Compartilhar dados de gerenciamento de risco interno com outras soluções
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
Você pode compartilhar dados do gerenciamento de risco interno de qualquer uma das seguintes maneiras:
- Exportar informações de alerta para soluções SIEM
- Compartilhar níveis de gravidade de risco do usuário com alertas de DLP (prevenção contra perda de dados) do Microsoft Defender e do Microsoft Purview
Exportar informações de alerta para soluções SIEM
Gerenciamento de Risco Interno do Microsoft Purview informações de alerta são exportáveis para soluções de SIEM (gerenciamento de eventos e informações de segurança) e resposta automatizada de orquestração de segurança (SOAR) usando o esquema de API de Atividade de Gerenciamento de Office 365. Você pode usar as APIs de Atividade de Gerenciamento Office 365 para exportar informações de alerta para outros aplicativos que sua organização pode usar para gerenciar ou agregar informações de risco interno. As informações de alerta são exportadas e disponíveis a cada 60 minutos por meio das APIs de Atividade de Gerenciamento Office 365.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Se sua organização usar o Microsoft Sentinel, você também poderá usar o conector de dados de gerenciamento de risco interno fora da caixa para importar informações de alerta de risco interno para o Sentinel. Para obter mais informações, consulte O IRM (Insider Risk Management) (versão prévia) no artigo do Microsoft Sentinel.
Importante
Para manter a integridade referencial para usuários que têm alertas ou casos de risco interno no Microsoft 365 ou em outros sistemas, o anonimato de nomes de usuário não é preservado para alertas exportados ao usar a API de exportação ou ao exportar para Descoberta Eletrônica do Microsoft Purview soluções. Os alertas exportados exibirão nomes de usuário para cada alerta nesse caso. Se você estiver exportando para arquivos CSV de alertas ou casos, a anonimização será preservada.
Usar as APIs para examinar informações de alerta de risco interno
Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
- Selecione o botão Configurações no canto superior direito da página.
- Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
- Selecione Exportar alertas. Por padrão, essa configuração está desabilitada para sua organização do Microsoft 365.
- Ative a configuração como Ativado.
- Filtre as atividades comuns de auditoria de Office 365 por SecurityComplianceAlerts.
- Filtrar SegurançaComplianceAlerts pela categoria InsiderRiskManagement.
As informações de alerta contêm informações do esquema alertas de segurança e conformidade e do esquema comum da API de Atividade de Gerenciamento de Office 365.
Os seguintes campos e valores são exportados para alertas de gerenciamento de risco interno para o esquema alertas de segurança e conformidade:
| Parâmetro de alerta | Descrição |
|---|---|
| AlertType | O tipo do alerta é Personalizado. |
| AlertId | O GUID do alerta. Alertas de gerenciamento de risco interno são mutáveis. À medida que o alerta status muda, um novo log com o mesmo AlertID é gerado. Esse AlertID pode ser usado para correlacionar atualizações para um alerta. |
| Categoria | A categoria do alerta é InsiderRiskManagement. Essa categoria pode ser usada para distinguir esses alertas de outros alertas de segurança e conformidade. |
| Comments | Comentários padrão para o alerta. Os valores são Novo Alerta (registrado quando um alerta é criado) e Alerta Atualizado (registrado quando há uma atualização para um alerta). Use o AlertID para correlacionar atualizações para um alerta. |
| Data | Os dados do alerta incluem a ID de usuário exclusiva, o nome da entidade de usuário e a UTC (data e hora) quando o usuário foi acionado em uma política. |
| Nome | Nome da política de gerenciamento de risco interno que gerou o alerta. |
| PolicyId | O GUID da política de gerenciamento de risco interno que disparou o alerta. |
| Severity | A gravidade do alerta. Os valores são altos, médios ou baixos. |
| Source | A origem do alerta. O valor é Office 365 Conformidade de & de Segurança. |
| Status | O status do alerta. Os valores são Ativos (Revisão de Necessidades em risco interno), Investigação (Confirmado em risco interno), Resolvido (Resolvido em risco interno), Descartado (Descartado em risco interno). |
| Versão | A versão do esquema alertas de segurança e conformidade. |
Os seguintes campos e valores são exportados para alertas de gerenciamento de risco interno para o esquema comum da API de Atividade de Gerenciamento Office 365.
- UserId
- Id
- RecordType
- CreationTime
- Operação
- OrganizationId
- UserType
- UserKey
Compartilhar níveis de gravidade de risco do usuário com alertas de Microsoft Defender e DLP
Você pode compartilhar níveis de gravidade de risco do usuário do gerenciamento de risco interno para trazer contexto de usuário exclusivo para alertas de DLP (prevenção contra perda de dados) do Microsoft Purview e do Microsoft Defender. O gerenciamento de risco interno analisa as atividades do usuário durante um período de 90 a 120 dias e procura comportamento anômalo durante esse período de tempo. Adicionar esses dados a alertas Microsoft Defender e DLP aprimora os dados disponíveis nessas soluções para ajudar os analistas a priorizar alertas.
O que acontece quando você compartilha níveis de gravidade de risco do usuário de gerenciamento de risco interno?
Em Microsoft Defender
Um campo de gravidade de risco insider é adicionado à seção Ativos afetados da página incidentes de DLP Microsoft Defender para usuários que têm um nível de risco alto ou médio no gerenciamento de risco interno. Se o usuário tiver um nível de baixo risco, nada será adicionado à página Incidentes. Isso mantém as distrações no mínimo para analistas para que eles possam se concentrar nas atividades de usuário mais arriscadas.
Você pode selecionar o nível de risco na seção Ativos afetados para ver um resumo da atividade de risco interno e linha do tempo de atividade para esse usuário. Ter até 120 dias de análise pode ajudar o analista a determinar o risco geral das atividades do usuário.
Se você selecionar o evento DLP na página de correspondência de política DLP, uma seção entidades impactadas será exibida na seção de correspondência de política DLP que mostra todos os usuários que correspondem à política.
Em alertas DLP
Para a política de gerenciamento de risco interno associada ao alerta DLP, uma coluna de gravidade de risco do Insider com valores de Alto, Médio, Baixo ou Nenhum é adicionada à fila de alertas DLP. Se houver vários usuários que tenham atividades que correspondam à política, o usuário com o nível de risco mais alto será exibido.
Um valor de Nenhum pode significar um dos seguintes:
O usuário não faz parte de nenhuma política de gerenciamento de risco interno.
O usuário faz parte de uma política de gerenciamento de risco interno, mas não fez atividades arriscadas para entrar no escopo da política (não há dados de exfiltração).
Você pode selecionar o nível de risco na fila de alertas DLP para acessar a guia Resumo de atividades do usuário, que mostra um linha do tempo de todas as atividades de exfiltração para esse usuário nos últimos 90-120 dias. Assim como a fila de alertas DLP, a guia Resumo de atividades do usuário mostra o usuário com o nível de risco mais alto. Esse contexto profundo sobre o que um usuário fez nos últimos 90 a 120 dias fornece uma visão mais ampla dos riscos apresentados por esse usuário.
Somente dados de indicadores de exfiltração são mostrados no resumo da atividade do usuário. Os dados de outros indicadores confidenciais, como RH, navegação e assim por diante, não são compartilhados com alertas DLP.
Uma seção detalhes do Ator é adicionada à página de detalhes do Alerta DLP. Você pode usar esta página para ver todos os usuários envolvidos no alerta DLP específico. Para cada usuário envolvido no alerta DLP, você pode exibir todas as atividades de exfiltração nos últimos 90 a 120 dias.
Se você selecionar o botão Obter um resumo do Copilot para Segurança em um alerta DLP, o resumo do alerta fornecido pelo Microsoft Copilot para Segurança inclui o nível de gravidade do gerenciamento de risco interno, além das informações de resumo do DLP, se o usuário estiver no escopo de uma política de gerenciamento de risco interno.
Dica
Você também pode usar Copilot para Segurança para investigar alertas DLP. Se a configuração de compartilhamento de dados de gerenciamento de risco interno estiver ativada, você poderá fazer uma investigação de gerenciamento de risco de DLP/insider combinada. Por exemplo, você pode querer começar solicitando a Copilot para resumir um alerta DLP e, em seguida, pedir a Copilot para mostrar o nível de risco do usuário associado ao usuário sinalizado no alerta. Ou talvez você queira perguntar por que o usuário é considerado um usuário de alto risco. As informações de risco do usuário nesse caso são provenientes do gerenciamento de risco interno. Copilot para Segurança integra perfeitamente o gerenciamento de risco interno ao DLP para ajudar nas investigações. Saiba mais sobre como usar a versão autônoma do Copilot para investigações combinadas de gerenciamento de risco de DLP/insider
Pré-requisitos
Para compartilhar níveis de risco de usuário de gerenciamento de risco interno com alertas de Microsoft Defender e DLP, o usuário:
- Deve fazer parte de uma política de gerenciamento de risco interno.
- Deve ter realizado atividades de exfiltração que tragam o usuário para o escopo da política.
Observação
Se você tiver acesso a alertas DLP no Microsoft Purview e/ou Microsoft Defender, poderá exibir o contexto do usuário do gerenciamento de risco interno compartilhado com essas soluções.
Compartilhar dados com alertas de Microsoft Defender e DLP
Você pode compartilhar níveis de gravidade de risco do usuário de gerenciamento de risco interno com alertas Microsoft Defender e DLP ativando uma única configuração.
- Em configurações de gerenciamento de risco interno, selecione a configuração de compartilhamento de dados .
- Na seção Compartilhamento de dados com Microsoft Defender XDR (versão prévia), ative a configuração.
Observação
Se você não ativar essa configuração, o valor exibido na coluna alertas DLP A gravidade do risco interno será "Os dados do usuário não estão disponíveis".
Confira também
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários