Agir em casos de gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Os casos são o cerne do gerenciamento de riscos internos e permitem que você investigue e atue profundamente sobre problemas gerados por indicadores de risco definidos em suas políticas. Os casos são criados manualmente a partir de alertas em situações em que mais ações são necessárias para resolver um problema relacionado à conformidade de um usuário. Cada caso é escopo para um único usuário e vários alertas para o usuário podem ser adicionados a um caso existente ou a um novo caso.

Depois de investigar os detalhes de um caso, você pode tomar medidas por:

  • Enviar um aviso ao usuário
  • Resolvendo o caso como benigno
  • Compartilhando o caso com sua instância do ServiceNow ou com um destinatário de email
  • Escalando o caso para uma investigação de descoberta eletrônica (Premium)

Confira o vídeo De investigação e escalonamento do Insider Risk Management para obter uma visão geral de como os casos são investigados e gerenciados no gerenciamento de risco interno.

Dica

Se você não for um cliente E5, poderá experimentar todos os recursos premium no Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Painel Cases

O painel Casos de gerenciamento de risco interno permite que você exiba e atue em casos. Cada widget de relatório no painel exibe informações dos últimos 30 dias.

  • Casos ativos: o número total de casos ativos sob investigação.
  • Casos nos últimos 30 dias: o número total de casos criados, classificados pelo status Ativo e Fechado .
  • Estatísticas: tempo médio dos casos ativos, listados em horas, dias ou meses.

A fila de casos lista todos os casos ativos e fechados para sua organização, além do status atual dos seguintes atributos de caso:

  • Nome do caso: o nome do caso, definido quando um alerta é confirmado e o caso é criado.
  • Status: o status do caso, ativo ou fechado.
  • Usuário: o usuário do caso. Se a anonimização para nomes de usuário estiver habilitada, informações anonimizadas serão exibidas.
  • Caso de tempo aberto: o tempo que passou desde que o caso foi aberto.
  • Total de alertas de política: o número de correspondências de política incluídas no caso. Esse número pode aumentar se novos alertas são adicionados ao caso.
  • Caso atualizado pela última vez: o tempo que passou desde que houve uma observação de caso ou alteração adicional no estado do caso.
  • Última atualização por: o nome do analista de gerenciamento de risco interno ou pesquisador que atualizou o caso pela última vez.

Painel casos de gerenciamento de risco interno.

Use o controle Pesquisar para pesquisar nomes de casos para texto específico e usar o filtro de caso para classificar casos pelos seguintes atributos:

  • Status
  • Caso de hora, data de início e data de término
  • Última atualização, data de início e data de término

Filtrar casos

Dependendo do número e do tipo de políticas ativas de gerenciamento de risco interno em sua organização, revisar uma grande fila de casos pode ser um desafio. O uso de filtros de caso pode ajudar analistas e investigadores a classificar casos por vários atributos. Para filtrar alertas no painel Casos, selecione o controle Filtrar . Você pode filtrar casos por um ou mais atributos:

  • Status: selecione um ou mais valores de status para filtrar a lista de casos. As opções são Ativa e Fechada.
  • Caso de tempo aberto: selecione as datas de início e término para quando o caso foi aberto.
  • Última atualização: selecione as datas de início e término para quando o caso foi atualizado.

Investigar um caso

Uma investigação mais profunda sobre alertas de gerenciamento de riscos internos é fundamental para tomar ações corretivas adequadas. Casos de gerenciamento de risco interno são a ferramenta de gerenciamento central para aprofundar o histórico de atividades de risco do usuário, os detalhes do alerta, a sequência de eventos de risco e explorar o conteúdo e as mensagens expostas aos riscos. Analistas de risco e investigadores também usam casos para centralizar comentários e anotações de revisão e processar a resolução de casos.

Selecionar um caso abre as ferramentas de gerenciamento de casos e permite que os analistas e analistas procurem os detalhes dos casos.

Visão geral do caso

A guia Visão geral do caso resume os detalhes do caso para analistas de risco e investigadores. Ele inclui as seguintes informações na área Sobre esse caso

  • Status: o status atual do caso, ativo ou fechado.
  • Caso criado em: a data e a hora em que o caso foi criado.
  • Pontuação de risco do usuário: o nível de risco calculado atual do usuário para o caso. Essa pontuação é calculada a cada 24 horas e usa pontuações de risco de alerta de todos os alertas ativos associados ao usuário. Quando o usuário é detectado como um usuário potencial de alto impacto ou o Usuário é membro de um booster de risco de grupo de usuários prioritário é habilitado como impulsionadores de pontuação de risco na seção Indicadores de política da página Configurações de gerenciamento de risco do Insider , a página Detalhes do usuário inclui informações detalhadas sobre o nível de risco calculado do usuário.
  • Email: o alias de email do usuário para o caso.
  • Organização ou departamento: a organização ou o departamento ao qual o usuário está atribuído.
  • Nome do gerente: o nome do gerenciador do usuário.
  • Email do gerenciador: o alias de email do gerente do usuário.

Detalhes do caso de gerenciamento de risco interno

A guia Visão geral do caso também inclui uma seção Alertas que inclui as seguintes informações sobre alertas de correspondência de política associados ao caso:

  • Correspondências de política: o nome da política de gerenciamento de risco interno associada aos alertas de correspondência para atividades de usuário potencialmente arriscadas que podem levar a um incidente de segurança.
  • Status: status do alerta.
  • Gravidade: gravidade do alerta.
  • Tempo detectado: o tempo que passou desde que o alerta foi gerado.

Alertas

A guia Alertas resume os alertas atuais incluídos no caso. Novos alertas podem ser adicionados a um caso existente e eles serão adicionados à fila de alertas à medida que forem atribuídos. Os seguintes atributos de alerta estão listados na fila:

  • Status
  • Severity
  • Tempo detectado

Selecione um alerta na fila para exibir a página de detalhes alerta .

Use o controle de pesquisa para pesquisar nomes de alerta para texto específico e use o filtro de alerta para classificar casos pelos seguintes atributos:

  • Status
  • Severity
  • Tempo detectado, data de início e data de término

Use o controle de filtro para filtrar alertas por vários atributos, incluindo:

  • Status: selecione um ou mais valores de status para filtrar a lista de alertas. As opções são Confirmado, Descartado, Precisa de revisãoe Resolvido.
  • Gravidade: selecione um ou mais níveis de gravidade do risco de alerta para filtrar a lista de alertas. As opções são Alta, Médiae Baixa.
  • Tempo detectado: selecione as datas de início e término para quando o alerta foi criado.
  • Política: selecione uma ou mais políticas para filtrar os alertas gerados pelas políticas selecionadas.

Atividade do usuário

A guia Atividade do usuário permite que analistas de risco e investigadores examinem os detalhes da atividade do usuário e usem uma representação visual de todas as atividades potencialmente arriscadas associadas a alertas de risco e casos para determinar se essas atividades de risco podem levar a um incidente de segurança. Por exemplo, como parte do processo de triagem de alertas, os analistas podem precisar examinar todas as atividades de risco associadas ao caso para obter mais detalhes. Em casos, os pesquisadores de risco podem examinar os detalhes da atividade do usuário e o gráfico de bolhas para ajudar a entender o escopo geral das atividades de risco associadas ao caso. Para obter mais informações sobre o gráfico de atividades do usuário, consulte o artigo Atividades de gerenciamento de risco do Insider .

Gerenciador de atividades (versão prévia)

A guia Explorador de Atividades permite que analistas de risco e investigadores examinem os detalhes da atividade de caso associados a alertas de risco. Por exemplo, como parte das ações de gerenciamento de casos, os investigadores e analistas podem precisar examinar todas as atividades de risco associadas ao caso para obter mais detalhes. Com o explorador de atividades, os revisores podem examinar rapidamente uma linha do tempo da atividade potencialmente arriscada detectada e identificar e filtrar todas as atividades de risco associadas a alertas.

Para obter mais informações sobre o gerenciador de atividades, consulte o artigo Atividades de gerenciamento de risco do Insider .

Evidência forense (versão prévia)

A guia Evidências forenses (versão prévia) permite que investigadores de risco examinem capturas visuais associadas a atividades de risco incluídas em casos. Por exemplo, como parte das ações de gerenciamento de casos, os investigadores podem precisar ajudar a esclarecer o contexto da atividade do usuário em análise. Exibir os clipes reais da atividade pode ajudar o investigador a determinar se a atividade do usuário é potencialmente arriscada e pode levar a um incidente de segurança.

Para obter mais informações sobre evidências forenses, consulte o artigo Learn about insider risk management forensic evidence .

Explorador de conteúdo

A guia Explorador de Conteúdo permite que os investigadores de risco examinem cópias de todos os arquivos individuais e mensagens de email associadas a alertas de risco. Por exemplo, se um alerta for criado quando um usuário baixar centenas de arquivos do SharePoint Online e a atividade disparar um alerta de política, todos os arquivos baixados para o alerta serão capturados e copiados para o caso de gerenciamento de risco interno de fontes de armazenamento originais.

O Gerenciador de Conteúdo é uma ferramenta poderosa com recursos básicos e avançados de pesquisa e filtragem. Para saber mais sobre como usar o gerenciador de conteúdo, consulte Gerenciador de conteúdo de gerenciamento de riscos do Insider.

Caso de gerenciamento de risco interno Gerenciador de conteúdo.

Observações do caso

A guia Notas de caso no caso é onde analistas de risco e investigadores compartilham comentários, comentários e insights sobre seu trabalho para o caso. As anotações são adições permanentes a um caso e não podem ser editadas ou excluídas após a salvação da nota. Quando um caso é criado a partir de um alerta, os comentários inseridos na caixa de diálogo Confirmar alerta e criar casos de risco para um usuário interno são adicionados automaticamente como uma anotação do caso.

O painel de anotações de caso exibe anotações do usuário que criou a nota e o tempo que passou desde que a nota foi salva. Para pesquisar o campo de texto de anotação de caso para obter uma palavra-chave específica, use o botão Pesquisar no painel de casos e insira uma palavra-chave específica.

Para adicionar uma nota a um caso:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Casos.
  2. Selecione um caso e selecione a guia Notas de caso .
  3. Selecione Adicionar nota de caso.
  4. Na caixa de diálogo Adicionar nota de caso , digite sua nota para o caso. Selecione Salvar para adicionar a nota ao caso ou selecione Cancelar fechar sem salvar a nota no caso.

Colaboradores

Os Colaboradores no caso é onde analistas e analistas de risco podem adicionar outros revisadores ao caso. Por padrão, todos os usuários atribuídos às funções Insider Risk Management Analysts e Insider Risk Management Investigators são listados como colaboradores para cada caso ativo e fechado. Somente os usuários atribuídos à função Insider Risk Management Investigators têm permissão para exibir arquivos e mensagens no Gerenciador de Conteúdo.

O acesso temporário a um caso pode ser concedido adicionando um usuário como colaborador. Os colaboradores têm todo o controle de gerenciamento de casos no caso específico, exceto:

  • Permissão para confirmar ou descartar alertas
  • Permissão para editar os colaboradores para casos
  • Permissão para exibir arquivos e mensagens no Gerenciador de Conteúdo

Para adicionar um colaborador a um caso:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Casos.
  2. Selecione um caso e selecione a guia Colaboradores .
  3. Selecione Adicionar colaborador.
  4. Na caixa de diálogo Adicionar colaborador , comece a digitar o nome do usuário que você deseja adicionar e selecione o usuário na lista de usuários sugerida. Essa lista é gerada a partir do Azure Active Directory de sua assinatura de locatário.
  5. Selecione Adicionar para adicionar o usuário como colaborador ou selecione Cancelar fechar a caixa de diálogo sem adicionar o usuário como colaborador.

Ações de casos

Os pesquisadores de risco podem agir em um caso em um dos vários métodos, dependendo da gravidade do caso, do histórico de risco do usuário e das diretrizes de risco da sua organização. Em algumas situações, talvez seja necessário escalar um caso para um usuário ou investigação de dados para colaborar com outras áreas da sua organização e aprofundar-se nas atividades de risco. O gerenciamento de risco interno está fortemente integrado a outras soluções do Microsoft Purview para ajudá-lo com o gerenciamento de resolução de ponta a ponta.

Enviar aviso de email

Na maioria dos casos, as ações do usuário que criam alertas de risco interno são inadvertidas ou acidentais. Enviar um aviso de lembrete para o usuário por email é um método eficaz para documentar a revisão e ação de casos e é um método para lembrar os usuários das políticas corporativas ou apontá-los para o treinamento de atualização. Os avisos são gerados a partir de modelos de aviso que você cria para sua infraestrutura de gerenciamento de risco interno.

É importante lembrar que o envio de um aviso de email para um usuário não resolve o caso como Fechado. Em alguns casos, talvez você queira deixar um caso aberto depois de enviar um aviso a um usuário para procurar mais atividades de risco sem abrir um novo caso. Se quiser resolver um caso após enviar um aviso, você deverá selecionar a opção Resolver caso como etapa de acompanhamento após o envio de um aviso.

Para enviar um aviso ao usuário atribuído a um caso:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Casos.
  2. Selecione um caso e selecione o botão Enviar aviso de email na barra de ferramentas de ação de caso.
  3. Na caixa de diálogo Enviar aviso de email , selecione o controle suspenso Escolher um modelo de aviso para selecionar o modelo de aviso para o aviso. Essa seleção preencha os outros campos no aviso.
  4. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos aqui substituirão os valores no modelo.
  5. Selecione Enviar para enviar o aviso ao usuário ou selecione Cancelar fechar a caixa de diálogo sem enviar o aviso ao usuário. Todos os avisos enviados são adicionados à fila de anotações de caso no painel Notas de caso .

Escalonar para investigação

Escalone o caso para investigação do usuário em situações em que uma revisão legal adicional é necessária para a atividade de risco do usuário. Esse escalonamento abre um novo caso de Descoberta Eletrônica do Microsoft Purview (Premium) em sua organização do Microsoft 365. A Descoberta Eletrônica (Avançada) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, revisar, analisar e exportar um conteúdo que responda às investigações internas e externas de sua organização. Ele também permite que sua equipe jurídica gerencie todo o fluxo de trabalho de notificação de responsabilidade para se comunicar com pessoas envolvidas no caso. A escalada para um caso de descoberta eletrônica (Premium) de um caso de gerenciamento de risco interno ajuda sua equipe jurídica a tomar as medidas apropriadas e gerenciar a preservação de conteúdo. Para saber mais sobre casos de descoberta eletrônica (Premium), confira Visão geral de Descoberta Eletrônica do Microsoft Purview (Premium).

Para escalar um caso para uma investigação de usuário:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Casos.
  2. Selecione um caso e selecione o botão Escalar para investigação na barra de ferramentas de ação de caso.
  3. Na caixa de diálogo Escalar para investigação , insira um nome para a nova investigação de usuário. Se necessário, insira anotações sobre o caso e selecione Escalar.
  4. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos aqui substituirão os valores no modelo.
  5. Selecione Confirmar para criar o caso de investigação do usuário ou selecione Cancelar para fechar a caixa de diálogo sem criar um novo caso de investigação de usuário.

Depois que o caso de gerenciamento de risco interno tiver sido escalonado para um novo caso de investigação de usuário, você poderá examinar o novo caso na área avançada de descoberta>eletrônica no portal de conformidade do Microsoft Purview.

Executar tarefas automatizadas com fluxos do Power Automate para o caso

Usando fluxos recomendados do Power Automate, pesquisadores de risco e analistas podem agir rapidamente para:

  • Solicite informações de RH ou empresas sobre um usuário em um caso de risco interno.
  • Notifique o gerenciador quando um usuário tiver um alerta de risco interno.
  • Crie um registro para um caso de gerenciamento de risco interno no ServiceNow.
  • Notifique os usuários quando eles forem adicionados a uma política de risco interno.

Para executar, gerenciar ou criar fluxos do Power Automate para um caso de gerenciamento de risco interno:

  1. Selecione Automatizar na barra de ferramentas de ação de caso.
  2. Escolha o fluxo do Power Automate para ser executado e selecione Executar fluxo.
  3. Depois que o fluxo for concluído, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.

Exibir ou criar uma equipe do Microsoft Teams para o caso

Quando a integração do Microsoft Teams para gerenciamento de risco interno é habilitada em configurações, uma equipe do Microsoft Teams é criada automaticamente sempre que um alerta é confirmado e um caso é criado. Pesquisadores e analistas de risco podem abrir rapidamente o Microsoft Teams e navegar diretamente para a equipe para obter um caso selecionando Exibir a equipe do Microsoft Teams na barra de ferramentas de ação de caso.

Para casos abertos antes de habilitar a integração do Microsoft Team, pesquisadores de risco e analistas podem criar uma nova equipe do Microsoft Teams para um caso selecionando Criar equipe do Microsoft Teams na barra de ferramentas de ação de caso.

Quando um caso for resolvido, o Microsoft Team associado será arquivado automaticamente (oculto e transformado em somente leitura).

Para saber mais sobre o Microsoft Teams para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.

Resolver o caso

Depois que analistas de risco e investigadores concluirem sua revisão e investigação, um caso pode ser resolvido para agir em todos os alertas atualmente incluídos no caso. A resolução de um caso adiciona uma classificação de resolução, altera o status do caso para Fechado e os motivos da ação de resolução são adicionados automaticamente à fila de anotações de caso no painel Notas de caso . Os casos são resolvidos como:

  • Benigno: a classificação para casos em que os alertas de correspondência de política são avaliados como de baixo risco, não graves ou falsos positivos.
  • Violação de política confirmada: a classificação para casos em que os alertas de correspondência de política são avaliados como arriscados, graves ou resultado de intenção mal-intencionada.

Para resolver um caso:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Casos.
  2. Selecione um caso e selecione o botão Resolver caso na barra de ferramentas de ação de caso.
  3. Na caixa de diálogo Resolver caso , selecione o controle Resolver como suspenso para selecionar a classificação de resolução para o caso. As opções são violação de política benigna ou confirmada.
  4. Na caixa de diálogo Resolver caso , insira os motivos da classificação de resolução no campo Texto Ação tomada .
  5. Selecione Resolver para fechar o caso ou selecione Cancelar fechar a caixa de diálogo sem resolver o caso.