Saiba mais sobre evidências forenses de gerenciamento de risco interno
Importante
As evidências forenses são um recurso de complemento opt-in no Insider Risk Management que fornece às equipes de segurança insights visuais sobre possíveis incidentes de segurança de dados internos, com privacidade do usuário interna. As evidências forenses incluem gatilhos de eventos personalizáveis e controles internos de proteção de privacidade do usuário, permitindo que as equipes de segurança investiguem, entendam e respondam melhor a possíveis riscos de dados internos, como a exfiltração de dados não autorizados de dados confidenciais.
As organizações definem as políticas certas para si mesmas, incluindo quais eventos arriscados são de maior prioridade para capturar evidências forenses e quais dados são mais confidenciais. As evidências forenses estão desativadas por padrão, a criação de política requer autorização dupla e os nomes de usuário podem ser mascarados com pseudonymization (que está ativado por padrão para o Insider Risk Management). A configuração de políticas e a revisão de alertas de segurança no Insider Risk Management aproveita o RBAC (controles de acesso baseados em função) fortes, garantindo que os indivíduos designados na organização estejam tomando as ações certas com recursos adicionais de auditoria.
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
Ter contexto visual é crucial para que as equipes de segurança durante investigações forenses obtenham melhores informações sobre atividades de usuário potencialmente arriscadas relacionadas à segurança. Com gatilhos de evento personalizáveis e controles internos de proteção de privacidade do usuário, as evidências forenses permitem a captura de atividades visuais personalizáveis entre dispositivos para ajudar sua organização a reduzir, entender e responder melhor a possíveis riscos de dados, como exfiltração de dados não autorizados de dados confidenciais. Você define as políticas certas para sua organização, incluindo quais eventos arriscados são a maior prioridade para capturar evidências forenses, quais dados são mais confidenciais e se os usuários são notificados quando a captura forense é ativada. A captura de evidências forenses está desativada por padrão e a criação de política requer autorização dupla.
Dica
Comece a usar Microsoft Copilot para Segurança para explorar novas maneiras de trabalhar de forma mais inteligente e rápida usando a potência da IA. Saiba mais sobre Microsoft Copilot para Segurança no Microsoft Purview.
Recursos de recursos
- A captura visual permite que as organizações capturem clipes das principais atividades de usuário relacionadas à segurança, permitindo visibilidade mais segura ou compatível e atendendo às necessidades organizacionais.
- Inclua ou exclua aplicativos de área de trabalho e/ou sites para configurar uma política de gravação que se concentre nos aplicativos e sites que apresentam mais risco. Isso preserva o espaço de armazenamento e a privacidade do usuário. Por exemplo, exclua contas de email pessoal e de mídia social.
- A proteção de phishing aprimorada (versão prévia) permite que as organizações capturem clipes relacionados à Proteção Avançada de Phishing no Microsoft Defender SmartScreen. Por exemplo, você pode capturar quando um usuário insere a senha da Microsoft usada para entrar em seu dispositivo Windows 11 em um site de phishing ou aplicativo que se conecta a um site de phishing. Saiba mais sobre proteção avançada contra phishing no SmartScreen Microsoft Defender
- Privacidade protegida do usuário por meio de vários níveis de aprovação para a ativação do recurso de captura.
- Gatilhos personalizáveis e opções de captura significam que as equipes de segurança podem configurar evidências forenses para atender às suas necessidades, seja com base em incidentes (por exemplo, Capturar 5 minutos antes e 10 minutos depois que um usuário tiver baixado 'SecretResearchPlans.docx') ou com base nas necessidades de captura contínuas.
- O direcionamento de política centrado no usuário significa que as equipes de segurança e conformidade podem se concentrar na atividade do usuário, não do dispositivo, para obter melhores informações contextuais.
- Controles de acesso baseados em função forte (RBAC) significam que a capacidade de configurar e revisar clipes forenses é fortemente controlada e disponível apenas para indivíduos na organização com as permissões certas.
- Integração profunda com os recursos atuais de gerenciamento de risco interno, facilitando a integração e fluxos de trabalho mais familiares para administradores de gerenciamento de riscos internos e uma abordagem confiável de plataforma única.
- Capacidade de avaliação (até 20 GB) para clipes capturados, com acesso rápido à utilização da capacidade e capacidade de compra de capacidade adicional.
Requisitos de dispositivo e configuração
As tabelas a seguir incluem os requisitos mínimos suportados para utilizar evidências forenses de gerenciamento de risco interno.
Plataformas compatíveis
| Sistema operacional | SKU | Processador |
|---|---|---|
| Windows 10 | Empresa | 64 bits (Intel ou AMD) |
| Windows 11 | Empresa | 64 bits (Intel ou AMD) |
Dispositivos físicos
| Hardware | Requisitos mínimos |
|---|---|
| RAM | Mínimo de 8 GB (pelo menos 2 GB devem estar disponíveis para uso do cliente |
| Processador de CPU | Intel i5 ou superior e AMD Ryzen 5 ou superior |
| Gráficos cartão | Compatível com o DirectX 11 ou posterior, com um driver WDDM 1.0 ou posterior (atualmente, há suporte apenas para placas gráficas integradas) |
| Espaço em disco | Mínimo de 10 GB de armazenamento em disco |
| Exibir | Resolução de tela mínima de 1920 x 1080 |
Máquinas virtuais e hiper-V
| Hardware | Requisitos mínimos |
|---|---|
| RAM | Mínimo de 16 GB (pelo menos 2 GB devem estar disponíveis para uso do cliente) |
| Processador de CPU | Mínimo de oito processadores vCPU ou equivalentes |
| Espaço em disco | Mínimo de 10 GB de armazenamento em disco |
| Exibir | Resolução de tela mínima de 1920 x 1080 |
Importante
Se os requisitos mínimos não forem atendidos, os usuários provavelmente encontrarão problemas de cliente do Microsoft Purview e a qualidade das capturas forenses pode não ser confiável.
Opções de captura
Disparar eventos, indicadores globais e indicadores de política desempenham um papel importante em todas as políticas de gerenciamento de riscos internos, incluindo políticas de evidências forenses. Disparar eventos são ações de usuário que determinam se os usuários são colocados no escopo para avaliação em políticas de gerenciamento de risco interno. Os indicadores de configurações globais são usados para determinar quais atividades são coletadas pelo gerenciamento de risco interno. Os indicadores de política são usados para determinar uma pontuação de risco para um usuário no escopo.
Dependendo de como sua organização decide configurar evidências forenses, há duas opções de captura:
- Atividades específicas: essa opção de política captura a atividade somente quando um evento de gatilho colocou um usuário aprovado no escopo da política de evidências forenses e quando as condições de um indicador de política são detectadas para o usuário. Por exemplo, um usuário aprovado para captura de evidências forenses é trazido no escopo para a política de evidências forenses e o usuário copia dados para serviços de armazenamento em nuvem pessoais ou dispositivos de armazenamento portáteis. A captura é escopo apenas para o período configurado quando o usuário está copiando os dados para o serviço de armazenamento em nuvem pessoal ou dispositivo de armazenamento portátil. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses no dashboard alertas.
- Todas as atividades: essa opção de política captura qualquer atividade executada pelos usuários. Por exemplo, sua organização tem uma necessidade sensível ao tempo para capturar atividades para um usuário aprovado que está ativamente envolvido em atividades potencialmente arriscadas que podem levar a um incidente de segurança. Os indicadores de política podem não ter atingido o limite para que um alerta seja gerado pela política e a atividade potencialmente arriscada pode não estar documentada. A ajuda de captura contínua impede que a atividade potencialmente arriscada seja perdida ou não detectada. As capturas para essa opção estarão disponíveis para revisão na guia Evidências forenses nos relatórios de atividade do usuário (versão prévia) dashboard.
Importante
Os clipes de evidências forenses são excluídos 120 dias após serem capturados ou no final do período de visualização, o que for mais cedo. Você pode baixar ou transferir clipes de evidências forenses antes que eles sejam excluídos.
Fluxo de trabalho
O fluxo de trabalho geral para detectar, investigar e corrigir alertas que contêm captura de clipe segue as mesmas etapas básicas que outras políticas de gerenciamento de risco interno. No entanto, há algumas diferenças notáveis para evidências forenses quando configuradas em sua organização:
- Os usuários sujeitos à captura devem ter solicitações e aprovações de captura explícitas: este é um processo extra não incluído como parte da configuração de outras políticas de gerenciamento de risco interno. Os usuários atribuídos aos grupos de função Insider Risk Management ou Insider Risk Management Admins devem enviar uma solicitação aos usuários atribuídos ao grupo de funções Aprovadores de Gerenciamento de Riscos Internos antes que qualquer usuário em sua organização seja qualificado para qualquer opção de captura de clipe. Por exemplo, esse requisito ajuda a dar suporte a cenários organizacionais em que seus administradores de gerenciamento de risco interno devem obter aprovação explícita do pessoal de recursos humanos ou legais designados antes que a captura para qualquer usuário esteja habilitada.
- Os dispositivos devem ser integrados e ter o cliente do Microsoft Purview instalado: antes que as evidências forenses possam coletar e armazenar clipes capturados para usuários qualificados, seus dispositivos devem ser integrados ao portal de conformidade do Microsoft Purview. Além disso, cada dispositivo deve ter o Cliente do Microsoft Purview instalado. Esses pré-requisitos habilitam o suporte para captura de dispositivos online e offline.
Pronto para começar?
- Consulte Introdução às evidências forenses de gerenciamento de riscos internos para obter diretrizes passo a passo para configurar a captura de evidências forenses em sua organização.
- Consulte Introdução ao gerenciamento de risco interno para configurar pré-requisitos, criar políticas e começar a receber alertas.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários