Políticas de gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar riscos internos potencialmente mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O Insider Risk Management permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

As políticas de gerenciamento de risco interno determinam quais usuários estão no escopo e quais tipos de indicadores de risco estão configurados para os alertas. Você pode criar rapidamente uma política de segurança que se aplique a todos os usuários da sua organização ou defina usuários ou grupos individuais para gerenciamento em uma política. As políticas suportam prioridades de conteúdo para se concentar nas condições políticas em vários ou específicos tipos confidenciais de dados e rótulos de dados do Microsoft Teams e sites do SharePoint. Usando modelos, você pode selecionar indicadores de risco específicos e personalizar limiares de eventos para indicadores de políticas, personalizando efetivamente as pontuações de risco, nível e freqüência dos alertas.

Você também pode configurar políticas rápidas de vazamento de dados e roubo de dados partindo de políticas de usuário que definem automaticamente as condições de política com base nos resultados das análises mais recentes. Além disso, os impulsionadores de pontuação de risco e as detecções de anomalias ajudam a identificar atividades de usuário potencialmente arriscadas que são de maior importância ou incomuns. As janelas de política permitem definir o prazo para aplicar a política para alertar as atividades e são usadas para determinar a duração da política uma vez ativada.

Confira o vídeo configuração de políticas de gerenciamento de risco interno para obter uma visão geral de como as políticas criadas com modelos de política internas podem ajudá-lo a agir rapidamente sobre possíveis riscos.

Dica

Se você não for um cliente E5, poderá experimentar todos os recursos premium no Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Painel de política

O painel Política permite que você veja rapidamente as políticas em sua organização, a integridade da política, adicione manualmente usuários às políticas de segurança e exiba o status dos alertas associados a cada política.

  • Nome da política: nome atribuído à política no assistente de política.
  • Status: status de integridade para cada política. Exibe o número de avisos e recomendações da política ou um status de Íntegro para políticas sem problemas. Você pode selecionar a política para ver os detalhes do status de integridade para quaisquer avisos ou recomendações.
  • Alertas ativos: número de alertas ativos para cada política.
  • Alertas confirmados: número total de alertas que resultaram em casos da política nos últimos 365 dias.
  • Ações tomadas em alertas: número total de alertas confirmados ou descartados nos últimos 365 dias.
  • Eficácia do alerta de política: percentual determinado pelo total de alertas confirmados dividido pelo total de ações tomadas em alertas (que é a soma de alertas confirmados ou descartados ao longo do último ano).

Painel de política de gerenciamento de risco interno

Recomendações de política da análise

A análise de risco interno fornece uma visão agregada de atividades de usuário anonimizadas relacionadas à segurança e à conformidade, permitindo que você avalie possíveis riscos internos em sua organização sem configurar políticas de risco interno. Essa avaliação pode ajudar sua organização a identificar áreas potenciais de maior risco e ajudar a determinar o tipo e o escopo das políticas de gerenciamento de risco interno que você pode considerar configurar. Se você decidir agir na análise de resultados de verificação de vazamentos de dados ou roubo de dados por meio de políticas de usuários que partem, você ainda terá a opção de configurar uma política rápida com base nesses resultados.

Para saber mais sobre as recomendações de política e análise de risco interno, confira Configurações de gerenciamento de risco do Insider: Análise.

Para muitas organizações, começar a usar uma política inicial pode ser um desafio. Se você for novo no gerenciamento de risco interno e estiver usando as ações recomendadas para começar, poderá configurar uma política rápida para agilizar um vazamento geral de dados ou roubo de dados partindo da política de usuários . As configurações de política rápida são preenchidas automaticamente com base nos resultados da análise mais recente em sua organização. Por exemplo, se a verificação detectasse possíveis atividades de vazamento de dados, a política rápida incluiria os indicadores usados para detectar essas atividades.

Para começar, examine as configurações de política rápida e configure a política com uma única seleção. Se você precisar personalizar uma política rápida, poderá alterar as condições durante a configuração inicial ou após a criação da política. Além disso, você pode manter-se atualizado com os resultados de detecção de uma política rápida configurando notificações por email sempre que tiver um aviso de política ou cada vez que a política gera um alerta de alta gravidade.

Modelos de política

Modelos de gerenciamento de risco interno são condições de política pré-definidas que definem os tipos de indicadores de risco e o modelo de pontuação de risco utilizado pela política. Cada política deve ter um modelo atribuído no assistente de criação de políticas antes que a política seja criada. O gerenciamento de risco interno suporta até cinco políticas para cada modelo de política. Ao criar uma nova política de risco interno com o assistente de política, escolha entre um dos seguintes modelos de política:

Furto de dados por usuários em processo de desligamento

Quando os usuários deixam sua organização, há indicadores de risco específicos normalmente associados a possíveis roubos de dados por usuários que partem. Este modelo de política usa indicadores de exfiltração para pontuação de risco e se concentra na detecção e nos alertas nesta área de risco. O furto de dados por usuários em processo de desligamento pode incluir o download de arquivos do SharePoint Online, impressão de arquivos e cópia de dados para serviços de armazenamento e mensagens pessoais na nuvem próximos à data de demissão e/ou término do emprego. Usando o conector de RH da Microsoft ou a opção de verificar automaticamente a exclusão da conta de usuário no Azure Active Directory para sua organização, este modelo começa a pontuar indicadores de risco relacionados a essas atividades e como eles se correlacionam com o status de emprego do usuário.

Importante

Ao usar este modelo, você pode configurar um conector de RH do Microsoft 365 para importar periodicamente informações de demissão e data de rescisão para os usuários na sua organização. Consulte o artigo Importar dados com o conector de RH para obter diretrizes passo a passo para configurar o conector de RH do Microsoft 365. Se você optar por não usar o conector de RH, deverá selecionar a conta de usuário excluída da opção Azure Active Directory ao configurar eventos de gatilho no assistente de política.

Vazamentos de dados

Proteger dados e evitar vazamentos de dados é um desafio constante para a maioria das organizações, especialmente com o rápido crescimento de novos dados criados por usuários, dispositivos e serviços. Os usuários podem criar, armazenar e compartilhar informações entre serviços e dispositivos que tornam o gerenciamento do vazamento de dados cada vez mais complexo e difícil. Os vazamento de dados podem incluir compartilhamento acidental de informações fora da sua organização ou furto de dados com intenção maliciosa. Com uma política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) atribuída, eventos de gatilho internos ou personalizáveis, este modelo inicia a pontuação de detecções em tempo real de downloads de dados suspeitos do SharePoint Online, compartilhamento de arquivos e pastas, impressão de arquivos e cópia de dados para serviços de armazenamento e mensagens de nuvem pessoais.

Ao usar um modelo de Vazamento de dados, você pode atribuir uma política DLP para acionar indicadores na política de risco interno para alertas de alta severidade na sua organização. Sempre que um alerta de alta severidade for gerado por uma regra de política DLP adicionada ao log de auditoria do Office 365, as políticas de risco interno criadas com este modelo examinarão automaticamente o alerta de DLP de alta gravidade. Se o alerta contiver um usuário dentro do escopo definido na política de risco interno, o alerta será processado pela política de risco interno como um novo alerta e será atribuído a severidade do risco interno e pontuação de risco. Você também pode optar por atribuir indicadores selecionados como disparando eventos para uma política. Essa flexibilidade e personalização ajudam a escopo da política apenas para as atividades abordadas pelos indicadores. Esta política lhe permite avaliar este alerta no contexto de outras atividades incluídas no caso.

Diretrizes da política de vazamento de dados

Ao criar ou modificar políticas de prevenção contra perda de dados para uso com políticas de gerenciamento de risco interno, considere as seguintes diretrizes:

  • Priorize os eventos de filtragem de dados e seja seletivo ao atribuir as configurações do Relatórios de incidentes para Alto ao configurar regras em suas políticas de DLP. Por exemplo, enviar documentos confidenciais por email para um concorrente conhecido deve ser um evento de exfiltração de nível de alerta Alto. A atribuição excessiva do nível Alto nas configurações de Relatórios de incidentes em outras regras de política DLP pode aumentar o ruído no fluxo de trabalho de alerta de gerenciamento de risco interno e tornar mais difícil para seus investigadores e analistas de dados avaliarem adequadamente esses alertas. Por exemplo, atribuir níveis Altos de alerta para acessar atividades de negação em políticas DLP torna mais desafiador avaliar atividades e comportamentos de usuários realmente arriscados.

  • Ao usar uma política DLP como o evento de gatilho, certifique-se de entender e configurar corretamente os usuários no escopo nas políticas de gerenciamento de risco do DLP e do insider. Somente usuários definidos como no escopo das políticas de gerenciamento de risco interno usando o modelo de Vazamento de dados terão alertas de política DLP de alta severidade processados. Além disso, somente usuários definidos como no escopo em uma regra para um alerta DLP de alta gravidade serão analisados pela política de gerenciamento de risco interno para consideração. É importante que você não configure, sem saber, usuários no escopo em suas políticas de risco de DLP e insider de maneira conflitante.

    Por exemplo, se suas regras de política DLP forem escopo apenas para usuários na Equipe de Vendas e a política de risco interno criada a partir do modelo de vazamentos de dados tiver definido todos os usuários como no escopo, a política de risco interno só processará alertas DLP de alta gravidade para os usuários da Equipe de Vendas. A política de risco interno não receberá nenhum alerta de DLP de alta prioridade para que os usuários processem que não estejam definidos nas regras de DLP neste exemplo. Por outro lado, se sua política de gerenciamento de risco interno criada a partir dos modelos de Vazamento de dados tiver como escopo apenas usuários na equipe de vendas e a política de DLP atribuída tiver como escopo todos os usuários, a política de risco interno só processará alertas de DLP de alta severidade para membros da equipe de vendas. A política de gerenciamento de risco interno irá ignorar os alertas de DLP de alta severidade para todos os usuários que não fazem parte da equipe de vendas.

  • Certifique-se de que a configuração da regra Relatórios de incidentes na política DLP usada para este modelo de gerenciamento de risco interno esteja configurada para alertas de nível de Alta severidade. O nível de Alta severidade são os eventos de disparo e os alertas de gerenciamento de risco interno não serão gerados a partir das regras nas políticas DLP com o campo Relatórios de incidentes definido como Baixo ou Médio.

    Configuração de alerta de política DLP.

    Observação

    Ao criar uma nova política DLP usando os modelos internos, você precisará selecionar a opção Criar ou personalizar regras DLP avançadas para definir a configuração de Relatórios de incidentes para o nível de Alta severidade.

Cada política de gerenciamento de risco interno criada a partir do modelo de vazamentos de dados só pode ter uma política DLP atribuída ao usar essa opção de evento de gatilho. Considere criar uma política DLP dedicada que combine as diferentes atividades que você deseja detectar e agir como eventos de gatilho para políticas de risco interno que usam o modelo de vazamentos de dados .

Consulte o artigo Criar, testar e afinar uma política DLP para orientação passo a passo para configurar políticas DLP para sua organização.

Vazamento de dados por usuários prioritários (visualização)

A proteção de dados e a prevenção de vazamentos de dados para usuários em sua organização podem depender de sua posição, nível de acesso a informações confidenciais ou histórico de risco. Os vazamento de dados podem incluir o compartilhamento acidental em excesso de informações altamente confidenciais fora de sua organização ou furto de dados com intenção maliciosa. Com uma política de DLP (prevenção contra perda de dados) atribuída como uma opção de evento de gatilho, este modelo inicia a pontuação de detecções em tempo real de atividade suspeita e resulta em uma maior probabilidade de alertas e alertas de risco interno com níveis de gravidade mais altos. Os usuários prioritários são definidos em grupos de usuários prioritários configurados na área de configurações de gerenciamento de risco interno.

Assim como acontece com o modelo de vazamentos de dados, você pode escolher uma política DLP para disparar indicadores na política de risco interno para alertas de alta gravidade em sua organização. Siga as diretrizes de política de vazamento de dados para políticas DLP ao criar uma política com a opção DLP ao usar esse modelo. Você também pode optar por atribuir indicadores selecionados como disparando eventos para uma política. Essa flexibilidade e personalização ajudam a escopo da política apenas para as atividades abordadas pelos indicadores. Além disso, você precisará atribuir grupos de usuários prioritários criados no gerenciamento> de risco internoConfigurações Gruposde usuários prioritários> à política.

Vazamentos de dados por usuários arriscados (versão prévia)

Quando os usuários experimentam estressores de emprego, eles podem se tornar usuários arriscados, o que pode aumentar as chances de atividade de risco interno. Este modelo inicia a pontuação da atividade do usuário quando um indicador associado ao usuário de risco é identificado. Exemplos podem incluir notificações de melhoria de desempenho, avaliações de desempenho ruins, alterações no status do nível do trabalho ou email e outras mensagens que podem sinalizar atividades de risco. Os vazamentos de dados para usuários arriscados podem incluir o download de arquivos do SharePoint Online e a cópia de dados para serviços de armazenamento e mensagens de nuvem pessoais.

Ao usar esse modelo, você deve configurar um conector de RH, selecionar a opção para integrar sinais de risco de conformidade de comunicação de mensagens de usuário ou escolher ambos. O conector de RH permite a importação periódica de notificações de melhoria de desempenho, status de revisão de desempenho ruim ou informações de alteração no nível do trabalho para usuários em sua organização. A integração de risco de conformidade de comunicação importa sinais para mensagens de usuário que podem conter conteúdo de texto potencialmente ameaçador, assediador ou discriminatório. Os alertas associados gerados na Conformidade de Comunicação não precisam ser triados, corrigidos ou alterados no status para serem integrados à política de gerenciamento de risco interno.

Para configurar um conector de RH, consulte o artigo Importar dados com o conector de RH . Para configurar a integração com a conformidade de comunicação, você selecionará essa opção no assistente ao configurar a política.

Violações da política de segurança (versão prévia)

Em muitas organizações, os usuários têm permissão para instalar o software em seus dispositivos ou modificar as configurações do dispositivo para ajudar nas suas tarefas. De forma inadvertida ou com intenção maliciosa, os usuários podem instalar um malware ou desativar recursos de segurança importantes que ajudam a proteger as informações em seus dispositivos ou recursos de rede. Este modelo de diretiva usa alertas de segurança do Microsoft Defender para Ponto de Extremidade para começar a pontuar essas atividades e se concentar na detecção e alertas para essa área de risco. Use este modelo para fornecer informações sobre violações de políticas de segurança em cenários em que os usuários possam ter um histórico de violações de políticas de segurança que possam ser um indicador de risco interno.

Você precisará ter o Microsoft Defender para Ponto de Extremidade configurado em sua organização e habilitar o Defender para Ponto de Extremidade para integração do gerenciamento de risco interno na Centro de Segurança do Windows Defender para importar os alertas de violação de segurança. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade.

Uso indevido de dados do paciente (versão prévia)

Proteger dados de registros de saúde e evitar o uso indevido de dados pessoais de pacientes é uma preocupação significativa para as organizações do setor de saúde. Esse uso indevido pode incluir vazamentos de dados confidenciais para pessoas não autorizadas, modificação fraudulenta de registros de pacientes ou roubo de registros de saúde do paciente. Prevenir esse uso indevido de dados de pacientes, seja por falta de conscientização, negligência ou fraude por parte dos usuários, também é um componente fundamental para atender aos requisitos regulatórios da Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) e da Lei de Tecnologia de Informações de Saúde para Saúde Econômica e Clínica (HITECH). Ambos os atos estabelecem os requisitos para proteger as informações de integridade protegidas pelo paciente (PHI).

Esse modelo de política permite a pontuação de risco para usuários internos que detectam atividades suspeitas associadas a registros hospedados em sistemas EMR (registro médico eletrônico) existentes. A detecção se concentra no acesso não autorizado, na exibição, na modificação e na exportação de dados do paciente. Você precisará configurar um conector do conector do Microsoft Healthcare ou conector Epic para dar suporte à detecção de atividades de acesso, exfiltração ou ofuscação no sistema EMR.

Ao usar esse modelo, você também deve configurar um conector de RH da Microsoft para importar periodicamente dados de perfil da organização para usuários em sua organização. Consulte o artigo Configurar um conector para importar dados de RH para obter diretrizes passo a passo para configurar o conector do Microsoft 365 HR.

Uso arriscado do navegador (versão prévia)

Identificar a visitação do usuário a sites potencialmente inadequados ou inaceitáveis em dispositivos e redes da organização é uma parte importante para minimizar os riscos de segurança, legais e regulatórios. Os usuários que visitam inadvertidamente ou propositalmente esses tipos de sites podem expor a organização a ações legais de outros usuários, violar requisitos regulatórios, elevar riscos de segurança de rede ou comprometer as operações e oportunidades de negócios atuais e futuras. Esse uso indevido geralmente é definido na política de uso aceitável de uma organização para dispositivos de usuário e recursos de rede da organização, mas muitas vezes é difícil identificar e agir rapidamente.

Para ajudar a proteger contra esses riscos, essa política pode ajudar a detectar e habilitar a pontuação de risco para navegação na Web que pode estar violando a política de uso aceitável da sua organização, como visitar sites que representam uma ameaça (por exemplo, sites de phishing) ou conter conteúdo adulto. Vários tipos de categorias estão disponíveis para categorização automática de atividades de navegação na Web por usuários no escopo.

Ao usar esse modelo de política, você precisará de vários pré-requisitos. Para obter mais informações, consulte Saiba mais sobre e configure a detecção de sinal do navegador de gerenciamento de risco interno.

Violações da política de segurança por usuários em processo de desligamento (visualização)

Os usuários em processo de desligamento, quer saiam em termos positivos ou negativos, podem apresentar maiores riscos de violações da política de segurança. Para ajudar a proteger contra violações de segurança inadvertidas ou mal-intencionadas para usuários em processo de desligamento, este modelo de política usa alertas do Defender para Ponto de Extremidade para fornecer informações sobre atividades relacionadas à segurança. Estas atividades incluem o usuário instalando malware ou outras aplicações potencialmente prejudiciais e desativando os recursos de segurança em seus dispositivos. Usando o conector de RH da Microsoft ou a opção de verificar automaticamente a exclusão da conta de usuário no Azure Active Directory para sua organização, este modelo inicia a pontuação para indicadores de risco relacionados a essas atividades de segurança e como eles se correlacionam com o status de emprego do usuário.

Você precisará ter Microsoft Defender para Ponto de Extremidade configurado em sua organização e habilitar o Defender para Ponto de Extremidade para integração de gerenciamento de risco interno na Central de Segurança de Defenfder para importar alertas de violação de segurança. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade.

Violações da política de segurança por usuários prioritários (visualização)

Proteger contra violações de segurança para usuários em sua organização pode depender de sua posição, nível de acesso a informações confidenciais ou histórico de riscos. Como as violações de segurança por usuários prioritários podem ter um impacto significativo nas áreas críticas da sua organização, esse modelo de política começa a pontuar nesses indicadores e usa Microsoft Defender para Ponto de Extremidade alertas para fornecer insights sobre atividades relacionadas à segurança para esses usuários. Estas atividades podem incluir os usuários prioritários instalando malware ou outras aplicações potencialmente prejudiciais e desativando os recursos de segurança em seus dispositivos. Os usuários prioritários são definidos em grupos de usuários prioritários configurados na área de configurações de gerenciamento de risco interno.

Você precisará ter o Microsoft Defender para Ponto de Extremidade configurado em sua organização e habilitar o Defender para Ponto de Extremidade para integração do gerenciamento de risco interno na Centro de Segurança do Windows Defender para importar os alertas de violação de segurança. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade. Além disso, você precisará atribuir grupos de usuários prioritários criados no gerenciamento> de risco internoConfigurações Gruposde usuários prioritários> à política.

Violações de política de segurança por usuários arriscados (versão prévia)

Os usuários que experimentam fatores de estresse no emprego podem estar sob maior risco de violações inadvertidas ou mal intencionadas da política de segurança. Esses estressores podem resultar em comportamentos que resultam na colocação do usuário em um plano de melhoria de desempenho, um status de revisão de desempenho ruim, sendo rebaixado de sua posição atual ou o usuário enviando email e outras mensagens que podem sinalizar comportamento de risco. Este modelo de política inicia a pontuação de risco com base nestes indicadores e atividades associadas a estes eventos para estes usuários.

Ao usar esse modelo, você deve configurar um conector de RH ou selecionar a opção para integrar sinais de risco de conformidade de comunicação de mensagens de usuário ou ambos. O conector de RH permite a importação periódica de notificações de melhoria de desempenho, status de revisão de desempenho ruim ou informações de alteração no nível do trabalho para usuários em sua organização. A integração de risco de conformidade de comunicação importa sinais para mensagens de usuário que podem conter conteúdo de texto potencialmente ameaçador, assediador ou discriminatório. Os alertas associados gerados na conformidade de comunicação não precisam ser triados, corrigidos ou alterados no status para serem integrados à política de gerenciamento de risco interno. Para configurar um conector de RH, consulte o artigo Importar dados com o conector de RH . Para configurar a integração com a conformidade de comunicação, você selecionará essa opção no assistente ao configurar a política.

Você também precisará ter o Microsoft Defender para Ponto de Extremidade configurado na sua organização e habilitar o Defender para Ponto de Extremidade para integração do gerenciamento de risco interno na Central de Segurança do Windows Defender para importar os alertas de violação de segurança. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade.

Pré-requisitos do modelo de política e eventos de disparo

Dependendo do modelo que você escolher para uma política de gerenciamento de risco interno, os eventos de disparo e os pré-requisitos da política variam. Os eventos de disparo são pré-requisitos que determinam se um usuário está ativo para uma política de gerenciamento de risco interno. Se um usuário for adicionado a uma política de gerenciamento de risco interno, mas não tiver um evento de gatilho, a atividade do usuário não será avaliada pela política, a menos que seja adicionada manualmente no painel Usuários. Os pré-requisitos da política são itens necessários para que a política receba os sinais ou atividades necessárias para avaliar o risco.

A tabela a seguir lista os eventos de disparo e os pré-requisitos para políticas criadas a partir de cada modelo de política de gerenciamento de risco interno:

Modelo de política Eventos de disparo para políticas Pré-requisitos
Furto de dados por usuários em processo de desligamento Indicador de data de demissão ou término do conector de RH ou exclusão da conta do Azure Active Directory (opcional) O conector de RH do Microsoft 365 configurado para indicadores de data de rescisão e demissão
Vazamentos de dados Atividade de política de vazamento de dados que cria um alerta de Alta severidade ou eventos de disparo de exfiltração internos Política DLP configurada para alertas de alta gravidade

OU

Indicadores de gatilho personalizados
- Vazamento de dados por usuários prioritários Atividade de política de vazamento de dados que cria um alerta de Alta severidade ou eventos de disparo de exfiltração internos Política DLP configurada para alertas de alta gravidade

OU

Indicadores de gatilho personalizados

Grupos de usuários prioritários definidos nas configurações de risco interno
Vazamentos de dados por usuários arriscados – Melhoria de desempenho, desempenho ruim ou indicadores de alteração no nível do trabalho do conector de RH.
- Mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória
Conector de RH do Microsoft 365 configurado para indicadores de descontentamento

AND/OR

Integração de conformidade de comunicação e política de descontentamento dedicada
Violações da política de segurança Evasão de defesa de controles de segurança ou software indesejado detectado por Microsoft Defender para Ponto de Extremidade Assinatura ativa do Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade integração com portal de conformidade do Microsoft Purview configurado
Uso indevido de dados do paciente Evasão de defesa de controles de segurança de sistemas EMR

Indicadores de correspondência de endereço de usuário e paciente de sistemas de RH
Indicadores de acesso à saúde selecionados em configurações de risco interno ou de política

Conector de RH do Microsoft 365 configurado para correspondência de endereços

Microsoft Healthcare ou conector Epic configurado
Uso arriscado do navegador Atividade de navegação do usuário relacionada à segurança que corresponde a pelo menos um indicador de navegação selecionado Confira a lista completa de pré-requisitos no artigo de detecção de sinal do navegador
Violações da política de segurança por usuários em processo de desligamento Indicadores de demissão ou data de rescisão do conector de RH, ou exclusão da conta do Azure Active Directory (opcional) O conector de RH do Microsoft 365 configurado para indicadores de data de rescisão e demissão

Assinatura ativa do Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade integração com portal de conformidade do Microsoft Purview configurado
Violações da política de segurança por usuários prioritários Evasão de defesa de controles de segurança ou software indesejado detectado por Microsoft Defender para Ponto de Extremidade Assinatura ativa do Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade integração com portal de conformidade do Microsoft Purview configurado

Grupos de usuários prioritários definidos nas configurações de risco interno
Violações de política de segurança por usuários arriscados – Melhoria de desempenho, desempenho ruim ou indicadores de alteração no nível do trabalho do conector de RH.
- Mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória
Conector de RH do Microsoft 365 configurado para indicadores de risco

AND/OR

Integração de conformidade de comunicação e política de usuário de risco dedicado

E

Assinatura ativa do Microsoft Defender para Ponto de Extremidade

Microsoft Defender para Ponto de Extremidade integração com portal de conformidade do Microsoft Purview configurado

Priorize o conteúdo nas políticas

As políticas de gerenciamento de risco interno dão suporte à especificação de uma prioridade maior para o conteúdo, dependendo de onde ele é armazenado, do tipo de conteúdo ou de como ele é classificado. Você também pode escolher se deve atribuir pontuações de risco a todas as atividades detectadas por uma política ou apenas atividades que incluem conteúdo prioritário. Especificar o conteúdo como uma prioridade aumenta a pontuação de risco para qualquer atividade associada, o que, por sua vez, aumenta a chance de gerar um alerta de alta severidade. No entanto, algumas atividades não gerarão nenhum alerta, a menos que o conteúdo relacionado contenha tipos de informações confidenciais internas ou personalizadas ou tenha sido especificado como prioridade na política.

Por exemplo, sua organização tem um site do SharePoint dedicado para um projeto altamente confidencial. Os vazamento de dados para informações neste site do SharePoint podem comprometer o projeto e ter um impacto significativo no seu sucesso. Ao priorizar este site do SharePoint em uma política de Vazamento de Dados, as pontuações de risco para atividades qualificadas aumentam automaticamente. Esta priorização aumenta a probabilidade de que estas atividades gerem um alerta de risco interno e aumenta o nível de severidade do alerta.

Além disso, você pode optar por concentrar essa política para a atividade do site do SharePoint que inclui apenas conteúdo prioritário para este projeto. As pontuações de risco serão atribuídas e os alertas serão gerados somente quando as atividades especificadas incluirem conteúdo prioritário. Atividades sem conteúdo prioritário não serão pontuadas, mas você ainda poderá revisá-las se um alerta for gerado.

Observação

Se você configurar uma política para gerar alertas apenas para atividades que incluem conteúdo prioritário, nenhuma alteração será aplicada aos impulsionadores de pontuação de risco.

Quando você cria uma política de gerenciamento de risco interno no assistente de políticas, você pode escolher entre as seguintes prioridades:

  • Sites do SharePoint: Qualquer atividade associada a todos os tipos de arquivos definidos em sites do SharePoint receberão uma pontuação de risco mais alta. Os usuários que configuram a política e selecionam sites prioritários do SharePoint podem selecionar sites do SharePoint que têm permissão para acessar. Se os sites do SharePoint não estiverem disponíveis para seleção na política pelo usuário atual, outro usuário com as permissões necessárias poderá selecionar os sites para a política posteriormente ou o usuário atual deverá ter acesso aos sites necessários.
  • Tipos de informação confidencial: Qualquer atividade associada ao conteúdo que contenha tipos de informação confidencial receberão uma pontuação de risco mais alta.
  • Rótulos de confidencialidade: Qualquer atividade associada a conteúdo que tenha específicos rótulos confidencialidade aplicados receberão uma pontuação de risco mais alta.
  • Extensões de arquivo: qualquer atividade associada ao conteúdo que tenha extensões de arquivo específicas. Os usuários que configuram uma política de roubo/vazamento de dados que selecionam Extensões de arquivo para priorizar no assistente de política podem definir até 50 extensões de arquivo para priorizar na política. As extensões inseridas podem incluir ou omitir um '.' como o primeiro caractere da extensão priorizada.
  • Classificadores treináveis: qualquer atividade associada ao conteúdo incluído em um classificador treinável. Os usuários que configurarem uma política que selecione Classificadores treináveis no assistente de política podem selecionar até cinco classificadores treináveis para aplicar à política. Esses classificadores podem ser classificadores existentes que identificam padrões de informações confidenciais, como segurança social, cartão de crédito ou números de conta bancária ou classificadores personalizados criados em sua organização.

Detecção de sequência (visualização)

As atividades de gerenciamento de risco podem não ocorrer como eventos isolados. Esses riscos são frequentemente parte de uma sequência maior de eventos. Uma sequência é um grupo de duas ou mais atividades potencialmente arriscadas executadas uma após a outra que pode sugerir um risco elevado. Identificar essas atividades de usuário relacionadas é uma parte importante da avaliação do risco geral. Quando a detecção de sequência é selecionada para políticas de roubo de dados ou vazamentos de dados, os insights das atividades de informações de sequência são exibidos na guia Atividade do usuário dentro de um caso de gerenciamento de risco interno. Os seguintes modelos de diretiva suportam detecção de sequências:

  • Furto de dados por usuários em processo de desligamento
  • Vazamentos de dados
  • - Vazamento de dados por usuários prioritários
  • Vazamentos de dados por usuários arriscados

Essas políticas de gerenciamento de risco interno podem usar indicadores específicos e a ordem em que ocorrem para detectar cada etapa em uma sequência de risco. Para políticas criadas a partir de vazamentos de dados e vazamentos de dados por modelos de usuário prioritários , você também pode selecionar quais sequências disparam a política. Os nomes de arquivo são usados ao mapear atividades em uma sequência. Esses riscos são organizados em quatro categorias principais de atividade:

  • Coleção: detecta atividades de download por usuários de política no escopo. As atividades de gerenciamento de risco de exemplo incluem baixar arquivos de sites do SharePoint ou mover arquivos para uma pasta compactada.
  • Exfiltração: detecta atividades de compartilhamento ou extração para fontes internas e externas por usuários de política no escopo. Uma atividade de gerenciamento de risco de exemplo inclui o envio de emails com anexos da sua organização para destinatários externos.
  • Ofuscação: detecta o mascaramento de atividades potencialmente arriscadas por usuários de política no escopo. As atividades de gerenciamento de risco de exemplo incluem renomear arquivos em um dispositivo ou remover ou rebaixar rótulos de confidencialidade em arquivos do SharePoint.
  • Limpeza: detecta atividades de exclusão por usuários de política no escopo. Uma atividade de gerenciamento de risco de exemplo inclui a exclusão de arquivos de um dispositivo.

Observação

A detecção de sequência usa indicadores habilitados nas configurações globais para gerenciamento de risco interno. Se os indicadores apropriados não forem selecionados, você poderá ativar esses indicadores na etapa de detecção de sequência no assistente de política.

Você pode personalizar as configurações de limites individuais para cada tipo de detecção de sequência quando configurado na política. Essas configurações de limite ajustam alertas com base no volume de arquivos associados ao tipo de sequência.

Para saber mais sobre o gerenciamento de detecção de sequência na exibição da Atividade do usuário, consulte Casos de gerenciamento de risco interno: Atividade do usuário.

Detecção de exfiltração cumulativa (visualização)

Com a privacidade ativada por padrão, os indicadores de risco interno ajudam a identificar níveis incomuns de atividades de risco quando avaliados diariamente para usuários que estão no escopo de políticas de risco interno. A detecção cumulativa de exfiltração usa modelos de machine learning para ajudá-lo a identificar quando as atividades de exfiltração que um usuário executa ao longo de um determinado tempo excedem a quantidade normal executada pelos usuários em sua organização nos últimos 30 dias em vários tipos de atividade de exfiltração. Por exemplo, se um usuário compartilhasse mais arquivos do que a maioria dos usuários no último mês, essa atividade seria detectada e classificada como uma atividade cumulativa de exfiltração.

Analistas e investigadores de gerenciamento de risco interno podem usar insights cumulativos de detecção de exfiltração para ajudar a identificar atividades de exfiltração que normalmente não geram alertas , mas estão acima do que é típico para sua organização. Alguns exemplos podem estar deixando os usuários exfiltrar dados lentamente em vários dias ou quando os usuários compartilham dados repetidamente em vários canais mais do que o habitual para compartilhamento de dados para sua organização ou em comparação com seus grupos de pares.

Observação

Por padrão, a detecção cumulativa de exfiltração gera pontuações de risco com base na atividade cumulativa de exfiltração de um usuário em comparação com suas normas de organização. Você pode habilitar opções cumulativas de detecção de exfiltração na seção Indicadores de política da página Configurações de gerenciamento de risco do Insider. Pontuações de risco mais altas são atribuídas a atividades cumulativas de exfiltração para sites do SharePoint, tipos de informações confidenciais e conteúdo com rótulos de confidencialidade configurados como conteúdo prioritário em uma política ou para atividades envolvendo rótulos configurados como de alta prioridade em Proteção de Informações do Microsoft Purview.

A detecção de exfiltração cumulativa é habilitada por padrão ao usar os seguintes modelos de política:

  • Furto de dados por usuários em processo de desligamento
  • Vazamentos de dados
  • - Vazamento de dados por usuários prioritários
  • Vazamentos de dados por usuários arriscados

Grupos de pares para detecção cumulativa de exfiltração

O gerenciamento de risco interno identifica três tipos de grupos par para analisar a atividade de exfiltração executada pelos usuários. Os grupos de pares definidos para usuários baseiam-se nos seguintes critérios:

Sites do SharePoint: o gerenciamento de risco interno identifica grupos de pares com base em usuários que acessam sites semelhantes do SharePoint.

Organização semelhante: usuários com relatórios e membros da equipe com base na hierarquia da organização. Essa opção exige que sua organização use o Azure Active Directory (Azure AD) para manter a hierarquia da organização.

Título de trabalho semelhante: usuários com uma combinação de distância organizacional e títulos de trabalho semelhantes. Por exemplo, um usuário com um título do Senior Sales Manager com uma designação de função semelhante a um Gerenciador de Vendas líder na mesma organização seria identificado como um título de trabalho semelhante. Essa opção exige que sua organização use Azure AD para manter a hierarquia da organização, designações de função e títulos de trabalho. Se você não tiver Azure AD configurado para a estrutura da organização e títulos de trabalho, o gerenciamento de risco interno identificará grupos de pares com base em sites comuns do SharePoint.

Se você habilitar a detecção cumulativa de exfiltração, sua organização concordará em compartilhar dados Azure AD com o portal de conformidade, incluindo hierarquia de organização e títulos de trabalho. Se sua organização não usar Azure AD para manter essas informações, a detecção poderá ser menos precisa.

Observação

A detecção de exfiltração cumulativa usa indicadores de exfiltração habilitados nas configurações globais para gerenciamento de risco interno e indicadores de exfiltração selecionados em uma política. Como tal, a detecção de exfiltração cumulativa é avaliada apenas para os indicadores de exfiltração necessários selecionados. Atividades cumulativas de exfiltração para rótulos de confidencialidade configurados em conteúdo prioritário geram pontuações de risco mais altas.

Quando a detecção de exfiltração cumulativa está habilitada para políticas de furto ou vazamento de dados, os insights das atividades de exfiltração cumulativa são exibidos na guia Atividade do usuário em um caso de gerenciamento de risco interno. Para saber mais sobre o gerenciamento de atividades do usuário, confira Casos de gerenciamento de risco do Insider: atividades do usuário.

Integridade da política

O status de integridade da política fornece informações sobre possíveis problemas com suas políticas de gerenciamento de risco interno. A coluna Status na guia Políticas pode alertá-lo para problemas de políticas que podem impedir que a atividade do usuário seja relatada ou por que o número de alertas de atividade é incomum. O estado da integridade da política também pode confirmar que a política está íntegra e não precisa de atenção ou mudanças na configuração.

Se houver problemas com uma política, o estado de integridade da política exibirá notificações de avisos e recomendações para ajudá-lo a tomar medidas para resolver os problemas de política. Essas notificações podem ajudá-lo a resolver os seguintes problemas:

  • Políticas com configuração incompleta. Estas questões podem incluir usuários ou grupos ausentes na política ou outras etapas incompletas de configuração da política.
  • Políticas com problemas de configuração de indicador. Os indicadores são uma parte importante de cada política. Se os indicadores não forem configurados ou se poucos indicadores forem selecionados, a política pode não avaliar as atividades de risco conforme o esperado.
  • Os gatilhos de política não estão funcionando ou os requisitos de gatilho de política não estão configurados corretamente. A funcionalidade da política pode depender de outros serviços ou requisitos de configuração para detectar efetivamente os eventos de disparo para ativar a atribuição de pontuação de risco aos usuários na política. Essas dependências podem incluir problemas com a configuração do conector, o compartilhamento de alerta do Microsoft Defender para Ponto de Extremidade ou a definição da configuração da política de prevenção de perda de dados.
  • Os limites de volume estão próximos ou acima dos limites. As políticas de gerenciamento de risco interno utilizam inúmeros serviços e pontos de extremidade do Microsoft 365 para agregar sinais de atividade de risco. Dependendo do número de usuários em suas políticas, os limites de volume podem atrasar a identificação e o relatório de atividades de risco. Saiba mais sobre estes limites na seção de limites do Modelo de Política deste artigo.

Para exibir rapidamente o status de integridade de uma política, navegue pela guia Política e pela coluna Status . Aqui você verá as seguintes opções de status de integridade da política para cada política:

  • Saudável: nenhum problema foi identificado com a política.
  • Recomendações: um problema com a política que pode impedir que a política opere conforme o esperado.
  • Avisos: um problema com a política que pode impedi-la de identificar atividades potencialmente arriscadas.

Para mais detalhes sobre quaisquer recomendações ou avisos, selecione uma política na guia Política para abrir o cartão de detalhes da política. Mais informações sobre as recomendações e avisos, incluindo diretrizes sobre como resolver esses problemas, são exibidas na seção Notificações do cartão de detalhes.

Integridade da política de gerenciamento de risco interno.

Mensagens de notificação

Use a tabela a seguir para saber mais sobre recomendações e notificações de advertência, e ações a serem tomadas para resolver possíveis problemas.

Mensagens de notificação Modelos de política Causas / Experimente esta ação para corrigir
A política não está atribuindo pontuações de risco à atividade Todos os modelos de política Talvez você queira examinar o escopo da política e disparar a configuração de eventos para que a política possa atribuir pontuações de risco às atividades

1. Revise os usuários selecionados para a política. Se tiver poucos usuários selecionados, você pode desejar selecionar mais usuários.
2. Se você estiver usando um conector de RH, verifique se o seu conector de RH está enviando corretamente os dados.
3. Se você estiver usando uma política DLP como evento de gatilho, verifique a configuração da política DLP para garantir que ela esteja configurada para ser usada nesta política.
4. Para políticas de violação de segurança, examine o status de triagem de alerta Microsoft Defender para Ponto de Extremidade selecionado nas configurações de risco insider Detecções > inteligentes. Confirme se o filtro de alerta não está muito estreito.
A política não gerou nenhum alerta Todos os modelos de política Talvez você queira examinar sua configuração de política para que você esteja analisando a atividade de pontuação mais relevante.

1. Confirme que você selecionou os indicadores que deseja pontuar. Quanto mais indicadores forem selecionados, mais atividades serão atribuídas a classificações de risco.
2. Revise o limite de personalização para a política. Se os limites selecionados não se alinharem à tolerância ao risco da sua organização, ajuste as seleções para que os alertas sejam criados com base em seus limites preferenciais.
3. Revise os usuários e grupos selecionados para a política. Confirme que você selecionou todos os usuários e grupos aplicáveis.
4. Para políticas de violação de segurança, confirme que você selecionou o status de triagem de alerta que deseja pontuar para o Microsoft Defender para alertas de Terminais em Detecções Inteligentes nas configurações.
Não há usuários ou grupos incluídos nesta política Todos os modelos de política Os usuários ou grupos não estão atribuídos à política.

Edite sua política e selecione os usuários ou grupos para a política.
Não há indicadores selecionados para esta política Todos os modelos de política Os indicadores não foram selecionados para a política

Edite sua política e selecione os indicadores de política apropriados para a política.
Não há grupos de usuários prioritários incluídos nesta política - Vazamento de dados por usuários prioritários
- Violações da política de segurança por usuários prioritários
Grupos de usuários prioritários não estão atribuídos à política.

Configure grupos de usuários prioritários nas configurações de gerenciamento de risco interno e atribua grupos de usuários prioritários à política.
Nenhum evento de disparo foi selecionado para esta política Todos os modelos de política Um evento de disparo não está configurado para a política

As pontuações de risco não serão atribuídas às atividades do usuário até que você edite a política e selecione um evento de disparo.
O conector de RH não está configurado ou funcionando como esperado - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
Há um problema com o conector de RH.

1. Se você estiver usando um conector de RH, verifique se o seu conector de RH está enviando corretamente os dados

OU

2. Selecione o evento de disparo excluído da conta do Azure AD.
Não há dispositivos integrados - Furto de dados por usuários em processo de desligamento
- Vazamentos de dados
- Vazamentos de dados por usuários arriscados
- Vazamento de Dados por usuários prioritários
Os indicadores de dispositivo são selecionados, mas não há nenhum dispositivo integrado ao portal de conformidade

Verifique se os dispositivos estão integrados e atendem aos requisitos.
O conector de RH não carregou dados recentemente - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
O conector de RH não importa dados há mais de 7 dias.

Verifique se o conector de RH está configurado corretamente e enviando dados.
Não é possível verificar o status do conector de RH agora, verifique novamente mais tarde - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
A solução de gerenciamento de risco interno não consegue verificar o status do seu conector de RH.

Verifique se o conector de RH está configurado corretamente e enviando dados ou volte e verifique o status da política.
A política DLP não foi selecionada como o evento de disparo - Vazamentos de dados
- Vazamento de dados por usuários prioritários
Uma política DLP não foi selecionada como um evento de gatilho ou a política DLP selecionada foi excluída.

Edite a política e selecione uma política DLP ativa ou 'O usuário executa uma atividade de exfiltração' como o evento de disparo na configuração da política.
A política DLP usada nesta política está desativada - Vazamentos de dados
- Vazamento de dados por usuários prioritários
A política DLP usada nesta política está desativada.

1. Ative a política DLP atribuída a esta política.

OU

2. Edite esta política e selecione uma nova política DLP ou 'O usuário executa uma atividade de exfiltração' como o evento de disparo na configuração da política.
A política DLP não atende aos requisitos - Vazamentos de dados
- Vazamento de dados por usuários prioritários
As políticas DLP usadas como eventos de disparo devem ser configuradas para gerar alertas de alta severidade.

1. Edite sua política DLP para atribuir alertas aplicáveis como Alta severidade.

OU

2. Edite esta política e selecione O usuário executa uma atividade de exfiltração como o evento de disparo.
Sua organização não tem uma assinatura do Microsoft Defender para Ponto de Extremidade - Violações de política de segurança
- Violações da política de segurança por usuários em processo de desligamento
- Violações de política de segurança por usuários arriscados
- Violações da política de segurança por usuários prioritários
Não foi detectada uma assinatura ativa do Microsoft Defender para Ponto de Extremidade na sua organização.

Até que uma assinatura do Microsoft Defender para Ponto de Extremidade seja adicionada, estas políticas não atribuirão pontuações de risco à atividade do usuário.
Microsoft Defender para Ponto de Extremidade alertas não estão sendo compartilhados com o portal de conformidade - Violações de política de segurança
- Violações da política de segurança por usuários em processo de desligamento
- Violações de política de segurança por usuários arriscados
- Violações da política de segurança por usuários prioritários
Microsoft Defender para Ponto de Extremidade alertas não estão sendo compartilhados com o portal de conformidade.

Configure o compartilhamento de alertas do Microsoft Defender para Ponto de Extremidade.
Você está se aproximando do limite máximo de usuários sendo pontuados ativamente para este modelo de política Todos os modelos de política Cada modelo de política possui um número máximo de usuários no escopo. Veja os detalhes da seção de limites do modelo.

Examine os usuários na guia Usuários e remova todos os usuários que não precisam mais ser pontuados.
O evento de gatilho está ocorrendo repetidamente para mais de 15% dos usuários nesta política Todos os modelos de política Ajuste o evento de gatilho para ajudar a reduzir a frequência com que os usuários são trazidos para o escopo da política.

Limites do modelo de política

Os modelos de políticas de gerenciamento de risco interno usam limites para gerenciar o volume e a taxa de processamento para atividades de risco de usuário no escopo e como esse processo é integrado ao suporte aos serviços do Microsoft 365. Cada modelo de política tem um número máximo de usuários que podem ser atribuídos ativamente pontuações de risco para a política que pode dar suporte e processar e relatar atividades potencialmente arriscadas. Os usuários no escopo são usuários com eventos de disparo para a política.

O limite para cada política é calculado com base no número total de usuários únicos que recebem pontuações de risco por tipo de modelo de política. Se o número de usuários para um tipo de modelo de política estiver próximo ou exceder o limite do usuário, o desempenho da política será reduzido. Para visualizar o número atual de usuários para uma política, navegue até a guia Política e os Usuários na coluna escopo. Você pode ter até cinco políticas para qualquer modelo de política. Estes limites máximos se aplicam aos usuários em todas as políticas usando um determinado modelo de política.

Use a tabela a seguir para determinar o número máximo de usuários no escopo suportado para cada modelo de política:

Modelo de política Máximo de usuários no escopo atual
Vazamento de dados gerais 15.000
Vazamento de dados por usuários arriscados 7.500
Vazamento de dados por usuários prioritários 1.000
Furto de dados por usuários em processo de desligamento 20,000
Violações da política de segurança 1.000
Uso indevido de dados do paciente 5.000
Uso arriscado do navegador 7,000
Violações da política de segurança por usuários prioritários 1.000
Violações da política de segurança por usuários em processo de desligamento 15.000
Violações de política de segurança por usuários arriscados 7.500
Evidência forense 5 usuários para versão prévia

Criar uma nova política

Para criar uma nova política de gerenciamento de risco interno, você geralmente usará o assistente de política na solução de gerenciamento de riscos do Insider no portal de conformidade do Microsoft Purview. Você também pode criar políticas rápidas para vazamentos gerais de dados e roubo de dados, partindo usuários das verificações do Analytics, se aplicável.

Conclua as seguintes etapas para criar uma nova política usando o assistente de política:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.

  2. Selecione Criar política para abrir o assistente de política.

  3. Na página Modelo de política, escolha uma categoria de política e depois selecione o modelo para a nova política. Esses modelos são compostos por condições e indicadores que definem as atividades de risco que você deseja detectar e investigar. Revise os pré-requisitos do modelo, eventos de disparo e atividades detectadas para confirmar se este modelo de política atende às suas necessidades.

    Importante

    Alguns modelos de políticas têm pré-requisitos que devem ser configurados para que a política gere alertas relevantes. Se você não tiver configurado os pré-requisitos de política aplicáveis, consulte Etapa 4 no Introdução ao gerenciamento de risco interno.

  4. Selecione Avançar para continuar.

  5. Na página Nom e descrição, complete os seguintes campos:

    • Nome (obrigatório): Digite um nome amigável para a política. Esse nome não pode ser alterado após a criação da política.
    • Descrição (opcional): Insira uma descrição para a política.
  6. Selecione Avançar para continuar.

  7. Na página Usuários e grupos, selecione Incluir todos os usuários e grupos ou Incluir usuários e grupos específicos para definir quais usuários ou grupos estão incluídos na política, ou se você escolheu um modelo baseado em usuários prioritários; selecione Adicionar ou editar grupos de usuários prioritários. Selecionar Incluir todos os usuários e grupos irá procurar eventos de disparo para todos os usuários e grupos em sua organização para começar a atribuir pontuações de risco para a política. Selecionando Incluir usuários e grupos específicos permitirá definir quais usuários e grupos devem atribuir à política. Não há suporte para contas de usuário convidado.

  8. Selecione Avançar para continuar.

  9. Na página Conteúdo a priorizar, você pode atribuir (se necessário) as fontes a serem priorizadas, o que aumenta a chance de gerar um alerta de alta severidade para essas fontes. Selecione uma das seguintes opções:

    • Quero priorizar o conteúdo. A seleção dessa opção permitirá priorizar sites do SharePoint, rótulos de confidencialidade, tipos de informações confidenciais e tipos de conteúdo de extensões de arquivo. Se você escolher essa opção, deverá selecionar pelo menos um tipo de conteúdo de prioridade.
    • Não quero especificar conteúdo prioritário agora. Selecionar essa opção ignorará as páginas de detalhes do conteúdo prioritário no assistente.
  10. Selecione Avançar para continuar.

  11. Se você tiver selecionado quero priorizar o conteúdo na etapa anterior, verá as páginas de detalhes para sites do SharePoint, tipos de informações confidenciais, rótulos de confidencialidade, extensões de arquivo e Pontuação. Use essas páginas de detalhes para definir o SharePoint, tipos de informações confidenciais, rótulos de confidencialidade e extensões de arquivo para priorizar na política. A página De detalhes de pontuação permite que você escopo da política para atribuir apenas pontuações de risco ao conteúdo de prioridade.

    • Sites do SharePoint: Selecione Adicionar site do SharePoint e selecione os sites SharePoint aos quais você tem acesso e deseja priorizar. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".
    • Tipo de informação confidencial: Selecione Adicionar o tipo de informação confidencial e selecione os tipos de informações confidenciais que você deseja priorizar. Por exemplo, "Número de Conta Bancária nos EUA" e "Número do Cartão de Crédito".
    • Rótulos de confidencialidade: Selecione Adicionar o rótulo de confidencialidade e selecione os rótulos que você deseja priorizar. Por exemplo, "Confidencial" e "Secreto".
    • Extensões de arquivo: adicione até 50 extensões de arquivo. Você pode incluir ou omitir o '.' com a extensão de arquivo. Por exemplo, .py ou py priorizaria arquivos Python.
    • Pontuação: decida se deve atribuir pontuações de risco a todas as atividades detectadas por essa política ou apenas para atividades que incluem conteúdo prioritário. Escolha Obter alertas para todas as atividades ou Obter alertas apenas para atividades que incluam conteúdo prioritário.

    Observação

    Os usuários que configuram a política e determinam sites prioritários do SharePoint podem selecionar sites do SharePoint que têm permissão para acessar. Se os sites do SharePoint não estiverem disponíveis para seleção na política pelo usuário atual, outro usuário com as permissões necessárias poderá selecionar os sites para a política posteriormente ou o usuário atual deverá ter acesso aos sites necessários.

  12. Selecione Avançar para continuar.

  13. Se você tiver selecionado os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários , verá opções na página Gatilhos para esta política para disparar eventos personalizados e indicadores de política. Você tem a opção de selecionar uma política DLP ou indicadores para disparar eventos que trazem usuários atribuídos à política no escopo para pontuação de atividade. Se você selecionar a opção de evento de acionamento de política DLP (prevenção contra perda de dados), você deverá selecionar uma política DLP na lista suspensa de política DLP para habilitar o acionamento de indicadores para a política DLP para essa política de gerenciamento de risco interno. Se você selecionar o Usuário executa uma opção de evento de acionamento de atividade de exfiltração , você deverá selecionar um ou mais dos indicadores listados para o evento de acionamento de política.

    Importante

    Se você não puder selecionar um indicador listado, é porque eles não estão habilitados para sua organização. Para disponibilizá-los para selecionar e atribuir à política, habilite os indicadores emIndicadores de Políticade Configurações> de Gerenciamento> de Risco interno.

    Se você tiver selecionado outros modelos de política, não há suporte para eventos de gatilho personalizados. Os eventos de gatilho de política interna se aplicam e você continuará na Etapa 23 sem definir atributos de política.

  14. Se você tiver selecionado os vazamentos de dados por usuários arriscados ou violações de política de segurança por modelos de usuários arriscados , verá opções na página Gatilhos para esta política para integração com a conformidade de comunicação e eventos do conector de dados de RH. Você tem a opção de atribuir pontuações de risco quando os usuários enviam mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória ou para trazer usuários para o escopo da política após eventos de usuário arriscados serem relatados em seu sistema de RH. Se você selecionar a opção Gatilhos de risco da conformidade de comunicação (versão prévia), poderá aceitar a política de conformidade de comunicação padrão (criada automaticamente), escolher um escopo de política criado anteriormente para esse gatilho ou criar outra política de escopo. Se você selecionar eventos do conector de dados de RH, deverá configurar um conector de dados de RH para sua organização.

  15. Selecione Avançar para continuar.

  16. Se você selecionou os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários e selecionou o Usuário executa uma atividade de exfiltração e indicadores associados, você pode escolher limites personalizados ou padrão para o indicador que dispara eventos selecionados. Escolha usar limites padrão (recomendado) ou Usar limites personalizados para os eventos de gatilho.

  17. Selecione Avançar para continuar.

  18. Se você selecionou Usar limites personalizados para os eventos de gatilho, para cada indicador de evento de gatilho selecionado na Etapa 13, escolha o nível apropriado para gerar o nível desejado de alertas de atividade.

  19. Selecione Avançar para continuar.

  20. Na página Indicadores de política, você verá os indicadores que você definiu como disponíveis na páginaIndicadores de configurações> de risco do Insider. Selecione os indicadores que deseja aplicar à política.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas. Você pode usar o botão Ativar indicadores no assistente ou selecionar indicadores na página Gerenciamento de risco interno>Configurações>Indicadores de política.

    Se você selecionou pelo menos um indicador doOffice ou Dispositivo, selecione o indicador Impulsionador da pontuação de risco, conforme o caso. Os impulsionadores de pontuação de risco são aplicáveis apenas para indicadores selecionados. Se você selecionou um modelo de política de Furto de dados ou Vazamento de dados, selecione um ou mais métodos de Detecção de sequência e um método de Detecção de exfiltração cumulativa a ser aplicado à política. Se você tiver selecionado o modelo de política de uso do navegador arriscado , selecione um ou mais dos indicadores de navegação.

  21. Selecione Avançar para continuar.

  22. Na página Decidir se você deve usar limites de indicador padrão ou personalizado , escolha limites personalizados ou padrão para os indicadores de política selecionados. Escolha usar limites padrão para todos os indicadores ou Especificar limites personalizados para os indicadores de política selecionados. Se você selecionou Especificar limites personalizados, escolha o nível apropriado para gerar o nível desejado de alertas de atividade para cada indicador de política.

  23. Selecione Avançar para continuar.

  24. Na página Revisão, revise as configurações que você escolheu para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

Atualize uma política

Para atualizar uma política de gerenciamento de risco interno existente, você usará o assistente de política na solução de gerenciamento de riscos do Insider no portal de conformidade do Microsoft Purview.

Conclua as seguintes etapas para gerenciar uma política existente:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.

  2. No painel de política, selecione a política que você deseja gerenciar.

  3. Na página de detalhes da política, selecione Editar política.

  4. No assistente de política, você não pode editar o seguinte:

    • Modelo de política: o modelo usado para definir os tipos de indicadores de risco verificados pela política.
    • Nome: O nome amigável para a política
  5. Na página Nome e descrição, atualizar a descrição da política no campo Descrição.

  6. Selecione Avançar para continuar.

  7. Na página Usuários e grupos, selecione Incluir todos os usuários e grupos ou Incluir usuários e grupos específicos para definir quais usuários ou grupos estão incluídos na política, ou se você escolheu um modelo baseado em usuários prioritários; selecione Adicionar ou editar grupos de usuários prioritários. Selecionar Incluir todos os usuários e grupos procurará disparar eventos relacionados à segurança e conformidade para todos os usuários e grupos da sua organização para começar a atribuir pontuações de risco para a política. Selecionando Incluir usuários e grupos específicos permitirá definir quais usuários e grupos devem atribuir à política. Não há suporte para contas de usuário convidado.

  8. Selecione Avançar para continuar.

  9. Na página Conteúdo a priorizar, você pode atribuir (se necessário) as fontes a serem priorizadas, o que aumenta a chance de gerar um alerta de alta severidade para essas fontes. Selecione uma das seguintes opções:

    • Quero priorizar o conteúdo. A seleção dessa opção permitirá priorizar sites do SharePoint, rótulos de confidencialidade, tipos de informações confidenciais e tipos de conteúdo de extensões de arquivo. Se você escolher essa opção, deverá selecionar pelo menos um tipo de conteúdo de prioridade.
    • Não quero especificar conteúdo prioritário agora. Selecionar essa opção ignorará as páginas de detalhes do conteúdo prioritário no assistente.
  10. Selecione Avançar para continuar.

  11. Se você tiver selecionado quero priorizar o conteúdo na etapa anterior, verá as páginas de detalhes para sites do SharePoint, tipos de informações confidenciais, rótulos de confidencialidade, extensões de arquivo e Pontuação. Use essas páginas de detalhes para definir o SharePoint, tipos de informações confidenciais, rótulos de confidencialidade e extensões de arquivo para priorizar na política. A página De detalhes de pontuação permite que você escopo da política para atribuir apenas pontuações de risco ao conteúdo de prioridade.

    • Sites do SharePoint: Selecione Adicionar site do SharePoint e selecione os sites SharePoint aos quais você tem acesso e deseja priorizar. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".
    • Tipo de informação confidencial: Selecione Adicionar o tipo de informação confidencial e selecione os tipos de informações confidenciais que você deseja priorizar. Por exemplo, "Número de Conta Bancária nos EUA" e "Número do Cartão de Crédito".
    • Rótulos de confidencialidade: Selecione Adicionar o rótulo de confidencialidade e selecione os rótulos que você deseja priorizar. Por exemplo, "Confidencial" e "Secreto".
    • Extensões de arquivo: adicione até 50 extensões de arquivo. Você pode incluir ou omitir o '.' com a extensão de arquivo. Por exemplo, .py ou py priorizaria arquivos Python.
    • Pontuação: decida se deve atribuir pontuações de risco a todas as atividades detectadas por essa política ou apenas para atividades que incluem conteúdo prioritário. Escolha Obter alertas para todas as atividades ou Obter alertas apenas para atividades que incluam conteúdo prioritário.

    Observação

    Os usuários que configuram a política e selecionam sites prioritários do SharePoint podem selecionar sites do SharePoint que têm permissão para acessar. Se os sites do SharePoint não estiverem disponíveis para seleção na política pelo usuário atual, outro usuário com as permissões necessárias poderá selecionar os sites para a política posteriormente ou o usuário atual deverá ter acesso aos sites necessários.

  12. Selecione Avançar para continuar.

  13. Se você tiver selecionado os vazamentos gerais de dados ou vazamentos de dados por modelos de usuários prioritários , você verá opções na página Gatilhos para esta política para eventos de gatilho personalizados e indicadores de política. Você tem a opção de selecionar uma política DLP ou indicadores para disparar eventos que trazem usuários atribuídos à política no escopo para pontuação de atividade. Se você selecionar a opção de evento de acionamento de política DLP (prevenção contra perda de dados), você deverá selecionar uma política DLP na lista suspensa de política DLP para habilitar o acionamento de indicadores para a política DLP para essa política de gerenciamento de risco interno. Se você selecionar o Usuário executa uma opção de evento de acionamento de atividade de exfiltração , você deverá selecionar um ou mais dos indicadores listados para o evento de acionamento de política.

    Importante

    Se você não puder selecionar um indicador listado, é porque eles não estão habilitados para sua organização. Para disponibilizá-los para selecionar e atribuir à política, habilite os indicadores emIndicadores de Políticade Configurações> de Gerenciamento> de Risco interno. Se você tiver selecionado outros modelos de política, não há suporte para eventos de gatilho personalizados. Os eventos de gatilho de política interna se aplicam e você continuará na Etapa 23 sem definir atributos de política.

  14. Se você tiver selecionado os vazamentos de dados por usuários arriscados ou violações de política de segurança por modelos de usuários arriscados , verá opções na página Gatilhos para esta política paraintegração com a conformidade de comunicação e eventos do conector de dados de RH. Você tem a opção de atribuir pontuações de risco quando os usuários enviam mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória ou para trazer usuários para o escopo da política após eventos de usuário arriscados serem relatados em seu sistema de RH. Se você selecionar a opção Gatilhos de risco da conformidade de comunicação (versão prévia), poderá aceitar a política de conformidade de comunicação padrão (criada automaticamente), escolher um escopo de política criado anteriormente para esse gatilho ou criar outra política de escopo. Se você selecionar eventos do conector de dados de RH, deverá configurar um conector de dados de RH para sua organização.

  15. Selecione Avançar para continuar.

  16. Se você selecionou os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários e selecionou o Usuário executa uma atividade de exfiltração e indicadores associados, você pode escolher limites personalizados ou padrão para o indicador que dispara eventos selecionados. Escolha usar limites padrão (recomendado) ou Usar limites personalizados para os eventos de gatilho.

  17. Selecione Avançar para continuar.

  18. Se você selecionou Usar limites personalizados para os eventos de gatilho, para cada indicador de evento de gatilho selecionado na Etapa 13, escolha o nível apropriado para gerar o nível desejado de alertas de atividade.

  19. Selecione Avançar para continuar.

  20. Na página Indicadores de política, você verá os indicadores que você definiu como disponíveis na páginaIndicadores de configurações> de risco do Insider. Selecione os indicadores que deseja aplicar à política.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas. Você pode usar o botão Ativar indicadores no assistente ou selecionar indicadores na página Gerenciamento de risco interno>Configurações>Indicadores de política.

    Se você selecionou pelo menos um indicador doOffice ou Dispositivo, selecione o indicador Impulsionador da pontuação de risco, conforme o caso. Os impulsionadores de pontuação de risco são aplicáveis apenas para indicadores selecionados. Se você selecionou um modelo de política de Furto de dados ou Vazamento de dados, selecione um ou mais métodos de Detecção de sequência e um método de Detecção de exfiltração cumulativa a ser aplicado à política.

  21. Selecione Avançar para continuar.

  22. Na página Decidir se você deve usar limites de indicador padrão ou personalizado , escolha limites personalizados ou padrão para os indicadores de política selecionados. Escolha usar limites padrão para todos os indicadores ou Especificar limites personalizados para os indicadores de política selecionados. Se você selecionou Especificar limites personalizados, escolha o nível apropriado para gerar o nível desejado de alertas de atividade para cada indicador de política.

  23. Selecione Avançar para continuar.

  24. Na página Revisão, revise as configurações que você escolheu para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

Copiar uma política

Talvez seja necessário criar uma nova política que seja semelhante a uma política existente, mas que necessite apenas de algumas mudanças de configuração. Em vez de criar uma nova política a partir do zero, você pode copiar uma política existente e depois modificar as áreas que precisam ser atualizadas na nova política.

Conclua as seguintes etapas para copiar uma política existente:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.
  2. No painel de política, selecione a política que você deseja copiar.
  3. Na página de detalhes da política, selecione Copiar.
  4. No assistente de política, nomeie a nova política e atualize a configuração da política conforme necessário.

Podem haver cenários em que você precise começar imediatamente a atribuir pontuações de risco a usuários com políticas de risco interno fora do fluxo de trabalho de evento de disparo de gerenciamento de risco interno. Use Comece a pontuar as atividade dos usuários na guia Políticas para adicionar manualmente um usuário (ou usuários) a uma ou mais políticas de risco interno por um período específico, para começar imediatamente a atribuir pontuações de risco para sua atividade e para ignorar o requisito de um usuário ter um indicador de disparo (como uma correspondência de política DLP). Você também pode adicionar um motivo para adicionar o usuário à política, que aparecerá na linha do tempo de atividade dos usuários. Os usuários adicionados manualmente às políticas serão exibidos no painel Usuários e os alertas serão criados se a atividade atender aos limites de alerta das políticas.. Você pode adicionar até 4.000 usuários por política ao adicionar usuários para pontuação imediata.

Alguns cenários em que você pode querer começar imediatamente a pontuar as atividades dos usuários:

  • Quando os usuários são identificados com preocupações de risco e você deseja começar imediatamente a atribuir pontuações de risco à sua atividade para uma ou mais de suas políticas.
  • Quando há um incidente que pode exigir que você comece imediatamente a atribuir pontuações de risco à atividade dos usuários envolvidos para uma ou mais de suas políticas.
  • Quando você ainda não configurou o conector de RH, mas deseja começar a atribuir pontuações de risco às atividades do usuário para eventos de RH carregando um arquivo .csv para os usuários.

Observação

Pode levar várias horas para que novos usuários acrescentados manualmente apareçam no painel Usuários. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para visualizar atividades para usuários adicionados manualmente, navegue até a guia Usuários e selecione o usuário no painel Usuários e abra a guia Atividade do usuário no painel de detalhes.

Para começar manualmente a pontuar as atividades do usuários em uma ou mais políticas de gerenciamento de risco interno, complete as seguintes etapas:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.

  2. No painel de política, selecione a política ou políticas às quais você deseja adicionar usuários.

  3. Selecione Iniciar atividade de pontuação para os usuários.

  4. No Campo motivo no painel Adicionar usuários a várias políticas, adicionar um motivo para adicionar os usuários.

  5. No campo Isso deve durar (escolha entre 5 e 30 dias), defina o número de dias para marcar a atividade do usuário para a política à qual ele foi adicionado

  6. Para pesquisar usuários em seu Active Directory, use o campo Pesquisar usuário para adicionar às políticas. Digite o nome do usuário que deseja adicionar às políticas. Selecione o nome do usuário e repita para atribuir mais usuários para as políticas. A lista de usuários que você selecionou aparecerá na seção de usuários do painel Adicionar usuários a várias políticas.

  7. Para importar uma lista de usuários para adicionar às políticas, selecione Importar para importar um arquivo .csv (valores separados por vírgula). O arquivo deve estar no seguinte formato e você deve listar os nomes principais de usuário no arquivo:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. Selecione a opção Adicionar usuários às políticas para aceitar as mudanças e adicionar usuários às políticas ou selecione Cancelar para descartar as mudanças e fechar a caixa de diálogo.

Parar de pontuar os usuários em uma política

Para parar de pontuar os usuários em uma política, consulte o artigo Usuários de gerenciamento de risco interno: Remover usuários da atribuição de escopo das políticas.

Excluir uma política

Observação

A exclusão de uma política não exclui os alertas ativos ou arquivados gerados a partir da política.

Para excluir uma política de gerenciamento de risco interno existente, complete as seguintes etapas:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.
  2. No painel de política, selecione a política que você deseja excluir.
  3. Selecione Excluir na barra de ferramentas do painel de instrumentos.
  4. Na caixa de diálogo Excluir, Selecione Sim para excluir a política, ou selecione Cancelar para fechar a caixa de diálogo.