincipalName(junto con sufijo) |
| Name | AlertPolicyName |
| PolicyId | AlertPolicyId |
| Severity | Severity |
| Origen | DetectionSource |
| Estado | Estado |
| Versión | No hay ningún parámetro equivalente |
Para obtener una asignación de esquema detallada, consulte el esquema de Defender XDR en la API de actividad de administración de Office 365 y Microsoft Graph API.
Integración de Insider Risk Management con operaciones de seguridad de ServiceNow
ServiceNow proporciona integraciones para conectarse con tecnologías de seguridad de Microsoft mediante Microsoft Graph. Estas soluciones incluyen Microsoft Sentinel, Microsoft Defender Advanced Threat Protection y Azure Advanced Threat Protection. Esta integración le permite acceder a información valiosa de los productos de Microsoft y le ayuda a administrar y responder de forma eficaz a los incidentes de seguridad de forma centralizada mediante la plataforma ServiceNow. Se accede a los datos de alertas de administración de riesgos internos fuera del entorno de Microsoft Purview a través de la API de seguridad de Microsoft Graph.
Para compartir datos de alertas de administración de riesgos internos con ServiceNow, siga estos pasos:
- Obtener la integración de ingesta de alertas de Microsoft Graph API para seguridad para operaciones de seguridad
- Siga la documentación de ServiceNow para configurar o crear un perfil para la integración de ingesta de alertas de Microsoft Graph API para seguridad.
Para obtener más información, consulte Investigación de amenazas de riesgo internos en el portal de Microsoft Defender.
Alertas de cumplimiento de comunicaciones
Para cada coincidencia de directiva de cumplimiento de comunicaciones , puede ver la gravedad del riesgo del usuario asociada con el remitente. Vea esta información en la pestaña Actividad del usuario en la comunicación de la alerta. Esta vista proporciona el perfil de riesgo, las coincidencias de directivas y las actividades de usuario capturadas por la administración de riesgos internos y el cumplimiento de comunicaciones.
Los niveles de gravedad se clasifican como Alto, Medio, Bajo o Ninguno.
En el caso de los niveles de gravedad de riesgo de None, el motivo podría ser cualquiera de los siguientes escenarios:
- El usuario no está incluido en una directiva de riesgo interno.
- A las actividades del usuario no se les asigna una puntuación de riesgo, lo que significa que el usuario no está en el ámbito activo de la directiva.
- El usuario se incluye en una directiva de administración de riesgos internos, pero no ha participado en ninguna actividad de riesgo.
- La organización no tiene una directiva de administración de riesgos internos activa.
Si la gravedad del riesgo del usuario no está disponible, el uso compartido de datos no se habilita desde la administración de riesgos internos.
Puede ver las actividades de riesgo internos durante un máximo de 120 días en la sección Ver detalles de la pestaña Historial de usuarios en Administración de riesgos internos. Actualmente, solo se muestran datos de indicadores de filtración en el resumen de actividad del usuario en cumplimiento de la comunicación.
En alertas DLP
Para la directiva de administración de riesgos internos asociada a la alerta DLP, se agrega a la cola de alertas DLP una columna de gravedad de riesgo insider con valores de Alto, Medio, Bajo o Ninguno . Si hay varios usuarios que tienen actividades que coinciden con la directiva, se muestra el usuario con el nivel de riesgo interno más alto.
Un valor de None puede significar cualquiera de los siguientes:
El usuario no forma parte de ninguna directiva de administración de riesgos internos.
El usuario forma parte de una directiva de administración de riesgos internos, pero no ha realizado actividades de riesgo para entrar en el ámbito de la directiva (no hay datos de filtración).
Puede seleccionar el nivel de riesgo interno en la cola de alertas DLP para acceder a la pestaña Resumen de actividad de usuario , que muestra una escala de tiempo de todas las actividades de filtración para ese usuario durante los últimos 90-120 días. Al igual que la cola de alertas DLP, la pestaña Resumen de actividad de usuario muestra al usuario con el nivel de riesgo interno más alto. Este contexto profundo de lo que un usuario ha hecho en los últimos 90 a 120 días proporciona una visión más amplia de los riesgos que presenta ese usuario.
En el resumen de actividad del usuario solo se muestran los datos de los indicadores de filtración. Los datos de otros indicadores confidenciales, como RR. HH., exploración, etc., no se comparten con las alertas DLP.
Se agrega una sección de detalles de actor a la página Detalles de la alerta DLP. Puede usar esta página para ver todos los usuarios implicados en la alerta DLP específica. Para cada usuario implicado en la alerta DLP, puede ver todas las actividades de filtración de los últimos 90 a 120 días.
Si selecciona Obtener un resumen de Security Copilot en una alerta DLP, el resumen de alerta proporcionado por Microsoft Security Copilot incluye el nivel de gravedad de administración de riesgos internos además de la información de resumen dlp, si el usuario está en el ámbito de una directiva de administración de riesgos internos.
Sugerencia
También puede usar Security Copilot para investigar alertas DLP. Si la configuración de uso compartido de datos de administración de riesgos internos está activada, puede realizar una investigación combinada de administración de riesgos DLP/insider. Por ejemplo, es posible que quiera empezar pidiendo a Copilot que resuma una alerta DLP y, a continuación, pida a Copilot que muestre el nivel de riesgo interno asociado al usuario marcado en la alerta. O bien, es posible que quiera preguntar por qué el usuario se considera un usuario de alto riesgo. La información de riesgo del usuario en este caso procede de la administración de riesgos internos. Security Copilot integra perfectamente la administración de riesgos internos con DLP para ayudar con las investigaciones. Obtenga más información sobre el uso de la versión independiente de Copilot para las investigaciones combinadas de administración de riesgos DLP/insider.