Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. Insider Risk Management permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
El panel Usuarios es una herramienta importante en el flujo de trabajo de Insider Risk Management. Ayuda a los investigadores y analistas a comprender mejor las actividades de riesgo. Este panel ofrece vistas y características de administración para satisfacer las necesidades administrativas entre la creación de directivas de Insider Risk Management y la administración de casos de Insider Risk Management.
Una vez agregados los usuarios a las directivas de Insider Risk Management, los procesos en segundo plano evalúan automáticamente las actividades del usuario para desencadenar indicadores. Una vez que el proceso identifica los indicadores desencadenantes, asigna puntuaciones de riesgo a las actividades del usuario. Algunas de estas actividades dan como resultado una alerta de riesgo interno, pero algunas actividades no cumplen un nivel mínimo de puntuación de riesgo y no se crea una alerta de riesgo interno. El panel Usuarios permite ver los usuarios con estos tipos de indicadores y puntuaciones de riesgo, así como los usuarios que tienen alertas de riesgo internos activas.
Obtenga más información sobre cómo el panel Usuarios muestra a los usuarios en los siguientes escenarios:
- Usuarios con alertas de directivas de riesgo internas activas
- Usuarios con eventos desencadenantes
- Usuarios identificados como posibles usuarios de alto impacto o en grupos de usuarios prioritarios
- Usuarios agregados temporalmente a las directivas
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Usuarios con alertas de directivas de riesgo internas activas
El panel Usuarios muestra automáticamente todos los usuarios con alertas de directivas de riesgo internas activas. Estos usuarios con alertas tienen un indicador desencadenante y una puntuación de riesgo de actividad que cumple los requisitos para crear una alerta de riesgo interno. Para ver las actividades de estos usuarios, seleccione el usuario en el panel Usuarios y vaya a la pestaña Actividad de usuario .
Usuarios con eventos desencadenantes
El panel Usuarios muestra automáticamente todos los usuarios con eventos desencadenantes, pero que no tienen una puntuación de riesgo de actividad que crearía una alerta de riesgo interno. Por ejemplo, se muestra un usuario con una fecha de renuncia notificada porque esta actividad es un evento desencadenante, pero no es una actividad que tiene una puntuación de riesgo. Para ver las actividades de estos usuarios, seleccione el usuario en el panel Usuarios y vaya a la pestaña Actividad de usuario .
Usuarios agregados temporalmente a las directivas
El panel Usuarios muestra los usuarios que agrega a las directivas de Insider Risk Management después de un evento inusual fuera del flujo de trabajo de Insider Risk Management. Agregar usuarios temporalmente (desde el panel Directivas) también es una manera de empezar a puntuar la actividad de usuario para una directiva de Insider Risk Management para probar la directiva, incluso si no configura un conector necesario.
Al agregar manualmente un usuario a una directiva, la solución puntúa las actividades de usuario de los 90 días anteriores y las agrega a la escala de tiempo de actividad de usuario . Por ejemplo, tiene un usuario que no tiene actualmente puntuaciones de riesgo asignadas para una directiva de riesgo interno y el usuario tiene actividades de pérdida de datos notificadas al departamento legal de su organización. El departamento legal recomienda configurar nuevos requisitos de detección a corto plazo para el usuario. Puede asignar temporalmente el usuario a la directiva de pérdidas de datos durante un período de tiempo designado (ventana de activación). Todos los usuarios agregados temporalmente se muestran en el panel Usuarios porque se renuncia a los requisitos de eventos desencadenantes.
Nota:
Los nuevos usuarios agregados manualmente pueden tardar varias horas en aparecer en el panel Usuarios. Las actividades de los 90 días anteriores para estos usuarios pueden tardar hasta 24 horas en mostrarse. Para ver las actividades de los usuarios agregados manualmente, seleccione el usuario en el panel Usuarios y abra la pestaña Actividad de usuario en el panel de detalles.
El usuario se quita automáticamente del panel Usuarios y la puntuación se detiene cuando la hora definida en la ventana Activación expira si:
- el usuario no tiene ningún evento desencadenante adicional ni alertas de directivas de riesgo internos, y
- la duración de la ventana de activación definida manualmente es mayor que la duración de la ventana de activación de directiva global.
La configuración de la ventana Activación con la duración más larga siempre invalida la configuración de la ventana Activación con una duración más corta. Por ejemplo, configura la ventana Activación en la pestaña Períodos de tiempo de directiva globales en la configuración global de Insider Risk Management durante 15 días, que se aplica automáticamente a todas las directivas de riesgo internos.
Agregue temporalmente un usuario a la directiva de riesgo de pérdidas de datos internas y defina 30 días como la ventana Activación para este usuario. La configuración global de la ventana Activación de 15 días se invalida al definir la configuración de ventana Activación de 30 días para el usuario agregado temporalmente. El usuario agregado temporalmente permanece en el panel Usuarios y está en el ámbito de la directiva durante 30 días.
En el escenario opuesto en el que la configuración de la ventana de activación global es más larga que la configuración de la ventana Activación definida para un usuario agregado temporalmente, la configuración de ventana activación global invalida la configuración de la ventana Activación para el usuario agregado temporalmente. El usuario agregado temporalmente permanece en el panel Usuarios y está en el ámbito de la directiva para el número de días definido en la configuración de la ventana de activación global.
Visualización de la información del usuario en el panel Usuarios
Cada usuario que se muestra en el panel Usuarios muestra la siguiente información:
- Usuarios: nombre de usuario de un usuario. Este campo se anonimiza si la configuración de anonimización global para Insider Risk Management está habilitada.
- Nivel de gravedad de alerta: nivel de riesgo calculado actual del usuario. El sistema calcula esta puntuación cada 24 horas y usa las puntuaciones de riesgo de alerta de todas las alertas activas asociadas al usuario. Para los usuarios que solo tienen indicadores desencadenantes, el nivel de gravedad de la alerta es cero.
- Alertas activas: número de alertas activas para todas las directivas.
- Infracciones confirmadas: número de casos resueltos como infracción de directiva confirmada para el usuario.
- Caso: caso activo actual del usuario.
Para localizar rápidamente un usuario específico, use Buscar en la parte superior derecha del panel Usuarios. Al buscar usuarios, debe usar el nombre principal de usuario (UPN). Por ejemplo, al buscar un usuario denominado "Tiara Hidayah" que tenga un UPN de "thidayah" en su organización, escriba "thidayah" o alguna parte del UPN en La búsqueda.
Nota:
El número de usuarios que se muestra en el panel Usuarios puede estar limitado en algunos casos, en función del volumen de alertas activas y las directivas de coincidencia. El panel Usuarios muestra a los usuarios con alertas activas a medida que el sistema genera las alertas. En raras ocasiones, se alcanza el número máximo de usuarios mostrados. Si se produce este límite, el panel Usuarios agrega usuarios con alertas activas que no se muestran como alertas de usuario existentes se evalúan.
Ver los detalles del usuario
Para ver más detalles sobre la actividad de riesgo de un usuario, abra el panel de detalles del usuario haciendo doble clic en un usuario en el panel Usuarios. En el panel de detalles, puede ver la siguiente información:
Pestaña Perfil de usuario
- Nombre y título: nombre y título de posición para el usuario desde Microsoft Entra id. Estos campos de usuario se anonimizan o están vacíos si habilita la configuración de anonimización global para Insider Risk Management.
- Detalles del usuario: muestra si el usuario es un posible usuario de alto impacto o si el usuario está en grupos de usuarios prioritarios.
- Resumen de alertas y actividades: muestra las alertas de usuario activas y los casos abiertos.
- Correo electrónico del usuario: Email dirección del usuario.
- Alias: alias de red para el usuario.
- Organización o departamento: organización o departamento para el usuario.
- Ámbito: muestra la asignación en el ámbito del usuario a las directivas.
Pestaña Actividad de usuario
- Historial de la actividad reciente del usuario: muestra tanto los indicadores desencadenantes como los indicadores de riesgo interno para las actividades de riesgo hasta los últimos 90 días. También se puntuan todas las actividades de riesgo pertinentes para los indicadores de riesgo internos, aunque las actividades podrían haber generado o no una alerta de riesgo interno. Los ejemplos de indicadores desencadenantes pueden ser una fecha de renuncia o la última fecha de trabajo programada para el usuario. Los indicadores de riesgo internos son actividades que se determinan para tener un elemento de riesgo, que podría dar lugar a un incidente de seguridad, y se definen en las directivas en las que se incluye el usuario. Las actividades de evento y riesgo se enumeran en primer lugar con el elemento más reciente.
Uso de Copilot para resumir las actividades del usuario (versión preliminar)
Seleccione Resumir con Copilot en el panel de detalles del usuario para resumir rápidamente las actividades de los usuarios que podrían necesitar más investigación. Al resumir las actividades de riesgo del usuario con Microsoft Copilot en Microsoft Purview, aparece un panel de Copilot en el lado derecho de la pantalla con un resumen de usuario.
El resumen de usuario incluye detalles esenciales, como el nombre del usuario, el título, el nombre principal del usuario, el historial de alertas y casos y los principales factores de riesgo. Los principales factores de riesgo proporcionan información crucial sobre los roles de usuario, los permisos, la participación en actividades de filtración, los patrones secuenciales o cualquier comportamiento inusual. Esta vista le ayuda a identificar los usuarios que podrían suponer el mayor riesgo interno para su organización.
Las solicitudes sugeridas se enumeran automáticamente para ayudar a refinar aún más el resumen y para ayudar a proporcionar información adicional sobre las actividades asociadas con el usuario. Elija entre los siguientes avisos sugeridos:
- Enumere todas las actividades de filtración de datos que implican a este usuario.
- Enumere todas las actividades secuenciales que implican a este usuario.
- ¿El usuario ha incurrido en algún comportamiento inusual?
- Mostrar las acciones clave realizadas por el usuario en los últimos 10 días.
- Resuma los últimos 30 días de actividad del usuario.
Sugerencia
También puede usar la versión independiente de Microsoft Security Copilot para investigar la administración de riesgos internos, la prevención de pérdida de datos (DLP) de Microsoft Purview y las alertas de Microsoft Defender XDR.
Eliminación de usuarios de la asignación en el ámbito a las directivas
Es posible que tenga que dejar de asignar puntuaciones de riesgo a un usuario en directivas de Insider Risk Management. Use Detener actividad de puntuación para los usuarios en el panel Usuarios para dejar de asignar puntuaciones de riesgo a un usuario de todas las directivas de Insider Risk Management para las que están actualmente en el ámbito. Esta acción no quita al usuario de la asignación de directiva general (al agregar usuarios o grupos a una configuración de directiva), sino que simplemente quita al usuario del procesamiento activo por directivas después de los eventos desencadenantes actuales. Si el usuario tiene otro evento desencadenante en el futuro, las puntuaciones de riesgo de las directivas comienzan a asignarse automáticamente al usuario de nuevo. Las alertas o casos existentes para este usuario no se quitan.
Eliminación de un usuario del estado dentro del ámbito en todas las directivas de Insider Risk Management
- Inicie sesión en el portal de Microsoft Purview con una cuenta de administrador en su organización de Microsoft 365.
- Vaya a la solución de Administración de riesgos internos.
- Seleccione Usuarios en el panel de navegación izquierdo.
- En el panel Usuarios, seleccione los usuarios para los que desea detener la actividad de puntuación.
- Seleccione Detener actividad de puntuación para los usuarios.
Nota:
La eliminación de un usuario del estado dentro del ámbito puede tardar varios minutos. Cuando se completa el proceso, el usuario no aparece en el panel Usuarios. Si el usuario eliminado tiene alertas o casos activos, el usuario permanece en el panel Usuarios y los detalles del usuario muestran que ya no están en el ámbito de una directiva.
Ejecución de tareas automatizadas con flujos de Power Automate para un usuario
Con los flujos recomendados de Power Automate, los investigadores y analistas de riesgos pueden tomar medidas rápidamente para notificar a los usuarios cuando se agregan a una directiva de riesgo interno.
Para ejecutar, administrar y crear flujos de Power Automate para los usuarios de Insider Risk Management:
- Seleccione Automatizar en la barra de herramientas de acciones del usuario.
- Elija el flujo de Power Automate que se va a ejecutar y, a continuación, seleccione Ejecutar flujo.
- Una vez completado el flujo, seleccione Listo.
Para obtener más información sobre los flujos de Power Automate para Insider Risk Management, consulte Introducción a la configuración de Insider Risk Management.