Agir em casos de gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Os casos são o cerne do gerenciamento de riscos internos e permitem que você investigue e atue profundamente sobre problemas gerados por indicadores de risco definidos em suas políticas. Os casos são criados manualmente a partir de alertas em situações em que mais ações são necessárias para resolver um problema relacionado à conformidade de um usuário. Cada caso é escopo para um único usuário e vários alertas para o usuário podem ser adicionados a um caso existente ou a um novo caso.

Depois de investigar os detalhes de um caso, você pode tomar medidas por:

• Enviar um aviso ao usuário
• Resolvendo o caso como benigno
• Compartilhando o caso com sua instância do ServiceNow ou com um destinatário de email
• Escalando o caso para uma investigação de descoberta eletrônica (Premium)

Confira o vídeo De investigação e escalonamento do Insider Risk Management para obter uma visão geral de como os casos são investigados e gerenciados no gerenciamento de risco interno.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Casos dashboard

O dashboard de gerenciamento de risco interno permite que você exiba e atue em casos. Cada widget de relatório no dashboard exibe informações dos últimos 30 dias.

• Casos ativos: o número total de casos ativos sob investigação.
• Casos nos últimos 30 dias: o número total de casos criados, classificados pelo Status Ativo e Fechado.
• Estatísticas: tempo médio dos casos ativos, listados em horas, dias ou meses.

A fila de casos lista todos os casos ativos e fechados para sua organização, além do status atual dos seguintes atributos de caso:

• ID do caso: a ID do caso.
• Nome do caso: o nome do caso, definido quando um alerta é confirmado e o caso é criado.
• Status: o status do caso, ativo ou fechado.
• Usuário: o usuário do caso. Se a anonimização para nomes de usuário estiver habilitada, informações anonimizadas serão exibidas.
• Caso de tempo aberto: o tempo que passou desde que o caso foi aberto.
• Total de alertas de política: o número de correspondências de política incluídas no caso. Esse número pode aumentar se novos alertas são adicionados ao caso.
• Caso atualizado pela última vez: o tempo que passou desde que houve uma observação de caso ou alteração adicional no estado do caso.
• Última atualização por: o nome do analista de gerenciamento de risco interno ou pesquisador que atualizou o caso pela última vez.

Observação

Se suas políticas forem escopo por uma ou mais unidades administrativas, a propriedade de um caso só poderá ser dada aos usuários de gerenciamento de risco interno com as permissões apropriadas do grupo de funções e o usuário realçado no alerta deve estar no escopo da unidade de administrador. Por exemplo, se um escopo administrativo se aplicar a apenas usuários na Alemanha, o usuário de gerenciamento de risco interno só poderá ver alertas para usuários na Alemanha. Os administradores irrestritos podem ver todos os casos para todos os usuários da organização.

Use o controle Pesquisa para pesquisar uma ID de caso ou pesquisar texto específico em nomes de caso. Use o filtro de caso para classificar casos pelos seguintes atributos:

• Status
• Caso de hora, data de início e data de término
• Última atualização, data de início e data de término

Atribuir um caso

Se você for um administrador com as permissões apropriadas, poderá atribuir a propriedade de um caso a si mesmo ou a um usuário de gerenciamento de risco interno com a função Insider Risk Management, Insider Risk Management Analyst ou Insider Risk Management Investigator. Depois que um caso é atribuído, você também pode reatribuí-lo a um usuário com qualquer uma das mesmas funções. Você só pode atribuir um caso a um administrador por vez.

Se um administrador for atribuído a um caso, você poderá filtrar por administrador.

Atribuir um caso do dashboard Cases

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. No dashboard Casos, selecione os casos que você deseja atribuir.
5. Na barra de botões acima da fila de casos, selecione Atribuir.
6. No painel Atribuir proprietário no lado direito da tela, pesquise por um administrador com as permissões apropriadas e selecione a caixa de seleção para esse administrador.
7. Selecione Atribuir.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. No dashboard Casos, selecione os casos que você deseja atribuir.
5. Na barra de botões acima da fila de casos, selecione Atribuir.
6. No painel Atribuir proprietário no lado direito da tela, pesquise por um administrador com as permissões apropriadas e selecione a caixa de seleção para esse administrador.
7. Selecione Atribuir.

Atribuir um caso na página de detalhes Casos

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um processo.
5. No painel de detalhes do caso, à esquerda do botão Resolver um caso , selecione Atribuir.
6. Na lista Contatos sugeridos , selecione o administrador apropriado.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um processo.
5. No painel de detalhes do caso, à esquerda do botão Resolver um caso , selecione Atribuir.
6. Na lista Contatos sugeridos , selecione o administrador apropriado.

Filtrar casos

Dependendo do número e do tipo de políticas ativas de gerenciamento de risco interno em sua organização, revisar uma grande fila de casos pode ser um desafio. O uso de filtros de caso pode ajudar analistas e investigadores a classificar casos por vários atributos. Para filtrar alertas no dashboard Casos, selecione o controle Filtrar. Você pode filtrar casos por um ou mais atributos:

• Status: selecione um ou mais valores status para filtrar a lista de casos. As opções são Ativa e Fechada.
• Caso de tempo aberto: selecione as datas de início e término para quando o caso foi aberto.
• Última atualização: selecione as datas de início e término para quando o caso foi atualizado.

Filtrar casos, salvar uma exibição de um conjunto de filtros, personalizar colunas ou pesquisar alertas

Dependendo do número e do tipo de políticas ativas de gerenciamento de risco interno em sua organização, revisar uma grande fila de casos pode ser um desafio. Para ajudá-lo a controlar os casos, você pode:

• Filtrar casos por vários atributos.
• Salve uma exibição de um filtro definido para reutilizar posteriormente.
• Exibir ou ocultar colunas.
• Pesquisa para um alerta.

Filtrar casos

1. Selecione Adicionar filtro.

2. Selecione um ou mais dos seguintes atributos:

   Atributo	Descrição
   Atribuído a	O administrador ao qual o alerta é atribuído para o tririamento (se atribuído).
   Caso atualizado pela última vez	As datas de início e término para quando o caso foi atualizado pela última vez.
   Status	Status atual do caso. As opções são Ativa e Fechada.
   Caso de tempo aberto	As datas de início e término para quando o caso foi aberto.

   Os atributos selecionados são adicionados à barra de filtros.

3. Selecione um atributo na barra de filtros e selecione um valor para filtrar. Por exemplo, selecione o atributo Última data da atividade , insira ou selecione as datas nos campos Data de Início e Data de Término e selecione Aplicar.

   Dica

   Se você quiser recomeçar em qualquer ponto, selecione Redefinir tudo na barra de filtros.

Salvar uma exibição de um filtro definido para reutilizar posteriormente

1. Depois de aplicar os filtros conforme descrito no procedimento anterior, selecione Salvar acima da barra de filtro, insira um nome para o conjunto de filtros e selecione Salvar.

   O conjunto de filtros é adicionado como um cartão acima da barra de filtros. Ele inclui um número que mostra a contagem de casos que atendem aos critérios no conjunto de filtros.

   Observação

   Você pode salvar até cinco conjuntos de filtros. Se você precisar excluir um conjunto de filtros, selecione o botão reticências (três pontos) no canto superior direito do cartão e selecione Excluir.

2. Para reaplicar um conjunto de filtros salvo, basta selecionar o cartão para o conjunto de filtros.

Exibir ou ocultar colunas

1. No lado direito da página, selecione Personalizar colunas.

2. Selecione ou desmarque a caixa de seleção para as colunas que você deseja exibir ou ocultar.

As configurações de coluna são salvas entre sessões e entre navegadores.

Pesquisa para alertas

Use o controle Pesquisa para pesquisar um UPN (nome de entidade de usuário), um nome de administrador atribuído ou uma ID de alerta.

Investigar um caso

Uma investigação mais profunda sobre alertas de gerenciamento de riscos internos é fundamental para tomar ações corretivas adequadas. Casos de gerenciamento de risco interno são a ferramenta de gerenciamento central para aprofundar o histórico de atividades de risco do usuário, os detalhes do alerta, a sequência de eventos de risco e explorar o conteúdo e as mensagens expostas aos riscos. Analistas de risco e investigadores também usam casos para centralizar comentários e anotações de revisão e processar a resolução de casos.

Selecionar um caso abre as ferramentas de gerenciamento de casos e permite que os analistas e analistas procurem os detalhes dos casos.

Visão geral do caso

A guia Visão geral do caso resume os detalhes do caso para analistas de risco e investigadores. Ele inclui as seguintes informações na área Sobre esse caso

• ID do caso: a ID do caso.
• Status: o status atual do caso, ativo ou fechado.
• Caso criado em: a data e a hora em que o caso foi criado.
• Pontuação de risco do usuário: o nível de risco calculado atual do usuário para o caso. Essa pontuação é calculada a cada 24 horas e usa pontuações de risco de alerta de todos os alertas ativos associados ao usuário. Quando o usuário é detectado como um usuário potencial de alto impacto ou o Usuário é membro de um impulsionador de risco de grupo de usuários prioritário é habilitado como impulsionadores de pontuação de risco na seção Indicadores de política da página Configurações de gerenciamento de risco do Insider , a página Detalhes do usuário inclui informações detalhadas sobre o nível de risco calculado do usuário.
• Email: o alias de email do usuário para o caso.
• Organização ou departamento: a organização ou o departamento ao qual o usuário está atribuído.
• Nome do gerente: o nome do gerenciador do usuário.
• Email do gerenciador: o alias de email do gerente do usuário.

A guia Visão geral do caso também inclui uma seção Alertas que inclui as seguintes informações sobre alertas de correspondência de política associados ao caso:

• Correspondências de política: o nome da política de gerenciamento de risco interno associada aos alertas de correspondência para atividades de usuário potencialmente arriscadas que podem levar a um incidente de segurança.
• Status: status do alerta.
• Gravidade: gravidade do alerta.
• Tempo detectado: o tempo que passou desde que o alerta foi gerado.

Alertas

A guia Alertas resume os alertas atuais incluídos no caso. Novos alertas podem ser adicionados a um caso existente e eles serão adicionados à fila de alertas à medida que forem atribuídos. Os seguintes atributos de alerta estão listados na fila:

• Alerta
• ID do alerta
• Status
• Severity
• Tempo detectado

Selecione um alerta na fila para exibir a página de detalhes alerta.

Use o controle de pesquisa para pesquisar uma ID de alerta ou pesquisar texto específico em nomes de alerta. Use o filtro de alerta para classificar casos pelos seguintes atributos:

• Status
• Severity
• Tempo detectado, data de início e data de término

Use o controle de filtro para filtrar alertas por vários atributos, incluindo:

• Status: selecione um ou mais valores status para filtrar a lista de alertas. As opções são Confirmado, Descartado, Precisa de revisãoe Resolvido.
• Gravidade: selecione um ou mais níveis de gravidade do risco de alerta para filtrar a lista de alertas. As opções são Alta, Médiae Baixa.
• Tempo detectado: selecione as datas de início e término para quando o alerta foi criado.
• Política: selecione uma ou mais políticas para filtrar os alertas gerados pelas políticas selecionadas.

Atividade do usuário

A guia Atividade do usuário permite que analistas de risco e investigadores examinem os detalhes da atividade do usuário e usem uma representação visual de todas as atividades potencialmente arriscadas associadas a alertas de risco e casos para determinar se essas atividades de risco podem levar a um incidente de segurança. Por exemplo, como parte do processo de triagem de alerta, os analistas podem precisar examinar todas as atividades de risco associadas ao caso para obter mais detalhes. Em casos, os pesquisadores de risco podem examinar os detalhes da atividade do usuário e o gráfico de bolhas para ajudar a entender o escopo geral das atividades de risco associadas ao caso. Para obter mais informações sobre o gráfico de atividades do usuário, consulte o artigo Atividades de gerenciamento de risco do Insider .

Gerenciador de atividades (versão prévia)

A guia Explorador de Atividades permite que analistas de risco e investigadores examinem os detalhes da atividade de caso associados a alertas de risco. Por exemplo, como parte das ações de gerenciamento de casos, os investigadores e analistas podem precisar examinar todas as atividades de risco associadas ao caso para obter mais detalhes. Com o Explorador de Atividades, os revisores podem examinar rapidamente uma linha do tempo de atividade potencialmente arriscada detectada e identificar e filtrar todas as atividades de risco associadas a alertas.

Para obter mais informações sobre o gerenciador de atividades, consulte o artigo Atividades de gerenciamento de risco do Insider .

Evidência forense

A guia Evidências Forenses permite que investigadores de risco examinem capturas visuais associadas a atividades de risco incluídas em casos. Por exemplo, como parte das ações de gerenciamento de casos, os investigadores podem precisar ajudar a esclarecer o contexto da atividade do usuário em análise. Exibir os clipes reais da atividade pode ajudar o investigador a determinar se a atividade do usuário é potencialmente arriscada e pode levar a um incidente de segurança.

Para obter mais informações sobre evidências forenses, consulte o artigo Learn about insider risk management forensic evidence .

Explorador de conteúdo

A guia Explorador de Conteúdo permite que os investigadores de risco examinem cópias de todos os arquivos individuais e mensagens de email associadas a alertas de risco. Por exemplo, se um alerta for criado quando um usuário baixar centenas de arquivos do SharePoint Online e a atividade disparar um alerta de política, todos os arquivos baixados para o alerta serão capturados e copiados para o caso de gerenciamento de risco interno de fontes de armazenamento originais.

O Gerenciador de Conteúdo é uma ferramenta poderosa com recursos básicos e avançados de pesquisa e filtragem. Para saber mais sobre como usar o gerenciador de conteúdo, consulte Gerenciador de conteúdo de gerenciamento de riscos do Insider.

Observações do caso

A guia Notas de caso no caso é onde analistas de risco e investigadores compartilham comentários, comentários e insights sobre seu trabalho para o caso. As anotações são adições permanentes a um caso e não podem ser editadas ou excluídas após a salvação da nota. Quando um caso é criado a partir de um alerta, os comentários inseridos na caixa de diálogo Confirmar alerta e criar casos de risco para um usuário interno são adicionados automaticamente como uma anotação do caso.

O caso observa dashboard exibe anotações do usuário que criou a nota e o tempo que passou desde que a nota foi salva. Para pesquisar o campo de texto de anotação de caso para obter um palavra-chave específico, use o botão Pesquisa no caso dashboard e insira um palavra-chave específico.

Adicionar uma nota de caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um caso e selecione a guia Notas de caso .
5. Selecione Adicionar nota de caso.
6. Na caixa de diálogo Adicionar nota de caso , digite a nota.
7. Selecione Salvar para adicionar a nota ao caso.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um caso e selecione a guia Notas de caso .
5. Selecione Adicionar nota de caso.
6. Na caixa de diálogo Adicionar nota de caso , digite a nota.
7. Selecione Salvar para adicionar a nota ao caso.

Colaboradores

Os Colaboradores no caso é onde analistas e analistas de risco podem adicionar outros revisadores ao caso. Por padrão, todos os usuários atribuídos aos Investigadores de Gerenciamento de Riscos Internos e às funções de Gerenciamento de Risco Interno são listados como colaboradores para cada caso ativo e fechado.

O acesso temporário a um caso pode ser concedido adicionando um usuário como um contribuidor, mas com as seguintes restrições:

• Analistas e investigadores podem adicionar colaboradores
• Analistas não podem ser adicionados como colaboradores
• Os colaboradores não podem adicionar colaboradores

Os colaboradores têm todo o controle de gerenciamento de casos no caso específico, exceto:

• Permissão para confirmar ou descartar alertas
• Permissão para editar os colaboradores para casos

Adicionar um contribuidor a um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um caso e selecione a guia Colaboradores .
5. Selecione Adicionar contribuidor.
6. Na caixa de diálogo Adicionar contribuidor, comece a digitar o nome do usuário que você deseja adicionar e selecione o usuário na lista de usuários sugerida. Essa lista é gerada a partir do Microsoft Entra ID de sua assinatura de locatário.
7. Selecione Adicionar para adicionar o usuário como um contribuidor.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um caso e selecione a guia Colaboradores .
5. Selecione Adicionar contribuidor.
6. Na caixa de diálogo Adicionar contribuidor, comece a digitar o nome do usuário que você deseja adicionar e selecione o usuário na lista de usuários sugerida. Essa lista é gerada a partir do Microsoft Entra ID de sua assinatura de locatário.
7. Selecione Adicionar para adicionar o usuário como um contribuidor.

Ações de casos

Os pesquisadores de risco podem agir em um caso em um dos vários métodos, dependendo da gravidade do caso, do histórico de risco do usuário e das diretrizes de risco da sua organização. Em algumas situações, talvez seja necessário escalar um caso para um usuário ou investigação de dados para colaborar com outras áreas da sua organização e aprofundar-se nas atividades de risco. O gerenciamento de risco interno está fortemente integrado a outras soluções do Microsoft Purview para ajudá-lo com o gerenciamento de resolução de ponta a ponta.

Enviar aviso de email

Na maioria dos casos, as ações do usuário que criam alertas de risco interno são inadvertidas ou acidentais. Enviar um aviso de lembrete para o usuário por email é um método eficaz para documentar a revisão e ação de casos e é um método para lembrar os usuários das políticas corporativas ou apontá-los para o treinamento de atualização. Os avisos são gerados a partir de modelos de aviso que você cria para sua infraestrutura de gerenciamento de risco interno.

É importante lembrar que o envio de um aviso de email para um usuário não resolve o caso como Fechado. Em alguns casos, talvez você queira deixar um caso aberto depois de enviar um aviso a um usuário para procurar mais atividades de risco sem abrir um novo caso. Se quiser resolver um caso após enviar um aviso, você deverá selecionar a opção Resolver caso como etapa de acompanhamento após o envio de um aviso.

Enviar um aviso para o usuário atribuído a um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um caso e selecione o botão Enviar aviso de email na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Enviar aviso de email , selecione o controle suspenso Escolher um modelo de aviso para selecionar o modelo de aviso para o aviso. Essa seleção preencha os outros campos no aviso.
6. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos substituirão os valores no modelo.
7. Selecione Enviar para enviar o aviso ao usuário. Todos os avisos enviados são adicionados à fila de anotações de caso nas notas de caso dashboard.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um caso e selecione o botão Enviar aviso de email na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Enviar aviso de email , selecione o controle suspenso Escolher um modelo de aviso para selecionar o modelo de aviso para o aviso. Essa seleção preencha os outros campos no aviso.
6. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos substituirão os valores no modelo.
7. Selecione Enviar para enviar o aviso ao usuário. Todos os avisos enviados são adicionados à fila de anotações de caso nas notas de caso dashboard.

Escalonar para investigação

Escalone o caso para investigação do usuário em situações em que uma revisão legal adicional é necessária para a atividade de risco do usuário. Esse escalonamento abre um novo caso de Descoberta Eletrônica do Microsoft Purview (Premium) em sua organização do Microsoft 365. A Descoberta Eletrônica (Avançada) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, revisar, analisar e exportar um conteúdo que responda às investigações internas e externas de sua organização. Ele também permite que sua equipe jurídica gerencie todo o fluxo de trabalho de notificação de responsabilidade para se comunicar com pessoas envolvidas no caso. A escalada para um caso de descoberta eletrônica (Premium) de um caso de gerenciamento de risco interno ajuda sua equipe jurídica a tomar as medidas apropriadas e gerenciar a preservação de conteúdo. Para saber mais sobre casos de descoberta eletrônica (Premium), confira Visão geral de Descoberta Eletrônica do Microsoft Purview (Premium).

Escalar um caso para uma investigação de usuário

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um caso e selecione o botão Escalar para investigação na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Escalar para investigação , insira um nome para a nova investigação de usuário. Se necessário, insira anotações sobre o caso e selecione Escalar.
6. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos substituirão os valores no modelo.
7. Selecione Confirmar para criar o caso de investigação do usuário.

Depois que o caso de gerenciamento de risco interno tiver sido escalonado para um novo caso de investigação de usuário, você poderá examinar o novo caso na área avançada de descoberta>eletrônica no portal do Microsoft Purview.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um caso e selecione o botão Escalar para investigação na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Escalar para investigação , insira um nome para a nova investigação de usuário. Se necessário, insira anotações sobre o caso e selecione Escalar.
6. Examine os campos de aviso e atualize conforme apropriado. Os valores inseridos substituirão os valores no modelo.
7. Selecione Confirmar para criar o caso de investigação do usuário.

Depois que o caso de gerenciamento de risco interno tiver sido escalonado para um novo caso de investigação de usuário, você poderá examinar o novo caso na área avançada de descoberta>eletrônica no portal de conformidade do Microsoft Purview.

Executar tarefas automatizadas com fluxos do Power Automate para o caso

Usando fluxos recomendados do Power Automate, pesquisadores de risco e analistas podem agir rapidamente para:

• Solicite informações de RH ou empresas sobre um usuário em um caso de risco interno.
• Notifique o gerenciador quando um usuário tiver um alerta de risco interno.
• Crie um registro para um caso de gerenciamento de risco interno no ServiceNow.
• Notifique os usuários quando eles forem adicionados a uma política de risco interno.

Para executar, gerenciar ou criar fluxos do Power Automate para um caso de gerenciamento de risco interno:

1. Selecione Automatizar na barra de ferramentas de ação de caso.
2. Escolha o fluxo do Power Automate para ser executado e selecione Executar fluxo.
3. Depois que o fluxo for concluído, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.

Exibir ou criar uma equipe do Microsoft Teams para o caso

Quando a integração do Microsoft Teams para gerenciamento de risco interno é habilitada em configurações, uma equipe do Microsoft Teams é criada automaticamente sempre que um alerta é confirmado e um caso é criado. Pesquisadores e analistas de risco podem abrir rapidamente o Microsoft Teams e navegar diretamente para a equipe para obter um caso selecionando Exibir a equipe do Microsoft Teams na barra de ferramentas de ação de caso.

Para casos abertos antes de habilitar a integração do Microsoft Team, pesquisadores de risco e analistas podem criar uma nova equipe do Microsoft Teams para um caso selecionando Criar equipe do Microsoft Teams na barra de ferramentas de ação de caso.

Quando um caso for resolvido, o Microsoft Team associado será arquivado automaticamente (oculto e transformado em somente leitura).

Para saber mais sobre o Microsoft Teams para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.

Resolver o caso

Depois que analistas de risco e investigadores concluirem sua revisão e investigação, um caso pode ser resolvido para agir em todos os alertas atualmente incluídos no caso. A resolução de um caso adiciona uma classificação de resolução, altera o caso status para Fechado e os motivos da ação de resolução são adicionados automaticamente à fila de anotações de caso nas notas de caso dashboard. Os casos são resolvidos como:

• Benigno: a classificação para casos em que os alertas de correspondência de política são avaliados como de baixo risco, não graves ou falsos positivos.
• Violação de política confirmada: a classificação para casos em que os alertas de correspondência de política são avaliados como arriscados, graves ou resultado de intenção mal-intencionada.

Resolver um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Casos na navegação à esquerda.
4. Selecione um caso e selecione o botão Resolver caso na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Resolver caso , selecione o controle Resolver como suspenso para selecionar a classificação de resolução para o caso. As opções são violação de política benigna ou confirmada.
6. Na caixa de diálogo Resolver caso , insira os motivos da classificação de resolução no campo De texto Ação tomada .
7. Selecione Resolver para fechar o caso.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Casos .
4. Selecione um caso e selecione o botão Resolver caso na barra de ferramentas de ação de caso.
5. Na caixa de diálogo Resolver caso , selecione o controle Resolver como suspenso para selecionar a classificação de resolução para o caso. As opções são violação de política benigna ou confirmada.
6. Na caixa de diálogo Resolver caso , insira os motivos da classificação de resolução no campo De texto Ação tomada .
7. Selecione Resolver para fechar o caso.