Melhores práticas para gerir o volume de alertas na gestão de riscos internos

Importante

A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Rever, investigar e agir sobre alertas internos potencialmente arriscados são partes importantes da minimização dos riscos internos na sua organização. Tomar medidas rápidas para minimizar o impacto destes riscos pode potencialmente poupar tempo, dinheiro e ramificações regulamentares ou legais para a sua organização. Neste processo de remediação, o primeiro passo de revisão de alertas pode parecer a tarefa mais difícil para muitos analistas e investigadores.

Este artigo fornece melhores práticas para gerir o volume de alertas na sua organização para que não tenha demasiados ou poucos alertas. Para um debate geral sobre como os alertas são gerados e as ferramentas para gerir alertas, veja Investigar atividades de risco interno.

Poucos alertas a rever

Se estiver a receber poucos alertas de gestão de riscos internos:

• Atualize as suas definições: As alterações efetuadas às definições aplicam-se globalmente a todas as suas políticas.

  • Ativar mais indicadores: Selecionar mais indicadores dá às suas políticas um grupo maior de atividades para detetar.

    Como: Aceda aIndicadores de políticade definições> e, em seguida, ative todos os indicadores disponíveis e relevantes.

  • Ajuste o controlo de deslize Volume de alerta: Utilize este controlo de deslize para ver todos os alertas de gravidade média e alta e a maioria dos alertas de gravidade baixa. Nota: Ajustar o controlo de deslize pode resultar em mais falsos positivos.

    Como: Aceda a Definições Deteções>>inteligentesVolume de alerta e, em seguida, mova o controlo de deslize para Mais alertas.

• Modificar a política: Identifique a política que não está a gerar alertas suficientes e, em seguida, considere as seguintes ações:

  • Aumente a cobertura do utilizador na política: As políticas com poucos utilizadores incluídos no âmbito são menos propensas a gerar alertas. Se aplicável, considere aumentar o número de utilizadores no âmbito da sua política.

    Como: Selecione uma política específica na página Políticas , selecione Editar política e, em seguida, aceda à página Utilizadores e grupos para aumentar o número de utilizadores no âmbito.

  • Reduza os limiares do acionador: As políticas baseadas nos modelos Fugas de dados e Utilização de Browsers de Risco (pré-visualização) permitem-lhe personalizar alguns limiares de acionador. Estes limiares definem quando irá começar a detetar atividades de utilizador. Se reduzir os limiares de acionador, reduz os critérios para que um utilizador comece a ser avaliado quanto à atividade de risco. Nota: Se um utilizador não aparecer na página Utilizadores e grupos , significa que o acionamento de critérios de evento ainda não foi cumprido.

    Como: Aceda à política específica na página Políticas , selecione Editar política, aceda à página Limiares de acionador , selecione a opção Utilizar limiares personalizados e, em seguida, ajuste os limiares.

  • Adicionar mais indicadores: Os indicadores são as atividades que um utilizador tem de fazer para ser considerado arriscado. Se não tiver muitos indicadores (atividades consideradas arriscadas) selecionados na sua política, é menos provável que sejam gerados alertas.

    Como: Aceda à política específica na página Políticas , selecione Editar política, aceda à página Indicadores e, em seguida, selecione mais indicadores.

  • Limiares de indicadores mais baixos: Depois de os utilizadores começarem a ser avaliados (têm um evento de acionamento), só será gerado um alerta para esses utilizadores se realizarem atividades acima de um determinado limiar que possam indicar que a respetiva atividade é arriscada. A redução dos limiares de indicador reduzirá o limiar que os utilizadores têm de ultrapassar para gerar um alerta.

    Como: Aceda à política específica na página Políticas , selecione Editar política, aceda à página Limiares de indicadores , selecione a opção Personalizar limiares e, em seguida, defina os seus limiares. Saiba mais sobre as recomendações de limiar de indicador

Demasiados alertas para rever

Se estiver a receber demasiados alertas válidos ou tiver demasiados alertas de baixo risco obsoletos, considere efetuar as seguintes ações:

• Ativar análise: Ativar a análise pode ajudá-lo a identificar rapidamente potenciais áreas de risco para os seus utilizadores e ajudar a determinar o tipo e o âmbito das políticas de gestão de riscos internos que poderá querer configurar.

  Como: Aceda a Análise de Definições>.

• Obter informações em tempo real: Também pode obter informações em tempo real da análise se quiser tirar partido das recomendações de limiar. Estas informações podem ajudá-lo a ajustar eficientemente a seleção de indicadores e limiares de ocorrência de atividade, para que não receba demasiados alertas de política.

  Como: Veja Utilizar a análise em tempo real para ajudar a gerir o volume de alertas.

• Ajuste as políticas: Selecionar e configurar a política de risco interno correto é o método mais básico para abordar o tipo e o volume de alertas. Começar com o modelo de política adequado ajuda a focar os tipos de atividades de risco e alertas que vê. Outros fatores que podem afetar o volume de alertas são o tamanho do utilizador e grupos no âmbito e os conteúdos e canais priorizados. Considere ajustar as políticas para refinar estas áreas para o que é mais importante para a sua organização.

  Como: Selecione uma política específica na página Políticas e, em seguida, selecione Editar política.

• Modifique as definições de risco interno: As definições de risco interno incluem uma grande variedade de opções de configuração que podem afetar o volume e os tipos de alertas que recebe. Confirme que revê e compreende as seguintes definições para filtrar o ruído de alerta:

  • Indicadores de política e limiares de indicadores
  • Exclusões globais
  • Grupos de deteção
  • Variantes de indicadores incorporados
  • Detecções inteligentes.
  • Períodos de tempo de política

• Ativar a personalização de alertas inline: Ativar a personalização de alertas inline permite que analistas e investigadores editem rapidamente políticas ao rever alertas. Podem atualizar limiares de deteção de atividade com recomendações da Microsoft, configurar limiares personalizados ou optar por ignorar o tipo de atividade que criou o alerta. Se esta opção não estiver ativada, apenas os utilizadores atribuídos ao grupo de funções Gestão de Riscos Internos podem utilizar a personalização de alertas inline.

  Como: Aceda a DefiniçõesPersonalização de alertas> inline.

• Alertas de eliminação em massa, quando aplicável: Pode ajudar a poupar tempo de triagem para os seus analistas e investigadores dispensarem imediatamente múltiplos alertas em massa. Pode selecionar até 400 alertas para dispensar de uma só vez.

Gerir restrições de recursos na sua organização

Os utilizadores modernos do local de trabalho têm muitas vezes uma grande variedade de responsabilidades e exigências no seu tempo. Existem várias ações que pode efetuar para ajudar a resolver as restrições de recursos:

• Concentre os esforços dos analistas e investigadores nos alertas de maior risco primeiro: Consoante as suas políticas, pode estar a capturar atividades de utilizador e a gerar alertas com diferentes graus de impacto potencial nos seus esforços de mitigação de riscos. Filtre alertas por gravidade e priorize alertas de Gravidade elevada .
• Utilizar o Microsoft Copilot: pode utilizar o Microsoft Copilot no Microsoft Purview para resumir um alerta sem sequer o abrir. Isto pode acelerar a experiência de triagem.
• Atribua utilizadores como analistas e investigadores: Ter o utilizador certo atribuído às funções adequadas é uma parte importante do processo de revisão de alertas de risco interno. Certifique-se de que atribuiu os utilizadores adequados aos grupos de funções Insider Risk Management Analysts e Insider Risk Management Researchers .
• Utilize funcionalidades automatizadas de risco interno para ajudar a detetar as atividades de maior risco:
  • Utilize a deteção de sequência de gestão de riscos internos e a deteção cumulativa de exfiltração para descobrir rapidamente riscos mais difíceis de encontrar na sua organização.
  • Considere ajustar os seus impulsionadores de classificação de risco e utilizar exclusões globais, grupos de deteção e variantes.
  • Ajuste as definições de limiar de indicador mínimo para as suas políticas.

Confira também

Investigar atividades de gestão de riscos internos