Criar e gerenciar políticas de gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar riscos internos potencialmente mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O Insider Risk Management permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

As políticas de gerenciamento de risco interno determinam quais usuários estão no escopo e quais tipos de indicadores de risco estão configurados para os alertas. Você pode criar rapidamente uma política de segurança que se aplique a todos os usuários da sua organização ou defina usuários ou grupos individuais para gerenciamento em uma política. As políticas suportam prioridades de conteúdo para se concentar nas condições políticas em vários ou específicos tipos confidenciais de dados e rótulos de dados do Microsoft Teams e sites do SharePoint. Usando modelos, você pode selecionar indicadores de risco específicos e personalizar limiares de eventos para indicadores de políticas, personalizando efetivamente as pontuações de risco, nível e freqüência dos alertas.

Você também pode configurar políticas rápidas de vazamento de dados e roubo de dados partindo de políticas de usuário que definem automaticamente as condições de política com base nos resultados das análises mais recentes. Além disso, os impulsionadores de pontuação de risco e as detecções de anomalias ajudam a identificar atividades de usuário potencialmente arriscadas que são de maior importância ou incomuns. As janelas de política permitem definir o prazo para aplicar a política para alertar as atividades e são usadas para determinar a duração da política uma vez ativada.

Confira o vídeo configuração de políticas de gerenciamento de risco interno para obter uma visão geral de como as políticas criadas com modelos de política internas podem ajudá-lo a agir rapidamente sobre possíveis riscos.

Dica

Se você não for um cliente E5, poderá experimentar todos os recursos premium no Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Painel de política

O painel Política permite que você veja rapidamente as políticas em sua organização, a integridade da política, adicione manualmente usuários às políticas de segurança e exiba o status dos alertas associados a cada política.

  • Nome da política: nome atribuído à política no assistente de política.
  • Status: status de integridade para cada política. Exibe o número de avisos e recomendações da política ou um status de Íntegro para políticas sem problemas. Você pode selecionar a política para ver os detalhes do status de integridade para quaisquer avisos ou recomendações.
  • Alertas ativos: número de alertas ativos para cada política.
  • Alertas confirmados: número total de alertas que resultaram em casos da política nos últimos 365 dias.
  • Ações tomadas em alertas: número total de alertas confirmados ou descartados nos últimos 365 dias.
  • Eficácia do alerta de política: percentual determinado pelo total de alertas confirmados dividido pelo total de ações tomadas em alertas (que é a soma de alertas confirmados ou descartados ao longo do último ano).

Painel de política de gerenciamento de risco interno

Recomendações de política da análise

A análise de risco interno fornece uma visão agregada de atividades de usuário anonimizadas relacionadas à segurança e à conformidade, permitindo que você avalie possíveis riscos internos em sua organização sem configurar políticas de risco interno. Essa avaliação pode ajudar sua organização a identificar áreas potenciais de maior risco e ajudar a determinar o tipo e o escopo das políticas de gerenciamento de risco interno que você pode considerar configurar. Se você decidir agir na análise de resultados de verificação de vazamentos de dados ou roubo de dados por meio de políticas de usuários que partem, você ainda terá a opção de configurar uma política rápida com base nesses resultados.

Para saber mais sobre as recomendações de política e análise de risco interno, confira Configurações de gerenciamento de risco do Insider: Análise.

Para muitas organizações, começar a usar uma política inicial pode ser um desafio. Se você for novo no gerenciamento de risco interno e estiver usando as ações recomendadas para começar, poderá configurar uma política rápida para agilizar um vazamento geral de dados ou roubo de dados partindo da política de usuários . As configurações de política rápida são preenchidas automaticamente com base nos resultados da análise mais recente em sua organização. Por exemplo, se a verificação detectasse possíveis atividades de vazamento de dados, a política rápida incluiria os indicadores usados para detectar essas atividades.

Para começar, examine as configurações de política rápida e configure a política com uma única seleção. Se você precisar personalizar uma política rápida, poderá alterar as condições durante a configuração inicial ou após a criação da política. Além disso, você pode manter-se atualizado com os resultados de detecção de uma política rápida configurando notificações por email sempre que tiver um aviso de política ou cada vez que a política gera um alerta de alta gravidade.

Priorize o conteúdo nas políticas

As políticas de gerenciamento de risco interno dão suporte à especificação de uma prioridade maior para o conteúdo, dependendo de onde ele é armazenado, do tipo de conteúdo ou de como ele é classificado. Você também pode escolher se deve atribuir pontuações de risco a todas as atividades detectadas por uma política ou apenas atividades que incluem conteúdo prioritário. Especificar o conteúdo como uma prioridade aumenta a pontuação de risco para qualquer atividade associada, o que, por sua vez, aumenta a chance de gerar um alerta de alta severidade. No entanto, algumas atividades não gerarão nenhum alerta, a menos que o conteúdo relacionado contenha tipos de informações confidenciais internas ou personalizadas ou tenha sido especificado como prioridade na política.

Por exemplo, sua organização tem um site do SharePoint dedicado para um projeto altamente confidencial. Os vazamento de dados para informações neste site do SharePoint podem comprometer o projeto e ter um impacto significativo no seu sucesso. Ao priorizar este site do SharePoint em uma política de Vazamento de Dados, as pontuações de risco para atividades qualificadas aumentam automaticamente. Esta priorização aumenta a probabilidade de que estas atividades gerem um alerta de risco interno e aumenta o nível de severidade do alerta.

Além disso, você pode optar por concentrar essa política para a atividade do site do SharePoint que inclui apenas conteúdo prioritário para este projeto. As pontuações de risco serão atribuídas e os alertas serão gerados somente quando as atividades especificadas incluirem conteúdo prioritário. Atividades sem conteúdo prioritário não serão pontuadas, mas você ainda poderá revisá-las se um alerta for gerado.

Observação

Se você configurar uma política para gerar alertas apenas para atividades que incluem conteúdo prioritário, nenhuma alteração será aplicada aos impulsionadores de pontuação de risco.

Quando você cria uma política de gerenciamento de risco interno no assistente de políticas, você pode escolher entre as seguintes prioridades:

  • Sites do SharePoint: Qualquer atividade associada a todos os tipos de arquivos definidos em sites do SharePoint receberão uma pontuação de risco mais alta. Os usuários que configuram a política e selecionam sites prioritários do SharePoint podem selecionar sites do SharePoint que têm permissão para acessar. Se os sites do SharePoint não estiverem disponíveis para seleção na política pelo usuário atual, outro usuário com as permissões necessárias poderá selecionar os sites para a política posteriormente ou o usuário atual deverá ter acesso aos sites necessários.
  • Tipos de informação confidencial: Qualquer atividade associada ao conteúdo que contenha tipos de informação confidencial receberão uma pontuação de risco mais alta.
  • Rótulos de confidencialidade: Qualquer atividade associada a conteúdo que tenha específicos rótulos confidencialidade aplicados receberão uma pontuação de risco mais alta.
  • Extensões de arquivo: qualquer atividade associada ao conteúdo que tenha extensões de arquivo específicas. Os usuários que configuram uma política de roubo/vazamento de dados que selecionam Extensões de arquivo para priorizar no assistente de política podem definir até 50 extensões de arquivo para priorizar na política. As extensões inseridas podem incluir ou omitir um '.' como o primeiro caractere da extensão priorizada.
  • Classificadores treináveis: qualquer atividade associada ao conteúdo incluído em um classificador treinável. Os usuários que configurarem uma política que selecione Classificadores treináveis no assistente de política podem selecionar até cinco classificadores treináveis para aplicar à política. Esses classificadores podem ser classificadores existentes que identificam padrões de informações confidenciais, como segurança social, cartão de crédito ou números de conta bancária ou classificadores personalizados criados em sua organização.

Detecção de sequência (visualização)

As atividades de gerenciamento de risco podem não ocorrer como eventos isolados. Esses riscos são frequentemente parte de uma sequência maior de eventos. Uma sequência é um grupo de duas ou mais atividades potencialmente arriscadas executadas uma após a outra que pode sugerir um risco elevado. Identificar essas atividades de usuário relacionadas é uma parte importante da avaliação do risco geral. Quando a detecção de sequência é selecionada para políticas de roubo de dados ou vazamentos de dados, os insights das atividades de informações de sequência são exibidos na guia Atividade do usuário dentro de um caso de gerenciamento de risco interno. Os seguintes modelos de diretiva suportam detecção de sequências:

  • Furto de dados por usuários em processo de desligamento
  • Vazamentos de dados
  • - Vazamento de dados por usuários prioritários
  • Vazamentos de dados por usuários arriscados

Essas políticas de gerenciamento de risco interno podem usar indicadores específicos e a ordem em que ocorrem para detectar cada etapa em uma sequência de risco. Para políticas criadas a partir de vazamentos de dados e vazamentos de dados por modelos de usuário prioritários , você também pode selecionar quais sequências disparam a política. Os nomes de arquivo são usados ao mapear atividades em uma sequência. Esses riscos são organizados em quatro categorias principais de atividade:

  • Coleção: detecta atividades de download por usuários de política no escopo. As atividades de gerenciamento de risco de exemplo incluem baixar arquivos de sites do SharePoint ou mover arquivos para uma pasta compactada.
  • Exfiltração: detecta atividades de compartilhamento ou extração para fontes internas e externas por usuários de política no escopo. Uma atividade de gerenciamento de risco de exemplo inclui o envio de emails com anexos da sua organização para destinatários externos.
  • Ofuscação: detecta o mascaramento de atividades potencialmente arriscadas por usuários de política no escopo. Uma atividade de gerenciamento de risco de exemplo inclui renomear arquivos em um dispositivo.
  • Limpeza: detecta atividades de exclusão por usuários de política no escopo. Uma atividade de gerenciamento de risco de exemplo inclui a exclusão de arquivos de um dispositivo.

Observação

A detecção de sequência usa indicadores habilitados nas configurações globais para gerenciamento de risco interno. Se os indicadores apropriados não forem selecionados, você poderá ativar esses indicadores na etapa de detecção de sequência no assistente de política.

Você pode personalizar as configurações de limites individuais para cada tipo de detecção de sequência quando configurado na política. Essas configurações de limite ajustam alertas com base no volume de arquivos associados ao tipo de sequência.

Para saber mais sobre o gerenciamento de detecção de sequência na exibição da Atividade do usuário, consulte Casos de gerenciamento de risco interno: Atividade do usuário.

Detecção de exfiltração cumulativa (visualização)

Com a privacidade ativada por padrão, os indicadores de risco interno ajudam a identificar níveis incomuns de atividades de risco quando avaliados diariamente para usuários que estão no escopo de políticas de risco interno. A detecção cumulativa de exfiltração usa modelos de machine learning para ajudá-lo a identificar quando as atividades de exfiltração que um usuário executa ao longo de um determinado tempo excedem a quantidade normal executada pelos usuários em sua organização nos últimos 30 dias em vários tipos de atividade de exfiltração. Por exemplo, se um usuário compartilhasse mais arquivos do que a maioria dos usuários no último mês, essa atividade seria detectada e classificada como uma atividade cumulativa de exfiltração.

Analistas e investigadores de gerenciamento de risco interno podem usar insights cumulativos de detecção de exfiltração para ajudar a identificar atividades de exfiltração que normalmente não geram alertas , mas estão acima do que é típico para sua organização. Alguns exemplos podem estar deixando os usuários exfiltrar dados lentamente em vários dias ou quando os usuários compartilham dados repetidamente em vários canais mais do que o habitual para compartilhamento de dados para sua organização ou em comparação com seus grupos de pares.

Observação

Por padrão, a detecção cumulativa de exfiltração gera pontuações de risco com base na atividade cumulativa de exfiltração de um usuário em comparação com suas normas de organização. Você pode habilitar opções cumulativas de detecção de exfiltração na seção Indicadores de política da página Configurações de gerenciamento de risco do Insider. Pontuações de risco mais altas são atribuídas a atividades cumulativas de exfiltração para sites do SharePoint, tipos de informações confidenciais e conteúdo com rótulos de confidencialidade configurados como conteúdo prioritário em uma política ou para atividades envolvendo rótulos configurados como de alta prioridade em Proteção de Informações do Microsoft Purview.

A detecção de exfiltração cumulativa é habilitada por padrão ao usar os seguintes modelos de política:

  • Furto de dados por usuários em processo de desligamento
  • Vazamentos de dados
  • - Vazamento de dados por usuários prioritários
  • Vazamentos de dados por usuários arriscados

Grupos de pares para detecção cumulativa de exfiltração

O gerenciamento de risco interno identifica três tipos de grupos par para analisar a atividade de exfiltração executada pelos usuários. Os grupos de pares definidos para usuários baseiam-se nos seguintes critérios:

Sites do SharePoint: o gerenciamento de risco interno identifica grupos de pares com base em usuários que acessam sites semelhantes do SharePoint.

Organização semelhante: usuários com relatórios e membros da equipe com base na hierarquia da organização. Essa opção exige que sua organização use o Azure Active Directory (Azure AD) para manter a hierarquia da organização.

Título de trabalho semelhante: usuários com uma combinação de distância organizacional e títulos de trabalho semelhantes. Por exemplo, um usuário com um título do Senior Sales Manager com uma designação de função semelhante a um Gerenciador de Vendas líder na mesma organização seria identificado como um título de trabalho semelhante. Essa opção exige que sua organização use Azure AD para manter a hierarquia da organização, designações de função e títulos de trabalho. Se você não tiver Azure AD configurado para a estrutura da organização e títulos de trabalho, o gerenciamento de risco interno identificará grupos de pares com base em sites comuns do SharePoint.

Se você habilitar a detecção cumulativa de exfiltração, sua organização concordará em compartilhar dados Azure AD com o portal de conformidade, incluindo hierarquia de organização e títulos de trabalho. Se sua organização não usar Azure AD para manter essas informações, a detecção poderá ser menos precisa.

Observação

A detecção de exfiltração cumulativa usa indicadores de exfiltração habilitados nas configurações globais para gerenciamento de risco interno e indicadores de exfiltração selecionados em uma política. Como tal, a detecção de exfiltração cumulativa é avaliada apenas para os indicadores de exfiltração necessários selecionados. Atividades cumulativas de exfiltração para rótulos de confidencialidade configurados em conteúdo prioritário geram pontuações de risco mais altas.

Quando a detecção de exfiltração cumulativa está habilitada para políticas de furto ou vazamento de dados, os insights das atividades de exfiltração cumulativa são exibidos na guia Atividade do usuário em um caso de gerenciamento de risco interno. Para saber mais sobre o gerenciamento de atividades do usuário, confira Casos de gerenciamento de risco do Insider: atividades do usuário.

Integridade da política

O status de integridade da política fornece informações sobre possíveis problemas com suas políticas de gerenciamento de risco interno. A coluna Status na guia Políticas pode alertá-lo para problemas de políticas que podem impedir que a atividade do usuário seja relatada ou por que o número de alertas de atividade é incomum. O estado da integridade da política também pode confirmar que a política está íntegra e não precisa de atenção ou mudanças na configuração.

Se houver problemas com uma política, o estado de integridade da política exibirá notificações de avisos e recomendações para ajudá-lo a tomar medidas para resolver os problemas de política. Essas notificações podem ajudá-lo a resolver os seguintes problemas:

  • Políticas com configuração incompleta. Estas questões podem incluir usuários ou grupos ausentes na política ou outras etapas incompletas de configuração da política.
  • Políticas com problemas de configuração de indicador. Os indicadores são uma parte importante de cada política. Se os indicadores não forem configurados ou se poucos indicadores forem selecionados, a política pode não avaliar as atividades de risco conforme o esperado.
  • Os gatilhos de política não estão funcionando ou os requisitos de gatilho de política não estão configurados corretamente. A funcionalidade da política pode depender de outros serviços ou requisitos de configuração para detectar efetivamente os eventos de disparo para ativar a atribuição de pontuação de risco aos usuários na política. Essas dependências podem incluir problemas com a configuração do conector, o compartilhamento de alerta do Microsoft Defender para Ponto de Extremidade ou a definição da configuração da política de prevenção de perda de dados.
  • Os limites de volume estão próximos ou acima dos limites. As políticas de gerenciamento de risco interno utilizam inúmeros serviços e pontos de extremidade do Microsoft 365 para agregar sinais de atividade de risco. Dependendo do número de usuários em suas políticas, os limites de volume podem atrasar a identificação e o relatório de atividades de risco. Saiba mais sobre estes limites na seção de limites do Modelo de Política deste artigo.

Para exibir rapidamente o status de integridade de uma política, navegue pela guia Política e pela coluna Status . Aqui você verá as seguintes opções de status de integridade da política para cada política:

  • Saudável: nenhum problema foi identificado com a política.
  • Recomendações: um problema com a política que pode impedir que a política opere conforme o esperado.
  • Avisos: um problema com a política que pode impedi-la de identificar atividades potencialmente arriscadas.

Para mais detalhes sobre quaisquer recomendações ou avisos, selecione uma política na guia Política para abrir o cartão de detalhes da política. Mais informações sobre as recomendações e avisos, incluindo diretrizes sobre como resolver esses problemas, são exibidas na seção Notificações do cartão de detalhes.

Integridade da política de gerenciamento de risco interno.

Mensagens de notificação

Use a tabela a seguir para saber mais sobre recomendações e notificações de advertência, e ações a serem tomadas para resolver possíveis problemas.

Mensagens de notificação Modelos de política Causas / Experimente esta ação para corrigir
A política não está atribuindo pontuações de risco à atividade Todos os modelos de política Talvez você queira examinar o escopo da política e disparar a configuração de eventos para que a política possa atribuir pontuações de risco às atividades

1. Revise os usuários selecionados para a política. Se tiver poucos usuários selecionados, você pode desejar selecionar mais usuários.
2. Se você estiver usando um conector de RH, verifique se o seu conector de RH está enviando corretamente os dados.
3. Se você estiver usando uma política DLP como evento de gatilho, verifique a configuração da política DLP para garantir que ela esteja configurada para ser usada nesta política.
4. Para políticas de violação de segurança, examine o status de triagem de alerta Microsoft Defender para Ponto de Extremidade selecionado nas configurações de risco insider Detecções > inteligentes. Confirme se o filtro de alerta não está muito estreito.
A política não gerou nenhum alerta Todos os modelos de política Talvez você queira examinar sua configuração de política para que você esteja analisando a atividade de pontuação mais relevante.

1. Confirme que você selecionou os indicadores que deseja pontuar. Quanto mais indicadores forem selecionados, mais atividades serão atribuídas a classificações de risco.
2. Revise o limite de personalização para a política. Se os limites selecionados não se alinharem à tolerância ao risco da sua organização, ajuste as seleções para que os alertas sejam criados com base em seus limites preferenciais.
3. Revise os usuários e grupos selecionados para a política. Confirme que você selecionou todos os usuários e grupos aplicáveis.
4. Para políticas de violação de segurança, confirme que você selecionou o status de triagem de alerta que deseja pontuar para o Microsoft Defender para alertas de Terminais em Detecções Inteligentes nas configurações.
Não há usuários ou grupos incluídos nesta política Todos os modelos de política Os usuários ou grupos não estão atribuídos à política.

Edite sua política e selecione os usuários ou grupos para a política.
Não há indicadores selecionados para esta política Todos os modelos de política Os indicadores não foram selecionados para a política

Edite sua política e selecione os indicadores de política apropriados para a política.
Não há grupos de usuários prioritários incluídos nesta política - Vazamento de dados por usuários prioritários
- Violações da política de segurança por usuários prioritários
Grupos de usuários prioritários não estão atribuídos à política.

Configure grupos de usuários prioritários nas configurações de gerenciamento de risco interno e atribua grupos de usuários prioritários à política.
Nenhum evento de disparo foi selecionado para esta política Todos os modelos de política Um evento de disparo não está configurado para a política

As pontuações de risco não serão atribuídas às atividades do usuário até que você edite a política e selecione um evento de disparo.
O conector de RH não está configurado ou funcionando como esperado - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
Há um problema com o conector de RH.

1. Se você estiver usando um conector de RH, verifique se o seu conector de RH está enviando corretamente os dados

OU

2. Selecione o evento de disparo excluído da conta do Azure AD.
Não há dispositivos integrados - Furto de dados por usuários em processo de desligamento
- Vazamentos de dados
- Vazamentos de dados por usuários arriscados
- Vazamento de Dados por usuários prioritários
Os indicadores de dispositivo são selecionados, mas não há nenhum dispositivo integrado ao portal de conformidade

Verifique se os dispositivos estão integrados e atendem aos requisitos.
O conector de RH não carregou dados recentemente - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
O conector de RH não importa dados há mais de 7 dias.

Verifique se o conector de RH está configurado corretamente e enviando dados.
Não é possível verificar o status do conector de RH agora, verifique novamente mais tarde - Furto de dados pelo usuário em processo de desligamento
- Violações da política de segurança pelo em processo de desligamento
- Vazamentos de dados por usuários arriscados
- Violações de política de segurança por usuários arriscados
A solução de gerenciamento de risco interno não consegue verificar o status do seu conector de RH.

Verifique se o conector de RH está configurado corretamente e enviando dados ou volte e verifique o status da política.
A política DLP não foi selecionada como o evento de disparo - Vazamentos de dados
- Vazamento de dados por usuários prioritários
Uma política DLP não foi selecionada como um evento de gatilho ou a política DLP selecionada foi excluída.

Edite a política e selecione uma política DLP ativa ou 'O usuário executa uma atividade de exfiltração' como o evento de disparo na configuração da política.
A política DLP usada nesta política está desativada - Vazamentos de dados
- Vazamento de dados por usuários prioritários
A política DLP usada nesta política está desativada.

1. Ative a política DLP atribuída a esta política.

OU

2. Edite esta política e selecione uma nova política DLP ou 'O usuário executa uma atividade de exfiltração' como o evento de disparo na configuração da política.
A política DLP não atende aos requisitos - Vazamentos de dados
- Vazamento de dados por usuários prioritários
As políticas DLP usadas como eventos de disparo devem ser configuradas para gerar alertas de alta severidade.

1. Edite sua política DLP para atribuir alertas aplicáveis como Alta severidade.

OU

2. Edite esta política e selecione O usuário executa uma atividade de exfiltração como o evento de disparo.
Sua organização não tem uma assinatura do Microsoft Defender para Ponto de Extremidade - Violações de política de segurança
- Violações da política de segurança por usuários em processo de desligamento
- Violações de política de segurança por usuários arriscados
- Violações da política de segurança por usuários prioritários
Não foi detectada uma assinatura ativa do Microsoft Defender para Ponto de Extremidade na sua organização.

Até que uma assinatura do Microsoft Defender para Ponto de Extremidade seja adicionada, estas políticas não atribuirão pontuações de risco à atividade do usuário.
Microsoft Defender para Ponto de Extremidade alertas não estão sendo compartilhados com o portal de conformidade - Violações de política de segurança
- Violações da política de segurança por usuários em processo de desligamento
- Violações de política de segurança por usuários arriscados
- Violações da política de segurança por usuários prioritários
Microsoft Defender para Ponto de Extremidade alertas não estão sendo compartilhados com o portal de conformidade.

Configure o compartilhamento de alertas do Microsoft Defender para Ponto de Extremidade.
Você está se aproximando do limite máximo de usuários sendo pontuados ativamente para este modelo de política Todos os modelos de política Cada modelo de política possui um número máximo de usuários no escopo. Veja os detalhes da seção de limites do modelo.

Examine os usuários na guia Usuários e remova todos os usuários que não precisam mais ser pontuados.
O evento de gatilho está ocorrendo repetidamente para mais de 15% dos usuários nesta política Todos os modelos de política Ajuste o evento de gatilho para ajudar a reduzir a frequência com que os usuários são trazidos para o escopo da política.

Criar uma nova política

Para criar uma nova política de gerenciamento de risco interno, você geralmente usará o assistente de política na solução de gerenciamento de riscos do Insider no portal de conformidade do Microsoft Purview. Você também pode criar políticas rápidas para vazamentos gerais de dados e roubo de dados, partindo usuários das verificações do Analytics, se aplicável.

Etapa 6 completa: crie uma política de gerenciamento de risco interno para configurar novas políticas de risco interno.

Atualize uma política

Para atualizar uma política de gerenciamento de risco interno existente, você usará o assistente de política na solução de gerenciamento de riscos do Insider no portal de conformidade do Microsoft Purview.

Conclua as seguintes etapas para gerenciar uma política existente:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.

  2. No painel de política, selecione a política que você deseja gerenciar.

  3. Na página de detalhes da política, selecione Editar política.

  4. No assistente de política, você não pode editar o seguinte:

    • Modelo de política: o modelo usado para definir os tipos de indicadores de risco verificados pela política.
    • Nome: O nome amigável para a política
  5. Na página Nome e descrição, atualizar a descrição da política no campo Descrição.

  6. Selecione Avançar para continuar.

  7. Na página Usuários e grupos, selecione Incluir todos os usuários e grupos ou Incluir usuários e grupos específicos para definir quais usuários ou grupos estão incluídos na política, ou se você escolheu um modelo baseado em usuários prioritários; selecione Adicionar ou editar grupos de usuários prioritários. Selecionar Incluir todos os usuários e grupos procurará disparar eventos relacionados à segurança e conformidade para todos os usuários e grupos da sua organização para começar a atribuir pontuações de risco para a política. Selecionando Incluir usuários e grupos específicos permitirá definir quais usuários e grupos devem atribuir à política. Não há suporte para contas de usuário convidado.

  8. Selecione Avançar para continuar.

  9. Na página Conteúdo a priorizar, você pode atribuir (se necessário) as fontes a serem priorizadas, o que aumenta a chance de gerar um alerta de alta severidade para essas fontes. Selecione uma das seguintes opções:

    • Quero priorizar o conteúdo. A seleção dessa opção permitirá priorizar sites do SharePoint, rótulos de confidencialidade, tipos de informações confidenciais e tipos de conteúdo de extensões de arquivo. Se você escolher essa opção, deverá selecionar pelo menos um tipo de conteúdo de prioridade.
    • Não quero especificar conteúdo prioritário agora. Selecionar essa opção ignorará as páginas de detalhes do conteúdo prioritário no assistente.
  10. Selecione Avançar para continuar.

  11. Se você tiver selecionado quero priorizar o conteúdo na etapa anterior, verá as páginas de detalhes para sites do SharePoint, tipos de informações confidenciais, rótulos de confidencialidade, extensões de arquivo e Pontuação. Use essas páginas de detalhes para definir o SharePoint, tipos de informações confidenciais, rótulos de confidencialidade e extensões de arquivo para priorizar na política. A página De detalhes de pontuação permite que você escopo da política para atribuir apenas pontuações de risco ao conteúdo de prioridade.

    • Sites do SharePoint: Selecione Adicionar site do SharePoint e selecione os sites SharePoint aos quais você tem acesso e deseja priorizar. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".
    • Tipo de informação confidencial: Selecione Adicionar o tipo de informação confidencial e selecione os tipos de informações confidenciais que você deseja priorizar. Por exemplo, "Número de Conta Bancária nos EUA" e "Número do Cartão de Crédito".
    • Rótulos de confidencialidade: Selecione Adicionar o rótulo de confidencialidade e selecione os rótulos que você deseja priorizar. Por exemplo, "Confidencial" e "Secreto".
    • Extensões de arquivo: adicione até 50 extensões de arquivo. Você pode incluir ou omitir o '.' com a extensão de arquivo. Por exemplo, .py ou py priorizaria arquivos Python.
    • Pontuação: decida se deve atribuir pontuações de risco a todas as atividades detectadas por essa política ou apenas para atividades que incluem conteúdo prioritário. Escolha Obter alertas para todas as atividades ou Obter alertas apenas para atividades que incluam conteúdo prioritário.

    Observação

    Os usuários que configuram a política e selecionam sites prioritários do SharePoint podem selecionar sites do SharePoint que têm permissão para acessar. Se os sites do SharePoint não estiverem disponíveis para seleção na política pelo usuário atual, outro usuário com as permissões necessárias poderá selecionar os sites para a política posteriormente ou o usuário atual deverá ter acesso aos sites necessários.

  12. Selecione Avançar para continuar.

  13. Se você tiver selecionado os vazamentos gerais de dados ou vazamentos de dados por modelos de usuários prioritários , você verá opções na página Gatilhos para esta política para eventos de gatilho personalizados e indicadores de política. Você tem a opção de selecionar uma política DLP ou indicadores para disparar eventos que trazem usuários atribuídos à política no escopo para pontuação de atividade. Se você selecionar a opção de evento de acionamento de política DLP (prevenção contra perda de dados), você deverá selecionar uma política DLP na lista suspensa de política DLP para habilitar o acionamento de indicadores para a política DLP para essa política de gerenciamento de risco interno. Se você selecionar o Usuário executa uma opção de evento de acionamento de atividade de exfiltração , você deverá selecionar um ou mais dos indicadores listados para o evento de acionamento de política.

    Importante

    Se você não puder selecionar um indicador listado, é porque eles não estão habilitados para sua organização. Para disponibilizá-los para selecionar e atribuir à política, habilite os indicadores emIndicadores de Políticade Configurações> de Gerenciamento> de Risco interno. Se você tiver selecionado outros modelos de política, não há suporte para eventos de gatilho personalizados. Os eventos de gatilho de política interna se aplicam e você continuará na Etapa 23 sem definir atributos de política.

  14. Se você tiver selecionado os vazamentos de dados por usuários arriscados ou violações de política de segurança por modelos de usuários arriscados , verá opções na página Gatilhos para esta política paraintegração com a conformidade de comunicação e eventos do conector de dados de RH. Você tem a opção de atribuir pontuações de risco quando os usuários enviam mensagens que contêm linguagem potencialmente ameaçadora, assediadora ou discriminatória ou para trazer usuários para o escopo da política após eventos de usuário arriscados serem relatados em seu sistema de RH. Se você selecionar a opção Gatilhos de risco da conformidade de comunicação (versão prévia), poderá aceitar a política de conformidade de comunicação padrão (criada automaticamente), escolher um escopo de política criado anteriormente para esse gatilho ou criar outra política de escopo. Se você selecionar eventos do conector de dados de RH, deverá configurar um conector de dados de RH para sua organização.

  15. Selecione Avançar para continuar.

  16. Se você selecionou os vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários e selecionou o Usuário executa uma atividade de exfiltração e indicadores associados, você pode escolher limites personalizados ou padrão para o indicador que dispara eventos selecionados. Escolha usar limites padrão (recomendado) ou Usar limites personalizados para os eventos de gatilho.

  17. Selecione Avançar para continuar.

  18. Se você selecionou Usar limites personalizados para os eventos de gatilho, para cada indicador de evento de gatilho selecionado na Etapa 13, escolha o nível apropriado para gerar o nível desejado de alertas de atividade.

  19. Selecione Avançar para continuar.

  20. Na página Indicadores de política, você verá os indicadores que você definiu como disponíveis na páginaIndicadores de configurações> de risco do Insider. Selecione os indicadores que deseja aplicar à política.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas. Você pode usar o botão Ativar indicadores no assistente ou selecionar indicadores na página Gerenciamento de risco interno>Configurações>Indicadores de política.

    Se você selecionou pelo menos um indicador doOffice ou Dispositivo, selecione o indicador Impulsionador da pontuação de risco, conforme o caso. Os impulsionadores de pontuação de risco são aplicáveis apenas para indicadores selecionados. Se você selecionou um modelo de política de Furto de dados ou Vazamento de dados, selecione um ou mais métodos de Detecção de sequência e um método de Detecção de exfiltração cumulativa a ser aplicado à política.

  21. Selecione Avançar para continuar.

  22. Na página Decidir se você deve usar limites de indicador padrão ou personalizado , escolha limites personalizados ou padrão para os indicadores de política selecionados. Escolha usar limites padrão para todos os indicadores ou Especificar limites personalizados para os indicadores de política selecionados. Se você selecionou Especificar limites personalizados, escolha o nível apropriado para gerar o nível desejado de alertas de atividade para cada indicador de política.

  23. Selecione Avançar para continuar.

  24. Na página Revisão, revise as configurações que você escolheu para a política e quaisquer sugestões ou avisos para suas seleções. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.

Copiar uma política

Talvez seja necessário criar uma nova política que seja semelhante a uma política existente, mas que necessite apenas de algumas mudanças de configuração. Em vez de criar uma nova política a partir do zero, você pode copiar uma política existente e depois modificar as áreas que precisam ser atualizadas na nova política.

Conclua as seguintes etapas para copiar uma política existente:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.
  2. No painel de política, selecione a política que você deseja copiar.
  3. Na página de detalhes da política, selecione Copiar.
  4. No assistente de política, nomeie a nova política e atualize a configuração da política conforme necessário.

Podem haver cenários em que você precise começar imediatamente a atribuir pontuações de risco a usuários com políticas de risco interno fora do fluxo de trabalho de evento de disparo de gerenciamento de risco interno. Use Comece a pontuar as atividade dos usuários na guia Políticas para adicionar manualmente um usuário (ou usuários) a uma ou mais políticas de risco interno por um período específico, para começar imediatamente a atribuir pontuações de risco para sua atividade e para ignorar o requisito de um usuário ter um indicador de disparo (como uma correspondência de política DLP). Você também pode adicionar um motivo para adicionar o usuário à política, que aparecerá na linha do tempo de atividade dos usuários. Os usuários adicionados manualmente às políticas serão exibidos no painel Usuários e os alertas serão criados se a atividade atender aos limites de alerta das políticas.. Você pode adicionar até 4.000 usuários por política ao adicionar usuários para pontuação imediata.

Alguns cenários em que você pode querer começar imediatamente a pontuar as atividades dos usuários:

  • Quando os usuários são identificados com preocupações de risco e você deseja começar imediatamente a atribuir pontuações de risco à sua atividade para uma ou mais de suas políticas.
  • Quando há um incidente que pode exigir que você comece imediatamente a atribuir pontuações de risco à atividade dos usuários envolvidos para uma ou mais de suas políticas.
  • Quando você ainda não configurou o conector de RH, mas deseja começar a atribuir pontuações de risco às atividades do usuário para eventos de RH carregando um arquivo .csv para os usuários.

Observação

Pode levar várias horas para que novos usuários acrescentados manualmente apareçam no painel Usuários. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para visualizar atividades para usuários adicionados manualmente, navegue até a guia Usuários e selecione o usuário no painel Usuários e abra a guia Atividade do usuário no painel de detalhes.

Para começar manualmente a pontuar as atividades do usuários em uma ou mais políticas de gerenciamento de risco interno, complete as seguintes etapas:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.

  2. No painel de política, selecione a política ou políticas às quais você deseja adicionar usuários.

  3. Selecione Iniciar atividade de pontuação para os usuários.

  4. No Campo motivo no painel Adicionar usuários a várias políticas, adicionar um motivo para adicionar os usuários.

  5. No campo Isso deve durar (escolha entre 5 e 30 dias), defina o número de dias para marcar a atividade do usuário para a política à qual ele foi adicionado

  6. Para pesquisar usuários em seu Active Directory, use o campo Pesquisar usuário para adicionar às políticas. Digite o nome do usuário que deseja adicionar às políticas. Selecione o nome do usuário e repita para atribuir mais usuários para as políticas. A lista de usuários que você selecionou aparecerá na seção de usuários do painel Adicionar usuários a várias políticas.

  7. Para importar uma lista de usuários para adicionar às políticas, selecione Importar para importar um arquivo .csv (valores separados por vírgula). O arquivo deve estar no seguinte formato e você deve listar os nomes principais de usuário no arquivo:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. Selecione a opção Adicionar usuários às políticas para aceitar as mudanças e adicionar usuários às políticas ou selecione Cancelar para descartar as mudanças e fechar a caixa de diálogo.

Parar de pontuar os usuários em uma política

Para parar de pontuar os usuários em uma política, consulte o artigo Usuários de gerenciamento de risco interno: Remover usuários da atribuição de escopo das políticas.

Excluir uma política

Observação

A exclusão de uma política não exclui os alertas ativos ou arquivados gerados a partir da política.

Para excluir uma política de gerenciamento de risco interno existente, complete as seguintes etapas:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Políticas.
  2. No painel de política, selecione a política que você deseja excluir.
  3. Selecione Excluir na barra de ferramentas do painel de instrumentos.
  4. Na caixa de diálogo Excluir, Selecione Sim para excluir a política, ou selecione Cancelar para fechar a caixa de diálogo.