Introdução ao gerenciamento de riscos internos

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Use políticas de gerenciamento de risco interno para identificar atividades arriscadas e ferramentas de gerenciamento para agir em alertas de risco em sua organização. Conclua as etapas a seguir para configurar os pré-requisitos e configurar uma política de gerenciamento de risco interno.

Importante

A solução de gerenciamento de risco interno fornece uma opção de nível de locatário para ajudar os clientes a facilitar a governança interna no nível do usuário. Os administradores de nível de locatário podem configurar permissões para fornecer acesso a essa solução para membros da sua organização e configurar conectores de dados no portal de conformidade do Microsoft Purview para importar dados relevantes para dar suporte à identificação no nível do usuário de atividades potencialmente arriscadas. Os clientes reconhecem que insights relacionados ao comportamento, caractere ou desempenho do usuário individual relacionados materialmente ao emprego podem ser calculados pelo administrador e disponibilizados para outras pessoas na organização. Além disso, os clientes reconhecem que devem conduzir sua própria investigação completa relacionada ao comportamento, caractere ou desempenho do usuário individual materialmente relacionados ao emprego e não apenas confiar em insights do serviço de gerenciamento de risco interno. Os clientes são os únicos responsáveis por usar o serviço de gerenciamento de risco interno e qualquer recurso ou serviço associado em conformidade com todas as leis aplicáveis, incluindo leis relacionadas à identificação individual do usuário e quaisquer ações de correção.

Para obter mais informações sobre como as políticas de risco interno podem ajudá-lo a gerenciar o risco em sua organização, consulte Saiba mais sobre o gerenciamento de risco interno.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Assinaturas e licenciamento

Antes de começar a usar o gerenciamento de risco interno, você deve confirmar sua assinatura do Microsoft 365 e quaisquer complementos. Para acessar e usar o gerenciamento de risco interno, os dministradores precisam verificar se sua organização tem uma assinatura com suporte e as licenças apropriadas são atribuídas aos usuários. Para obter mais informações sobre assinaturas e licenciamento, consulte os requisitos de assinatura para gerenciamento de risco interno.

Importante

Atualmente, o gerenciamento de risco interno está disponível em locatários hospedados em regiões geográficas e países com suporte por dependências de serviço do Azure. Para verificar se há suporte para o gerenciamento de risco interno para sua organização, consulte Disponibilidade de dependência do Azure por país/região.

Se você não tiver um plano Microsoft 365 Enterprise E5 existente e quiser experimentar o gerenciamento de risco interno, poderá adicionar o Microsoft 365 à sua assinatura existente ou se inscrever para uma avaliação de Microsoft 365 Enterprise E5.

As ações recomendadas podem ajudar sua organização a obter rapidamente o gerenciamento de riscos internos. As ações recomendadas, que estão incluídas na página Visão geral , ajudam a orientar você nas etapas para configurar e implantar políticas.

Ações recomendadas para gerenciamento de riscos internos.

As seguintes recomendações estão disponíveis para ajudá-lo a começar ou maximizar sua configuração de gerenciamento de risco interno:

  • Ativar a auditoria: quando ativada, a atividade de usuário e administrador em sua organização é registrada no log de auditoria do Microsoft 365. As análises e políticas de risco interno usam esse log para detectar atividades de risco.
  • Obter permissões para usar o gerenciamento de risco interno: o nível de acesso que você tem aos recursos de gerenciamento de risco interno depende de qual grupo de funções você foi atribuído. Para acessar e configurar ações recomendadas, os usuários devem ser atribuídos aos grupos de funções Insider Risk Management ou Insider Risk Management Admins .
  • Escolha indicadores de política: os indicadores são essencialmente as atividades de gerenciamento de risco que você deseja detectar e investigar. Você pode escolher indicadores para detectar atividades em vários locais e serviços do Microsoft 365.
  • Verifique possíveis riscos internos: execute uma verificação de análise para descobrir possíveis riscos internos que ocorrem em sua organização. Depois de avaliar os resultados, examine as políticas recomendadas para configurar.
  • Atribua permissões a outras pessoas: se houver membros adicionais da equipe responsáveis pelo gerenciamento de recursos de risco interno, você precisará atribuí-las aos grupos de funções apropriados.
  • Crie sua primeira política: para receber alertas sobre atividades potencialmente arriscadas, você deve configurar políticas com base em modelos predefinidos que definem as atividades do usuário que você deseja detectar e investigar.

Cada ação recomendada incluída nesta experiência tem quatro atributos:

  • Ação: nome e descrição da ação recomendada.
  • Status: status da ação recomendada. Os valores não são iniciados, em andamento, salvos para posterior ou concluídos.
  • Obrigatório ou opcional: se a ação recomendada é necessária ou opcional para que os recursos de gerenciamento de risco interno funcionem conforme o esperado.
  • Tempo estimado para concluir: tempo estimado para concluir a ação recomendada em minutos.

Selecione uma recomendação na lista para começar a configurar o gerenciamento de riscos internos. Cada ação recomendada orienta você através da ação necessária para a recomendação, incluindo quaisquer requisitos, o que esperar e o impacto da configuração do recurso em sua organização. Cada ação recomendada é marcada automaticamente como concluída quando configurada ou você precisará selecionar manualmente a ação como concluída quando configurada.

Etapa 1 (obrigatório): Habilitar permissões para gerenciamento de risco interno

Importante

Depois de configurar seus grupos de funções, pode levar até 30 minutos para que as permissões do grupo de funções se apliquem a usuários atribuídos em toda a sua organização.

Há seis grupos de funções usados para configurar recursos de gerenciamento de risco interno. Para disponibilizar o gerenciamento de riscos do Insider como uma opção de menu no Microsoft Purview e continuar com essas etapas de configuração, você deve ser atribuído a uma das seguintes funções ou grupos de funções:

Dependendo de como você deseja gerenciar políticas e alertas de gerenciamento de risco interno, você precisará atribuir usuários a grupos de funções específicos para gerenciar diferentes conjuntos de recursos de gerenciamento de risco interno. Você pode atribuir usuários com diferentes responsabilidades de conformidade a grupos de funções específicos para gerenciar diferentes áreas de recursos de gerenciamento de risco interno. Ou você pode decidir atribuir todas as contas de usuário para administradores, analistas, investigadores e espectadores designados para o grupo de funções Insider Risk Management . Use um único grupo de funções ou vários grupos de funções para atender melhor aos seus requisitos de gerenciamento de conformidade.

Escolha entre essas opções de grupo de funções e ações de solução ao trabalhar com o gerenciamento de risco interno:

Ações Gerenciamento de Risco Interno Administradores de Gerenciamento de Riscos Internos Analistas do Gerenciamento de Risco Interno Investigadores do Gerenciamento de Risco Interno Auditores de Gerenciamento de Riscos Internos Aprovadores de Gerenciamento de Riscos Internos
Configurar políticas e configurações Sim Sim Não Não Não Não
Insights de análise de acesso Sim Sim Sim Não Não Não
Acessar & investigar alertas Sim Não Sim Sim Não Não
Acessar & investigar casos Sim Não Sim Sim Não Não
Acessar & exibir o Explorer de conteúdo Sim Não Não Sim Não Não
Configurar modelos de aviso Sim Não Sim Sim Não Não
Exibir logs de auditoria de exportação & Sim Não Não Não Sim Não
Acessar & exibir capturas de evidências forenses Sim Não Não Sim Não Não
Criar solicitação de captura de evidências forenses Sim Sim Não Não Não Não
Aprovar solicitações de captura de evidências forenses Sim Não Não Não Não Sim
Configurar a proteção adaptável Sim Sim Não Não Não Não
Exibir a guia usuários de proteção adaptável Sim Não Sim Sim Não Não

Importante

Certifique-se de sempre ter pelo menos um usuário nos grupos internos de função de administradores do Insider Risk Management ou do Insider Risk Management (dependendo da opção escolhida) para que sua configuração de gerenciamento de risco interno não entre em um cenário de "administrador zero" se usuários específicos deixarem sua organização.

Os membros das seguintes funções podem atribuir usuários a grupos de funções de gerenciamento de risco interno e ter as mesmas permissões de solução incluídas no grupo de funções de administradores do Insider Risk Management :

  • administrador global Microsoft Entra ID
  • administrador de conformidade Microsoft Entra ID
  • Gerenciamento de organização do Microsoft Purview
  • Administrador de Conformidade do Microsoft Purview

Adicionar usuários ao grupo de funções de Gerenciamento de Risco Interno

Conclua as seguintes etapas para adicionar usuários a esse grupo de funções:

  1. Entre no Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Selecione Permissões na navegação à esquerda e selecione Funções na lista de soluções do Microsoft Purview .
  3. Selecione o grupo de funções Gerenciamento de Risco Interno e selecione Editar.
  4. Selecione a guia Escolher usuários e selecione a caixa de seleção para todos os usuários que você deseja adicionar ao grupo de funções.
  5. Escolha Selecionar e, em seguida, Avançar.
  6. Selecione Salvar para adicionar os usuários ao grupo de funções. Selecione Concluído para concluir as etapas.

Considere unidades administrativas se você quiser escopo de permissões de usuário para uma região ou departamento

Você pode usar unidades administrativas no gerenciamento de risco interno (versão prévia) para escopo de permissões de usuário para uma geografia ou departamento específico. Por exemplo, uma empresa global que tem subsidiárias em todo o mundo pode querer criar uma unidade de administração que forneça um escopo alemão para investigadores para que eles vejam apenas a atividade de usuário para usuários alemães.

Para usar unidades de administração no gerenciamento de risco interno, primeiro você deve criar as unidades de administrador (se elas ainda não foram criadas) e, em seguida, atribuir as unidades de administrador a membros de grupos de funções. Depois de atribuir unidades de administrador a membros de grupos de funções, esses membros se tornam administradores restritos e têm acesso limitado a configurações de gerenciamento de risco interno, políticas e dados de usuário na organização. Os membros que não recebem unidades administrativas são administradores irrestritos e têm acesso a todas as configurações, políticas e dados do usuário.

Efeito do escopo da unidade de administrador em funções de gerenciamento de risco interno

A tabela a seguir mostra como as unidades de administrador, quando impostas, afetam cada combinação de tarefa/função de gerenciamento de risco interno.

Observação

Escopo, na tabela a seguir, significa que as ações de administrador para essa função são limitadas pela unidade de administrador atribuída.

Tarefa Gerenciamento de risco interno com escopo Administração de gerenciamento de risco interno com escopo Analistas de gerenciamento de risco interno com escopo Pesquisadores de gerenciamento de risco interno com escopo Aprovadores de gerenciamento de risco interno com escopo
Configurar configurações globais Irrestrito Irrestrito Nunca permitido Nunca permitido Nunca permitido
Configurar políticas Escopo Escopo Nunca permitido Nunca permitido Nunca permitido
Iniciar atividade de pontuação para usuários Escopo Escopo Escopo Escopo Nunca permitido
Insights de análise de acesso Não permitido, se escopo Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido
Acessar e investigar alertas Escopo Nunca permitido Escopo Escopo Nunca permitido
Investigar a atividade do usuário Escopo Nunca permitido Nunca permitido Escopo Nunca permitido
Acessar e investigar casos Escopo Nunca permitido Escopo Escopo Nunca permitido
Acessar e exibir o gerenciador de conteúdo Irrestrito Nunca permitido Nunca permitido Irrestrito Nunca permitido
Configurar modelos de aviso Irrestrito Nunca permitido Irrestrito Irrestrito Nunca permitido
Acessar e exibir capturas de evidências forenses Não permitido, se escopo Nunca permitido Nunca permitido Não permitido, se escopo Nunca permitido
Criar solicitação de captura de evidências forenses Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Aprovar solicitações de captura de evidências forenses Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido Não permitido, se escopo
Configurar a Proteção Adaptável Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Exibir a guia Usuários de Proteção Adaptável Não permitido, se escopo Nunca permitido Não permitido, se escopo Não permitido, se escopo Nunca permitido
Exibir relatório de integridade do dispositivo Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Criar políticas rápidas Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Configurar políticas específicas do usuário prioritário Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Configurar grupos de usuários prioritários Não permitido, se escopo Não permitido, se escopo Nunca permitido Nunca permitido Nunca permitido
Atribuir ou reatribuir alertas Não permitido, se escopo Nunca permitido Não permitido, se escopo Não permitido, se escopo Nunca permitido
Atribuir ou reatribuir casos Não permitido, se escopo Nunca permitido Não permitido, se escopo Não permitido, se escopo Nunca permitido

Etapa 2 (necessária): habilitar o log de auditoria do Microsoft 365

O gerenciamento de risco interno usa logs de auditoria do Microsoft 365 para informações do usuário e atividades de gerenciamento de riscos identificadas em políticas e insights de análise. Os logs de auditoria do Microsoft 365 são um resumo de todas as atividades em sua organização e as políticas de gerenciamento de riscos internos podem usar essas atividades para gerar insights de política.

A auditoria está habilitada para organizações do Microsoft 365 por padrão. Algumas organizações podem ter desabilitado a auditoria por motivos específicos. Se a auditoria estiver desativada para sua organização, pode ser que outro administrador a desativou. Recomendamos confirmar que não há problema em ativar a auditoria novamente ao concluir esta etapa.

Para obter instruções passo a passo para ativar a auditoria, confira Ativar ou desativar a pesquisa de log de auditoria. Após a ativação, será exibida uma mensagem informando que o log de auditoria está sendo preparado e que você poderá executar uma pesquisa dentro algumas horas quando a preparação estiver concluída. Você só precisa fazer essa ação uma vez. Para obter mais informações sobre como usar o log de auditoria do Microsoft 365, confira Pesquisar o log de auditoria.

Etapa 3 (opcional): habilitar e exibir insights de análise de risco interno

Se você habilitar a análise de gerenciamento de risco interno, poderá:

  • Verifique possíveis riscos internos antes de criar políticas. Você pode realizar uma avaliação de possíveis riscos internos em sua organização sem configurar políticas de risco interno. Essa avaliação pode ajudar sua organização a identificar áreas potenciais de maior risco do usuário e ajudar a determinar o tipo e o escopo das políticas de gerenciamento de risco interno que talvez você queira configurar. Essa avaliação também pode ajudá-lo a determinar as necessidades de licenciamento adicional ou otimização futura das políticas existentes. Os resultados da análise podem levar até 48 horas antes que as informações sejam disponibilizadas como relatórios para revisão. Para saber mais sobre insights de análise, confira Configurações de gerenciamento de risco do Insider: Análise e marcar o vídeo do Insider Risk Management Analytics para ajudar a entender como a análise pode ajudar a acelerar a identificação de possíveis riscos internos e ajudá-lo a agir rapidamente.
  • Receba recomendações em tempo real para configurações de limite de indicador. Ajustar políticas manualmente para reduzir o "ruído" pode ser uma experiência muito demorada que exige que você faça muita avaliação e erro para determinar a configuração desejada para suas políticas. Se a análise estiver ativada, o gerenciamento de risco interno poderá fornecer recomendações em tempo real para limites de indicador. Você também pode ajustar manualmente as recomendações fornecidas e ver em tempo real quantos usuários serão colocados no escopo da política com base nas alterações feitas. Saiba mais sobre recomendações de limite de indicador em tempo real

Observação

Para habilitar a análise de risco interno, você deve ser membro do Insider Risk Management, dos administradores do Insider Risk Management ou do grupo de funções de administrador global do Microsoft 365.

Para habilitar a análise de risco interno:

  1. No Microsoft Purview, acesse Gerenciamento de riscos do Insider.
  2. Selecione Executar verificação na guia Verificar riscos internos em sua organização cartão na guia Visão geral do gerenciamento de risco interno. Essa ação ativa a verificação de análise para sua organização. Você também pode ativar a verificação em sua organização navegando até configurações > de risco do InsiderAnalytics e permitindo verificar a atividade de usuário do locatário para identificar possíveis riscos internos.
  3. No painel Detalhes do Analytics , selecione Executar verificação para iniciar a verificação de sua organização. Os resultados da análise podem levar até 48 horas antes que as informações sejam disponibilizadas como relatórios para revisão.

Depois de examinar os insights de análise, escolha as políticas de risco interno e configure os pré-requisitos associados que melhor atendam à estratégia de mitigação de risco interno da sua organização.

A maioria das políticas de gerenciamento de risco interno tem pré-requisitos que devem ser configurados para que os indicadores de política gerem alertas de atividade relevantes. Configure os pré-requisitos apropriados dependendo das políticas que você planeja configurar para sua organização.

Configurar o conector do Indicador de Risco Interno (versão prévia)

Você pode estender o gerenciamento de risco interno importando detecções para cargas de trabalho que não são da Microsoft (terceiros). Por exemplo, talvez você queira estender suas detecções para incluir atividades do Salesforce e dropbox e usá-las junto com as detecções internas fornecidas pela solução de gerenciamento de risco interno, que é focada em serviços da Microsoft como SharePoint Online e Exchange Online.

Para trazer suas próprias detecções para a solução de gerenciamento de risco interno, você importa detecções pré-processadas e agregadas de soluções siEM (gerenciamento de eventos e informações de segurança), como Microsoft Sentinel ou Splunk. Você faz isso importando um arquivo de exemplo para o assistente do conector indicadores de risco interno. O assistente do conector analisa o arquivo de exemplo e configura o esquema necessário.

Observação

Atualmente, você não pode importar sinais de detecção "brutos" para o gerenciamento de risco interno. Você só pode importar agregações pré-processadas como um arquivo.

Você pode usar um indicador personalizado como:

  • Um gatilho usado para trazer um usuário para o escopo de uma política.
  • Um indicador de política usado para pontuar o usuário em busca de risco.

Consulte o artigo Conector de Indicadores de Risco Interno para obter diretrizes passo a passo para configurar o conector de Indicadores de Risco Interno para sua organização. Depois de configurar o conector, retorne a essas etapas de configuração.

Configurar o conector do Microsoft 365 HR

O gerenciamento de risco interno dá suporte à importação de dados de usuário e log importados de plataformas de gerenciamento de riscos e recursos humanos de terceiros. O conector de dados de RH (Recursos Humanos) do Microsoft 365 permite que você puxe dados de recursos humanos de arquivos CSV, incluindo datas de término do usuário, últimas datas de trabalho, notificações de plano de melhoria de desempenho, ações de revisão de desempenho e alterações no nível do trabalho status. Esses dados ajudam a impulsionar indicadores de alerta nas políticas de gerenciamento de riscos internas e são uma parte importante da configuração da cobertura completa de gerenciamento de riscos em sua organização. Se você configurar mais de um conector de RH para sua organização, o gerenciamento de risco interno puxará automaticamente indicadores de todos os conectores de RH.

O conector de RH do Microsoft 365 é necessário ao usar os seguintes modelos de política:

  • Vazamentos de dados por usuários arriscados
  • Roubo de dados de usuário de partida
  • Uso indevido de dados do paciente
  • Violações da política de segurança por usuários em processo de desligamento
  • Violações de política de segurança por usuários arriscados

Consulte o artigo Configurar um conector para importar dados de RH para obter diretrizes passo a passo para configurar o conector do Microsoft 365 HR para sua organização. Depois de configurar o conector de RH, retorne a essas etapas de configuração.

Configurar um conector de dados específico da área de saúde

O gerenciamento de risco interno dá suporte à importação de dados de usuário e log importados de terceiros em sistemas EMR (registro médico eletrônico) existentes. Os conectores de dados Microsoft Healthcare e Epic permitem que você puxe dados de atividade do sistema EMR com arquivos CSV, incluindo acesso inadequado ao registro do paciente, atividades de volume suspeitas e atividades de edição e exportação. Esses dados ajudam a impulsionar indicadores de alerta nas políticas de gerenciamento de riscos internas e são uma parte importante da configuração da cobertura completa de gerenciamento de riscos em sua organização.

Se você configurar mais de um conector Healthcare ou Epic para sua organização, o gerenciamento de riscos internos dá suporte automaticamente a sinais de eventos e atividades de todos os conectores de Saúde e Epic. O conector Microsoft 365 Healthcare ou Epic é necessário ao usar os seguintes modelos de política:

  • Uso indevido de dados do paciente

Consulte o artigo Configurar um conector para importar dados de saúde ou Configurar um conector para importar dados Epic EHR para obter diretrizes passo a passo para configurar um conector específico da saúde para sua organização. Depois de configurar um conector, retorne a essas etapas de configuração.

Configurar políticas de DLP (Prevenção contra Perda de Dados)

O gerenciamento de risco interno dá suporte ao uso de políticas DLP para ajudar a identificar a exposição intencional ou acidental de informações confidenciais a partes indesejadas para alertas DLP de alto nível de gravidade. Ao configurar uma política de gerenciamento de risco interno com qualquer um dos modelos de vazamento de dados , você pode atribuir uma política DLP específica à política para esses tipos de alertas.

Dica

Você também pode usar a proteção adaptável no gerenciamento de risco interno para aplicar dinamicamente controles de proteção DLP a usuários de alto risco, mantendo a produtividade para usuários de menor risco. Saiba mais sobre proteção adaptável

As políticas de perda de dados ajudam a identificar usuários para ativar a pontuação de risco no gerenciamento de risco interno para alertas DLP de alta gravidade para informações confidenciais e são uma parte importante da configuração da cobertura completa de gerenciamento de risco em sua organização. Para obter mais informações sobre gerenciamento de riscos internos e considerações sobre integração e planejamento de políticas de DLP, consulte Políticas de gerenciamento de riscos do Insider.

Importante

Verifique se você concluiu o seguinte:

  • Você entende e configura corretamente os usuários no escopo nas políticas de gerenciamento de risco do DLP e do insider para produzir a cobertura de política esperada.
  • A configuração de relatórios de incidentes na política DLP para gerenciamento de risco interno usada com esses modelos está configurada para alertas de alto nível de gravidade. Alertas de gerenciamento de risco interno não serão gerados a partir de políticas DLP com o campo Relatórios de incidentes definido em Baixo ou Médio.

Uma política DLP é opcional ao usar os seguintes modelos de política:

  • Vazamentos de dados
  • - Vazamento de dados por usuários prioritários

Consulte o artigo Criar e Implantar políticas de prevenção contra perda de dados para obter diretrizes passo a passo para configurar políticas de DLP para sua organização. Depois de configurar uma política DLP, retorne a essas etapas de configuração.

Observação

O DLP do ponto de extremidade agora dá suporte a ambientes virtualizados, o que significa que a solução de gerenciamento de risco interno dá suporte a ambientes virtualizados por meio do DLP do ponto de extremidade. Saiba mais sobre o suporte para ambientes virtualizados no ponto de extremidade DLP

Configurar o compartilhamento de níveis de gravidade de risco do usuário com alertas de Microsoft Defender e DLP

Você pode compartilhar níveis de gravidade de risco do usuário do gerenciamento de risco interno (versão prévia) para trazer contexto de usuário exclusivo para alertas de Microsoft Defender e DLP. O gerenciamento de risco interno analisa as atividades do usuário durante um período de 90 a 120 dias e procura comportamento anômalo durante esse período de tempo. Adicionar esses dados a alertas Microsoft Defender e DLP aprimora os dados disponíveis nessas soluções para ajudar os analistas a priorizar alertas. Saiba mais sobre como compartilhar níveis de gravidade de risco do usuário com alertas de Microsoft Defender e DLP

Configurar grupos de usuários prioritários

O gerenciamento de risco interno inclui suporte para atribuir grupos de usuários prioritários a políticas para ajudar a identificar atividades de risco exclusivas para o usuário com posições críticas, altos níveis de acesso à rede e dados ou um histórico passado de comportamento de risco. A criação de um grupo de usuários prioritário e a atribuição de usuários ao grupo ajudam as políticas de escopo às circunstâncias exclusivas apresentadas por esses usuários.

Você pode criar um grupo de usuários prioritário e atribuir usuários ao grupo para ajudá-lo a escopo de políticas específicas para as circunstâncias exclusivas apresentadas por esses usuários identificados. Para habilitar o impulsionador de pontuação de risco de grupos de usuários prioritários , acesse a página Configurações de gerenciamento de risco do Insider e selecione Indicadores de política e impulsionadores de pontuação de risco. Esses usuários identificados são mais propensos a receber alertas, para que analistas e investigadores possam examinar e priorizar a gravidade de risco desses usuários para ajudar a triagem de alertas de acordo com as políticas e padrões de risco da sua organização.

Um grupo de usuários prioritário é necessário ao usar os seguintes modelos de política:

  • Violações da política de segurança por usuários prioritários
  • - Vazamento de dados por usuários prioritários

Consulte o artigo Introdução às configurações de gerenciamento de risco interno para obter diretrizes de configuração passo a passo.

Configurar o conector de má configuração física

O gerenciamento de risco interno dá suporte à importação de dados de usuário e log de plataformas de controle físico e acesso. O conector de falsificação física permite que você puxe dados de acesso de arquivos JSON, incluindo IDs de usuário, IDs de ponto de acesso, hora e datas de acesso e status de acesso. Esses dados ajudam a impulsionar indicadores de alerta nas políticas de gerenciamento de riscos internas e são uma parte importante da configuração da cobertura completa de gerenciamento de riscos em sua organização. Se você configurar mais de um conector de má conexão física para sua organização, o gerenciamento de risco interno automaticamente puxará indicadores de todos os conectores de má conexão física. Informações do conector de má conexão física complementam outros sinais de risco interno ao usar todos os modelos de política de risco interno.

Importante

Para que as políticas de gerenciamento de risco interno usem e correlacionam dados de sinal relacionados a usuários que partem e terminam com dados de eventos de suas plataformas de controle físico e acesso, você também deve configurar o conector de RH do Microsoft 365. Se você habilitar o conector de mácula física sem habilitar o conector de RH do Microsoft 365, as políticas de gerenciamento de risco interno só processarão eventos para acesso físico não autorizado para usuários em sua organização.

Consulte o artigo Configurar um conector para importar dados de má estrutura física para obter diretrizes passo a passo para configurar o conector de má configuração física para sua organização. Depois de configurar o conector, retorne a essas etapas de configuração.

Configurar Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes empresariais a prevenir, detectar, investigar e responder a ameaças avançadas. Para ter uma melhor visibilidade das violações de segurança em sua organização, você pode importar e filtrar alertas do Defender para Ponto de Extremidade para atividades usadas em políticas criadas a partir de modelos de política de política de violação de segurança de gerenciamento de risco interno.

Se você criar políticas de violação de segurança, precisará ter Microsoft Defender para Ponto de Extremidade configurado em sua organização e habilitar o Defender para Ponto de Extremidade para integração de gerenciamento de risco interno na Central de Segurança do Defender para importar alertas de violação de segurança. Para obter mais informações sobre os requisitos, consulte os requisitos mínimos para Microsoft Defender para Ponto de Extremidade artigo.

Consulte o artigo Configurar recursos avançados no Defender para Ponto de Extremidade para obter diretrizes passo a passo para configurar o Defender para Ponto de Extremidade para integração de gerenciamento de risco interno. Depois de configurar o Microsoft Defender para Ponto de Extremidade, retorne a essas etapas de configuração.

Configurar evidências forenses

Ter contexto visual é crucial para as equipes de segurança durante investigações forenses para obter melhores informações sobre atividades arriscadas do usuário que podem levar a um incidente de segurança. Com gatilhos de evento personalizáveis e controles internos de proteção de privacidade do usuário, as evidências forenses permitem a captura personalizável entre dispositivos para ajudar sua organização a reduzir, entender e responder melhor a possíveis riscos de dados, como a exfiltração de dados não autorizados de dados confidenciais.

Consulte o artigo Introdução a evidências forenses de gerenciamento de riscos internos para obter diretrizes passo a passo para configurar evidências forenses para sua organização.

Configurar o reconhecimento óptico de caracteres

O Microsoft Purview pode verificar conteúdo confidencial em documentos para ajudar a proteger esses documentos contra exposição inadequada. Quando você habilita o OCR (reconhecimento óptico de caracteres) no Microsoft Purview, classificadores de dados, como tipos de informações confidenciais e classificadores treináveis, também podem detectar caracteres em imagens autônomas. Depois de configurar configurações de OCR (versão prévia), suas políticas de risco interno existentes serão aplicadas a imagens e documentos.

Para a versão prévia do OCR, o gerenciamento de risco interno dá suporte à verificação nos seguintes locais: dispositivos de ponto de extremidade do Windows, SharePoint Online e Teams. Exchange Online e o OneDrive não têm suporte para a visualização.

As configurações de OCR não se aplicam a clipes de evidências forenses no gerenciamento de risco interno.

Saiba mais sobre como configurar a verificação de OCR e a cobrança paga conforme o uso.

Etapa 5 (necessária): Configurar configurações de risco interno

As configurações de risco interno se aplicam a todas as políticas de gerenciamento de risco interno, independentemente do modelo que você escolher ao criar uma política. As configurações são configuradas usando o botão Configurações localizado na parte superior das páginas de gerenciamento de risco interno. Essas configurações controlam privacidade, indicadores, detecções inteligentes e muito mais. Saiba mais sobre as configurações a serem consideradas antes de criar uma política.

Etapa 6 (necessária): Criar uma política de gerenciamento de risco interno

As políticas de gerenciamento de riscos internas incluem usuários atribuídos e definem quais tipos de indicadores de risco são configurados para alertas. Antes que atividades potencialmente arriscadas possam disparar alertas, uma política deve ser configurada. Use o assistente de política para criar novas políticas de gerenciamento de risco interno.

Observação

Para criar um gatilho ou indicador personalizado para uma carga de trabalho que não seja da Microsoft, consulte Indicadores personalizados.

  1. No Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas .

  2. Selecione Criar política para abrir o assistente de política.

  3. Na página Modelo de política, escolha uma categoria de política e depois selecione o modelo para a nova política. Esses modelos são compostos por condições e indicadores que definem as atividades de risco que você deseja detectar e investigar. Revise os pré-requisitos do modelo, eventos de disparo e atividades detectadas para confirmar se este modelo de política atende às suas necessidades.

    Importante

    Alguns modelos de políticas têm pré-requisitos que devem ser configurados para que a política gere alertas relevantes. Se você não tiver configurado os pré-requisitos de política aplicáveis, consulte Etapa 4 acima.

    Selecione Avançar para continuar.

  4. Na página Nom e descrição, complete os seguintes campos:

    • Nome (obrigatório): Digite um nome amigável para a política. Esse nome não pode ser alterado após a criação da política.
    • Descrição (opcional): Insira uma descrição para a política.

    Selecione Avançar para continuar.

  5. Se unidades de administrador tiverem sido criadas para seu locatário, você verá a página Administração unidades. Caso contrário, você verá a página Usuários e grupos e poderá pular para a próxima etapa.

    Se você quiser escopo da política para uma ou mais unidades de administrador, selecione Adicionar unidades de administrador e selecione as unidades de administração que você deseja aplicar à política.

    Observação

    Você só pode ver as unidades de administrador que têm escopo para sua função. Se você for um administrador irrestrito, poderá ver todas as unidades de administrador do locatário. Para exibir um resumo dos grupos de função e das unidades de administração às quais você está atribuído, selecione Exibir minhas permissões.

    Selecione Avançar para continuar.

  6. Na página Usuários e grupos , selecione uma das seguintes opções:

    • Inclua todos os usuários e grupos. Selecionar essa opção faz com que o gerenciamento de risco interno procure eventos de gatilho para todos os usuários e grupos da sua organização para começar a atribuir pontuações de risco para a política.

      Se sua política for escopo por uma ou mais unidades de administrador, essa opção selecionará todos os usuários e grupos dentro das unidades administrativas.

      Observação

      Para aproveitar a análise em tempo real (versão prévia) para configurações de limite de indicador, você deve escopo de sua política para Incluir todos os usuários e grupos. A análise em tempo real permite que você veja estimativas do número de usuários que poderiam potencialmente corresponder a um determinado conjunto de condições de política em tempo real. Isso ajuda você a ajustar com eficiência a seleção de indicadores e limites de ocorrência de atividade para que você não tenha poucos ou muitos alertas de política. O escopo de sua política para Incluir todos os usuários e grupos também fornece uma melhor proteção geral em seu locatário. Para obter mais informações sobre análise em tempo real para configurações de limite de indicador, consulte Configurações de nível de indicador.

    • Inclua usuários e grupos específicos. Selecione essa opção para definir quais usuários ou grupos estão incluídos na política.

      Se sua política for escopo por uma ou mais unidades de administrador, você só poderá escolher usuários no escopo da unidade de administrador.

      Observação

      Não há suporte para contas de convidado.

    • Adicionar ou editar grupos de usuários prioritários. Essa opção só será exibida se você escolher os vazamentos de dados pelo modelo de usuários prioritários . Selecione essa opção e adicione ou edite grupos de usuários prioritários.

      Observação

      Se o modelo de política for baseado em grupos de usuários prioritários, você não poderá selecionar uma unidade de administrador para escopo da política. Atualmente, não há suporte para grupos de usuários prioritários para uso com unidades de administrador.

    Selecione Avançar para continuar.

  7. Na página Conteúdo a priorizar, você pode atribuir (se necessário) as fontes a serem priorizadas, o que aumenta a chance de gerar um alerta de alta severidade para essas fontes. Selecione uma das seguintes opções:

    • Quero priorizar o conteúdo. A seleção dessa opção permite priorizar sites do SharePoint, rótulos de confidencialidade, tipos de informações confidenciais e tipos de conteúdo de extensões de arquivo. Se você escolher essa opção, deverá selecionar pelo menos um tipo de conteúdo de prioridade.

    • Não quero especificar conteúdo prioritário agora. Se você selecionar essa opção, as páginas de detalhes do conteúdo prioritário no assistente serão ignoradas.

    Selecione Avançar para continuar.

  8. Se você tiver selecionado quero priorizar o conteúdo na etapa anterior, verá as páginas de detalhes para sites do SharePoint, rótulos de confidencialidade, tipos de informações confidenciais, extensões de arquivo e Pontuação. Use essas páginas de detalhes para definir o SharePoint, tipos de informações confidenciais, rótulos de confidencialidade, classificadores treináveis e extensões de arquivo para priorizar na política. A página De detalhes de pontuação permite que você escopo da política para atribuir apenas pontuações de risco e gerar alertas para atividades especificadas que incluem conteúdo prioritário.

    • Sites do SharePoint: Selecione Adicionar site do SharePoint e selecione os sites SharePoint aos quais você tem acesso e deseja priorizar. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".

      Observação

      Se sua política for escopo por uma ou mais unidades de administrador, você ainda verá todos os sites do SharePoint, não apenas sites do SharePoint com escopo para suas unidades de administrador, já que as unidades de administração não dão suporte a sites do SharePoint.

    • Tipo de informação confidencial: Selecione Adicionar o tipo de informação confidencial e selecione os tipos de informações confidenciais que você deseja priorizar. Por exemplo, "Número de Conta Bancária nos EUA" e "Número do Cartão de Crédito".

    • Rótulos de confidencialidade: Selecione Adicionar o rótulo de confidencialidade e selecione os rótulos que você deseja priorizar. Por exemplo, "Confidencial" e "Secreto".

    • Classificadores treináveis: selecione Adicionar classificador treinável e selecione os classificadores treináveis que você deseja priorizar. Por exemplo, código-fonte.

    • Extensões de arquivo: adicione até 50 extensões de arquivo. Você pode incluir ou omitir o '.' com a extensão de arquivo. Por exemplo, .py ou py priorizaria arquivos Python.

    • Pontuação: decida se deve atribuir pontuações de risco a todas as atividades de gerenciamento de risco detectadas por essa política ou apenas para atividades que incluem conteúdo prioritário. Escolha Obter alertas para todas as atividades ou Obter alertas apenas para atividades que incluam conteúdo prioritário.

    Selecione Avançar para continuar.

  9. Se você tiver selecionado os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários , verá opções na página Gatilhos para esta política para eventos de gatilho personalizado e indicadores de política. Você tem a opção de selecionar uma política DLP ou indicadores para disparar eventos que trazem usuários atribuídos à política no escopo para pontuação de atividade. Se você selecionar a opção de evento de acionamento de política DLP (prevenção contra perda de dados), selecione uma política DLP na lista suspensa de política DLP para habilitar indicadores de gatilho para a Política DLP para essa política de gerenciamento de risco interno. Se você selecionar o Usuário executa uma opção de evento de acionamento de atividade de exfiltração , você deverá selecionar um ou mais dos indicadores listados para o evento de acionamento de política.

    Observação

    Atualmente, não há suporte para grupos de usuários prioritários para unidades de administrador. Se você estiver criando uma política com base nos vazamentos de dados por usuários prioritários ou nas violações da política de segurança por usuários prioritários , não será possível selecionar unidades de administrador para escopo da política. Administradores irrestritos podem selecionar grupos de usuários prioritários sem selecionar unidades de administrador, mas administradores restritos ou com escopo não podem criar essas políticas.

    Importante

    Se você não puder selecionar um indicador ou sequência listado, é porque eles não estão habilitados para sua organização no momento. Para disponibilizá-los para selecionar e atribuir à política, selecione o prompt Ativar indicadores .

    Se você tiver selecionado outros modelos de política, não há suporte para eventos de gatilho personalizados. Os eventos internos de acionamento de política se aplicam. Pule para a Etapa 15 sem definir atributos de política.

  10. Se você tiver selecionado os vazamentos de dados por usuários arriscados ou violações de política de segurança por modelos de usuários arriscados , verá opções na página Gatilhos para esta política para integração com a conformidade de comunicação e eventos do conector de dados de RH. Você tem a opção de atribuir pontuações de risco quando os usuários enviam mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória ou para trazer usuários para o escopo da política depois que eventos de usuário arriscados são relatados em seu sistema de RH. Se você selecionar a opção Gatilhos de risco da conformidade de comunicação (versão prévia), poderá aceitar a política de conformidade de comunicação padrão (criada automaticamente), escolher um escopo de política criado anteriormente para esse gatilho ou criar outra política de escopo. Se você selecionar eventos do conector de dados de RH, deverá configurar um conector de dados de RH para sua organização.

    Selecione Avançar para continuar.

  11. Se você selecionou os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários e selecionou o Usuário executa uma atividade de exfiltração e indicadores associados, você pode escolher limites personalizados ou padrão para o indicador que dispara eventos selecionados. Escolha usar limites padrão (recomendado) ou Usar limites personalizados para os eventos de gatilho.

    Selecione Avançar para continuar.

  12. Se você selecionou Usar limites personalizados para os eventos de gatilho, para cada indicador de evento de gatilho selecionado na Etapa 10, escolha o nível apropriado para gerar o nível desejado de alertas de atividade. Você pode usar os limites recomendados, limites personalizados ou limites com base em atividades anômalas (para determinados indicadores) acima da norma diária para os usuários.

    Selecione Avançar para continuar.

  13. Na página Indicadores de política, você verá os indicadores que você definiu como disponíveis na páginaIndicadores de configurações> de risco do Insider, que incluirão variantes de indicador se você tiver definido algum. Selecione os indicadores que deseja aplicar à política.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas. Você pode usar o botão Ativar indicadores no assistente ou selecionar indicadores na página Gerenciamento de risco interno>Configurações>Indicadores de política.

    Se você selecionou pelo menos um indicador doOffice ou Dispositivo, selecione o indicador Impulsionador da pontuação de risco, conforme o caso. Os impulsionadores de pontuação de risco são aplicáveis apenas para indicadores selecionados. Se você selecionou um modelo de política de Furto de dados ou Vazamento de dados, selecione um ou mais métodos de Detecção de sequência e um método de Detecção de exfiltração cumulativa a ser aplicado à política. Se você tiver selecionado o modelo de política de uso do navegador arriscado , selecione um ou mais dos indicadores de navegação.

    Selecione Avançar para continuar.

  14. Na página Decidir se você deve usar limites de indicador padrão ou personalizado , escolha limites personalizados ou padrão para os indicadores de política selecionados. Escolha usar limites padrão para todos os indicadores ou Especificar limites personalizados para os indicadores de política selecionados. Se você selecionou Especificar limites personalizados, escolha o nível apropriado para gerar o nível desejado de alertas de atividade para cada indicador de política.

    Dica

    Selecione o link Exibir impacto no insight abaixo de cada conjunto de configurações de limite para exibir um grafo que pode ajudá-lo a determinar as configurações de limite apropriadas. Saiba mais sobre como personalizar manualmente limites.

    Selecione Avançar para continuar.

  15. Na página Revisão, revise as configurações que você escolheu para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

Próximas etapas

Depois de concluir essas etapas para criar sua primeira política de gerenciamento de risco interno, você começará a receber alertas de indicadores de atividade após cerca de 24 horas. Configure políticas adicionais conforme necessário usando as diretrizes na Etapa 4 deste artigo ou as etapas em Criar uma nova política de risco interno.

Para saber mais sobre como investigar alertas de risco interno e os alertas dashboard, consulte Atividades de gerenciamento de risco do Insider.