Revisar atividades com o log de auditoria de gerenciamento de risco interno
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
O log de auditoria de gerenciamento de risco interno permite que você fique informado sobre as ações executadas em recursos de gerenciamento de risco interno. Esse log permite uma revisão independente das ações tomadas pelos usuários atribuídos a um ou mais grupos de funções de gerenciamento de risco interno. O log de auditoria de gerenciamento de risco interno está habilitado automaticamente em sua organização e não pode ser desabilitado.
O log de auditoria é atualizado automaticamente e imediatamente sempre que ocorrem atividades de risco identificadas detectadas. O log de auditoria retém informações por 180 dias (cerca de seis meses). Após 180 dias, os dados são excluídos permanentemente do log.
As áreas na detecção de atividades de risco identificadas incluem:
- Políticas
- Casos
- Alertas
- Configurações
- Usuários
- Modelos de aviso
Para exibir e exportar dados do log de auditoria, os usuários devem ser atribuídos aos grupos de funções Insider Risk Management ou Insider Risk Management Auditors . Para saber mais sobre grupos de funções de gerenciamento de risco interno, confira Introdução ao gerenciamento de riscos internos Etapa 1: Habilitar permissões.
Observação
O log de auditoria de gerenciamento de risco interno não está associado ao log de auditoria do Microsoft 365, pois são sistemas de auditoria independentes e capturam informações em áreas separadas. Desabilitar a auditoria do Microsoft 365 não afeta a auditoria de atividades no gerenciamento de risco interno.
Dica
Comece a usar Microsoft Copilot para Segurança para explorar novas maneiras de trabalhar de forma mais inteligente e rápida usando a potência da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.
Exibir atividade no log de auditoria de risco interno
Para exibir a atividade de recurso detectada para o gerenciamento de risco interno, navegue até e selecione o link de log de auditoria de risco do Insider na área superior direita de qualquer guia de gerenciamento de risco interno. Por padrão, você verá as seguintes informações exibidas para atividades de gerenciamento de risco interno:
- Atividade: Uma descrição da atividade de risco identificada tomada dentro da solução de gerenciamento de risco interno por um usuário.
- Categoria: A área ou item em que a atividade de risco identificada foi executada. Por exemplo, você verá Políticas como a categoria quando as atividades de alteração de política foram executadas.
- Atividade executada por: O nome de usuário do usuário que realizou a atividade de risco identificada.
- Data: A data e a hora em que a atividade de risco identificada foi executada. A data e a hora são a data e a hora locais para sua organização.
Para obter mais informações sobre uma atividade registrada, selecione a atividade para exibir o painel de detalhes da atividade. Este painel inclui informações adicionais sobre a atividade de risco identificada.
Colunas e filtragem
Para facilitar a revisão de logs de auditoria pelos auditores, há suporte para filtragem no log de auditoria de risco do Insider. Para filtragem básica, as colunas de fila estão disponíveis para adicionar ao modo de exibição para fornecer diferentes pivôs nos arquivos e mensagens. Você pode filtrar as atividades de risco identificadas pelos campos Categoria, Intervalo de Datas e Atividade executadas por campos.
Para adicionar ou remover títulos de coluna para a fila, use o controle Personalizar colunas e selecione nas opções de coluna. Essas colunas mapeiam para condições comuns com suporte no log de auditoria de risco do Insider e são listadas posteriormente neste artigo.
Exportação de log de auditoria
Os usuários atribuídos aos grupos de função Insider Risk Management ou Insider Risk Management Auditores podem exportar a atividade de log de auditoria para um arquivo .csv (valores separados por vírgula) selecionando Exportar na página de log de auditoria de risco do Insider . Dependendo da atividade de log de auditoria, alguns campos podem não ser incluídos na fila filtrada e, portanto, esses campos serão exibidos como em branco no arquivo exportado.
O arquivo contém informações de atividade de log de auditoria para os seguintes campos:
- Atividade executada por: Nome do usuário modificando um valor de item. Os usuários listados aqui foram atribuídos a um ou mais dos seguintes grupos de funções de gerenciamento de risco interno: Gerenciamento de Riscos Internos, Administradores de Gerenciamento de Riscos Internos, Analistas de Gerenciamento de Riscos Internos, Pesquisadores de Gerenciamento de Riscos Internos. Cada grupo de funções tem níveis de permissão diferentes para gerenciar recursos de risco interno.
- Atividade: Tipo de atividade realizada em um item. Os valores são Visualizados, Excluídos, Adicionados, Política Editada, Caso, Usuário, Alerta e Configurações.
- Adicionado: objetos que foram adicionados durante a atividade de risco identificada, como usuários, tipos de arquivo ou domínios.
- Volume de alerta: Nível de volume de alerta definido em configurações de gerenciamento de risco interno.
- Quantidade: valores de indicador personalizado selecionados no momento para uma política.
- ID do ativo: ID do ativo físico prioritário em que a atividade foi executada.
- Categoria: Categoria do item modificado. Os valores são políticas, casos, usuários, alertas, configurações e modelos de aviso.
- Data: Data e hora, listadas na data e hora locais da sua organização.
- Descrição: entrada de descrição do usuário para o objeto que está sendo atuado (como uma política ou um grupo de usuários prioritário).
- Política DLP: a política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) selecionada para disparar a inclusão em uma política de gerenciamento de risco interno.
- Indicador: Indicador nas configurações de risco interno em que a atividade foi executada (como adicionar ou remover um indicador).
- Modelo de aviso: observe o modelo em que a atividade de risco identificada foi executada.
- Número de dias: janela de ativação da política definida em configurações de risco interno.
- Número de arquivos: limite de volume de arquivo definido em configurações de gerenciamento de risco interno.
- Modelo de política: o modelo de política no qual os indicadores agiram pertence.
- Valor anterior: valores de indicador personalizado selecionado anteriormente para uma política.
- Grupo de usuários prioritário: o grupo de usuários prioritário em que a atividade de risco identificada foi executada.
- Removido: objetos que foram removidos durante a atividade de risco identificada, como usuários, tipos de arquivo ou domínios.
- Remetente: campo Remetente do modelo de aviso em que a atividade de risco identificada foi executada.
- Política de destino: a política na qual a atividade de risco identificada foi executada (como adicionar um usuário ou remover um usuário).
- Corpo da mensagem de modelo: o corpo da mensagem do modelo de aviso em que a atividade de risco identificada foi executada.
- Assunto do modelo: o campo de assunto do modelo de aviso em que a atividade de risco identificada foi executada.
- Usuário: Usuário em que a atividade de risco identificada foi executada.