Partilhar dados de gestão de riscos internos com outras soluções

Importante

A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Pode partilhar dados da gestão de riscos internos de qualquer uma das seguintes formas:

• Exportar informações de alerta para soluções SIEM
• Partilhar níveis de gravidade de risco do utilizador com alertas de prevenção de perda de dados (DLP) do Microsoft Defender XDR e Do Microsoft Purview

Exportar informações de alerta para soluções SIEM

As informações de alerta da Gestão de Riscos Internos do Microsoft Purview são exportáveis para soluções de gestão de informações e eventos de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR) através do esquema da API de Atividade de Gestão do Office 365. Pode utilizar as APIs de Atividade de Gestão do Office 365 para exportar informações de alerta para outras aplicações que a sua organização possa utilizar para gerir ou agregar informações de risco interno. As informações de alerta são exportadas e disponíveis a cada 60 minutos através das APIs de Atividade de Gestão do Office 365.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Se a sua organização utilizar o Microsoft Sentinel, também pode utilizar o conector de dados de gestão de riscos internos inativos para importar informações de alerta de risco interno para o Sentinel. Para obter mais informações, veja Gestão de Riscos Internos no artigo do Microsoft Sentinel.

Importante

Para manter a integridade referencial dos utilizadores que têm alertas ou casos de risco interno no Microsoft 365 ou noutros sistemas, a anonimização dos nomes de utilizador não é preservada para alertas exportados ao utilizar a API de exportação ou ao exportar para soluções de Deteção de Dados Eletrónicos do Microsoft Purview. Neste caso, os alertas exportados apresentarão nomes de utilizador para cada alerta. Se estiver a exportar para ficheiros CSV a partir de alertas ou casos, a anonimização é preservada.

Utilizar as APIs para rever informações de alertas de risco interno

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Definições no canto superior direito da página.
3. Selecione Gestão de Riscos Internos para aceder às definições de gestão de riscos internos.
4. Selecione Exportar alertas. Por predefinição, esta definição está desativada para a sua organização do Microsoft 365.
5. Mude a definição para Ativado.
6. Filtre as atividades de auditoria comuns do Office 365 por SecurityComplianceAlerts.
7. Filtre SecurityComplianceAlerts pela categoria InsiderRiskManagement .

Portal de Conformidade

1. Entre no Portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Selecione o botão Definições .

3. Selecione Exportar alertas. Por predefinição, esta definição está desativada para a sua organização do Microsoft 365.

4. Mude a definição para Ativado.

5. Filtre as atividades de auditoria comuns do Office 365 por SecurityComplianceAlerts.

6. Filtre SecurityComplianceAlerts pela categoria InsiderRiskManagement .

   

As informações de alerta contêm informações do esquema Alertas de Segurança e Conformidade e do esquema comum da API de Atividade de Gestão do Office 365 .

Os seguintes campos e valores são exportados para alertas de gestão de riscos internos para o esquema Alertas de Segurança e Conformidade:

Parâmetro de alerta	Descrição
AlertType	O tipo de alerta é Personalizado.
AlertId	O GUID do alerta. Os alertas de gestão de riscos internos são mutáveis. À medida que o estado do alerta muda, é gerado um novo registo com o mesmo AlertID. Este AlertID pode ser utilizado para correlacionar atualizações para um alerta.
Categoria	A categoria do alerta é InsiderRiskManagement. Esta categoria pode ser utilizada para distinguir destes alertas de outros alertas de segurança e conformidade.
Comments	Comentários predefinidos para o alerta. Os valores são Novo Alerta (registado quando é criado um alerta) e Alerta Atualizado (registado quando existe uma atualização para um alerta). Utilize o AlertID para correlacionar as atualizações de um alerta.
Data	Os dados do alerta incluem o ID de utilizador exclusivo, o nome principal de utilizador e a data e hora (UTC) quando o utilizador foi acionado numa política.
Nome	Nome da política para a política de gestão de riscos internos que gerou o alerta.
PolicyId	O GUID da política de gestão de riscos internos que acionou o alerta.
Severity	A gravidade do alerta. Os valores são Alto, Médio ou Baixo.
Source	A origem do alerta. O valor é Conformidade & de Segurança do Office 365.
Status	O estado do alerta. Os valores estão Ativos (Precisa de Revisão no risco interno), Investigação (Confirmado em risco interno), Resolvido (Resolvido em risco interno), Dispensado (Dispensado em risco interno).
Versão	A versão do esquema Alertas de Segurança e Conformidade.

Os seguintes campos e valores são exportados para alertas de gestão de riscos internos para o esquema comum da API de Atividade de Gestão do Office 365.

• UserId
• Id
• RecordType
• CreationTime
• Operação
• OrganizationId
• UserType
• UserKey

Partilhar níveis de gravidade de risco do utilizador com alertas do Microsoft Defender XDR e DLP

Pode partilhar níveis de gravidade de risco do utilizador a partir da gestão de riscos internos para trazer contexto de utilizador exclusivo para alertas de prevenção de perda de dados (DLP) do Microsoft Defender XDR e Do Microsoft Purview. A gestão de riscos internos analisa as atividades dos utilizadores durante um período de 90 a 120 dias e procura comportamentos anómalos durante esse período de tempo. Adicionar estes dados a alertas DLP e XDR do Microsoft Defender melhora os dados disponíveis nessas soluções para ajudar os analistas a priorizar alertas.

O que acontece quando partilha níveis de gravidade de risco interno do utilizador da gestão de riscos internos?

No Microsoft Defender XDR

• Página Incidentes DLP: é adicionado um campo de gravidade de risco Interno à secção Ativos afetados da página Incidentes DLP do Microsoft Defender para utilizadores com um nível de risco Alto ou Médio na gestão de riscos internos. Se o utilizador tiver um nível de baixo risco, nada é adicionado à página Incidentes. Isto mantém as distrações no mínimo para os analistas, para que possam concentrar-se nas atividades de utilizador mais arriscadas.

  Pode selecionar o nível de risco na secção Ativos afetados para ver um resumo da atividade de risco interno e a linha cronológica da atividade desse utilizador. Ter até 120 dias de análise pode ajudar o analista a determinar o risco geral das atividades do utilizador.

  Se selecionar o evento DLP na página de correspondência da política DLP, é apresentada uma secção Entidades afetadas na secção correspondência da política DLP que mostra todos os utilizadores que correspondem à política.

• Página Utilizadores: é adicionado um campo de gravidade de risco Interno à página Utilizadores para utilizadores com um nível de risco Alto, Médio ou Baixo na gestão de riscos internos. Estes dados estão disponíveis para todos os utilizadores com um alerta de gestão de risco interno ativo.

  É apresentado um resumo da atividade de risco interno e uma linha cronológica de atividade para esse utilizador no lado direito da página Utilizadores.

Em alertas DLP

• Para a política de gestão de riscos internos associada ao alerta DLP, é adicionada uma coluna de gravidade de risco Interno com valores de Alto, Médio, Baixo ou Nenhum à fila de alertas DLP. Se existirem vários utilizadores com atividades que correspondam à política, será apresentado o utilizador com o nível de risco interno mais elevado.

  Um valor de Nenhum pode significar qualquer um dos seguintes:

  • O utilizador não faz parte de nenhuma política de gestão de riscos internos.

  • O utilizador faz parte de uma política de gestão de riscos internos, mas não fez atividades de risco para se colocar no âmbito da política (não existem dados de transferência de dados não autorizadas).

• Pode selecionar o nível de risco interno na fila de alertas DLP para aceder ao separador Resumo da atividade do utilizador , que mostra uma linha cronológica de todas as atividades de exfiltração desse utilizador nos últimos 90 a 120 dias. Tal como na fila de alertas DLP, o separador Resumo da atividade do utilizador mostra o utilizador com o nível de risco interno mais elevado. Este contexto aprofundado sobre o que um utilizador fez nos últimos 90 a 120 dias fornece uma visão mais ampla dos riscos apresentados por esse utilizador.

  Apenas os dados de indicadores de exfiltração são apresentados no resumo da atividade do utilizador. Os dados de outros indicadores confidenciais, como RH, navegação, etc., não são partilhados com alertas DLP.

• É adicionada uma secção Detalhes do ator à página de detalhes do Alerta DLP. Pode utilizar esta página para ver todos os utilizadores envolvidos no alerta DLP específico. Para cada utilizador envolvido no alerta DLP, pode ver todas as atividades de exfiltração dos últimos 90 a 120 dias.

• Se selecionar o botão Obter um resumo do Copilot for Security num alerta DLP, o resumo do alerta fornecido pela Microsoft Copilot for Security inclui o nível de gravidade da gestão de riscos internos, além das informações de resumo DLP, se o utilizador estiver no âmbito de uma política de gestão de riscos internos.

  Dica

  Também pode utilizar o Copilot for Security para investigar alertas DLP. Se a definição De partilha de dados da gestão de riscos internos estiver ativada, pode efetuar uma investigação combinada de gestão de riscos internos/DLP. Por exemplo, poderá querer começar por pedir ao Copilot para resumir um alerta DLP e, em seguida, pedir ao Copilot para mostrar o nível de risco interno associado ao utilizador sinalizado no alerta. Em alternativa, poderá querer perguntar por que motivo o utilizador é considerado um utilizador de alto risco. As informações de risco do utilizador neste caso provêm da gestão de riscos internos. O Copilot for Security integra totalmente a gestão de riscos internos com o DLP para ajudar nas investigações. Saiba mais sobre como utilizar a versão autónoma do Copilot para investigações combinadas de gestão de riscos DLP/insider.

Pré-requisitos

Para partilhar níveis de risco de utilizadores de gestão de riscos internos com alertas de DLP e XDR do Microsoft Defender, o utilizador:

• Tem de fazer parte de uma política de gestão de riscos internos.
• Tem de ter realizado atividades de exfiltração que coloquem o utilizador no âmbito da política.
• Tem de ter permissões de alerta DLP. Após a definição Partilha de dados estar ativada, os utilizadores com permissões de alerta DLP podem aceder ao contexto de gestão de riscos internos para a investigação de alertas DLP e para a página Utilizadores do Microsoft Defender XDR. Os utilizadores com permissões de gestão de riscos internos também podem aceder a estes dados.

Dica

Se tiver acesso a alertas DLP no Microsoft Purview e/ou no Microsoft Defender, pode ver o contexto do utilizador da gestão de riscos internos partilhado com essas soluções.

Partilhar dados com alertas de DLP e XDR do Microsoft Defender

Pode partilhar níveis de gravidade de risco do utilizador da gestão de riscos internos com os alertas XDR e DLP do Microsoft Defender ao ativar uma única definição.

1. Nas definições de gestão de riscos internos, selecione a definição Partilha de dados .
2. Na secção Partilhar dados com o Microsoft Defender XDR (pré-visualização), ative a definição.

Observação

Se não ativar esta definição, o valor apresentado na coluna DLP alertas de gravidade de risco interno é "Os dados do utilizador não estão disponíveis".

Confira também

• Investigar alertas de prevenção de perda de dados com o Microsoft 365 Defender XDR
• Saiba mais sobre como investigar alertas de prevenção de perda de dados
• Introdução ao dashboard alertas de prevenção de perda de dados