Configurar detecções inteligentes no gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Você pode usar a configuração detecções inteligentes em Gerenciamento de Risco Interno do Microsoft Purview para configurar exclusões globais. Por exemplo, talvez você queira excluir determinados tipos de arquivo ou domínios de serem pontuados para risco. Você também pode usar a configuração detecções inteligentes para ajustar o volume de alerta ou importar alertas Microsoft Defender para Ponto de Extremidade.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Ignorar anexos de assinatura de email (versão prévia)

Uma das main fontes de 'ruído' em políticas de gerenciamento de risco interno são imagens em assinaturas de email, que geralmente são detectadas como anexos em emails. Isso pode levar a falsos positivos de usuários que enviam arquivos potencialmente confidenciais por email. Se o envio de email com anexos para destinatários fora do indicador da organização for selecionado, o anexo será pontuado como qualquer outro anexo de email enviado fora da organização, mesmo que a única coisa no anexo seja a assinatura de email. Você pode excluir anexos de assinatura de email de serem pontuados nessa situação ativando a configuração Ignorar anexos de assinatura de email .

Ativar essa configuração elimina significativamente o ruído de anexos de assinatura de email, mas não eliminará completamente todo o ruído. Isso ocorre porque apenas o anexo de assinatura de email do remetente de email (a pessoa que inicia o email ou responde ao email) é excluído da pontuação. Um anexo de assinatura para qualquer pessoa na linha To, CC ou BCC ainda será marcado. Além disso, se alguém alterar sua assinatura de email, a nova assinatura deverá ser perfilada, o que pode causar ruído de alerta por um curto período de tempo.

Observação

A configuração Ignorar anexos de assinatura de email está desativada por padrão.

Detecção de atividade de arquivo

Para excluir tipos de arquivo específicos de todas as correspondências de política de gerenciamento de risco interno, insira extensões de tipo de arquivo separadas por vírgulas. Por exemplo, para excluir determinados tipos de arquivos de música de correspondências de política, insira aac,mp3,wav,wma no campo Exclusões de tipo de arquivo. Os arquivos com essas extensões serão ignorados por todas as políticas de gerenciamento de risco interno.

Volume de alerta

Atividades potencialmente arriscadas detectadas por políticas de risco interno recebem uma pontuação de risco específica, que, por sua vez, determina a gravidade do alerta (baixa, média, alta). Por padrão, o gerenciamento de risco interno gera uma certa quantidade de alertas de baixa, média e alta gravidade, mas você pode aumentar ou diminuir o volume para atender às suas necessidades.

Para ajustar o volume de alertas para todas as políticas de gerenciamento de risco interno, escolha uma das seguintes configurações:

• Menos alertas: você verá todos os alertas de alta gravidade, menos alertas de gravidade média e nenhum alerta de baixa gravidade. Você pode perder alguns verdadeiros positivos se escolher esse nível de configuração.
• Volume padrão: você verá todos os alertas de alta gravidade e uma quantidade balanceada de alertas de média gravidade e baixa gravidade.
• Mais alertas: você verá todos os alertas de média gravidade e alta gravidade e a maioria dos alertas de baixa gravidade. Esse nível de configuração pode resultar em mais falsos positivos.

Microsoft Defender para Ponto de Extremidade status de alerta

Importante

Você deve configurar Microsoft Defender para Ponto de Extremidade em sua organização e habilitar o Defender para Ponto de Extremidade para integração de gerenciamento de risco interno na Central de Segurança do Defender para importar alertas de violação de segurança. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade.

Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes empresariais a prevenir, detectar, investigar e responder a ameaças avançadas. Para ter uma melhor visibilidade das violações de segurança em sua organização, você pode importar e filtrar alertas do Defender para Ponto de Extremidade para atividades usadas em políticas criadas a partir de modelos de política de política de violação de segurança de gerenciamento de risco interno.

Dependendo dos tipos de sinais nos quais você está interessado, você pode optar por importar alertas para o gerenciamento de risco interno com base no status de triagem de alerta do Defender para Ponto de Extremidade. Você pode definir um ou mais dos seguintes status de triagem de alerta nas configurações globais a serem importadas:

• Desconhecido
• Novo
• Em andamento
• Resolvido

Os alertas do Defender para Ponto de Extremidade são importados diariamente. Dependendo da triagem status você escolher, você pode ver várias atividades de usuário para o mesmo alerta que a triagem status alterações no Defender para Ponto de Extremidade.

Por exemplo, se você selecionar Novo, Em andamento e Resolvido para essa configuração, quando um alerta de Microsoft Defender para Ponto de Extremidade for gerado e o status for Novo, uma atividade de alerta inicial será importada para o usuário no gerenciamento de risco interno. Quando a triagem do Defender para Ponto de Extremidade status é alterada para Em andamento, uma segunda atividade para esse alerta é importada. Quando o status final de triagem do Defender para Ponto de Extremidade de Resolvedo é definido, uma terceira atividade para esse alerta é importada. Essa funcionalidade permite que os investigadores sigam a progressão dos alertas do Defender para Ponto de Extremidade e escolham o nível de visibilidade exigido pela investigação.

Domínios

As configurações de domínio ajudam você a definir níveis de risco para atividades de gerenciamento de risco para domínios específicos. Essas atividades incluem compartilhar arquivos, enviar mensagens de email, baixar conteúdo ou carregar conteúdo. Ao especificar domínios nessas configurações, você pode aumentar ou diminuir a pontuação de risco para a atividade de gerenciamento de risco que ocorre com esses domínios.

Use Adicionar domínio para definir um domínio para cada uma das configurações de domínio. Além disso, você pode usar curingas para ajudar a corresponder as variações de domínios raiz ou subdomínios. Por exemplo, para especificar sales.wingtiptoys.com e support.wingtiptoys.com, use a entrada curinga '*.wingtiptoys.com' para corresponder a esses subdomínios (e qualquer outro subdomínio no mesmo nível). Para especificar subdomínios de vários níveis para um domínio raiz, selecione a caixa Incluir subdomínios de vários níveis marcar.

Para cada uma das seguintes configurações de domínio, você pode inserir até 500 domínios:

• Domínios não permitidos: Quando você especifica um domínio não permitido, a atividade de gerenciamento de riscos que ocorre com esses domínios terá uma pontuação de risco maior . Por exemplo, você pode querer especificar atividades que envolvem o compartilhamento de conteúdo com alguém (como enviar email para alguém com um endereço gmail.com) ou atividades que envolvem usuários baixando conteúdo em um dispositivo de um domínio não permitido.

• Domínios permitidos: A atividade de gerenciamento de riscos relacionada a um domínio especificado em domínios permitidos será ignorada por suas políticas e não gerará alertas. Essas atividades incluem:

  • Email enviados para domínios externos
  • Arquivos, pastas e sites compartilhados com domínios externos
  • Arquivos carregados em domínios externos (usando o navegador Microsoft Edge)

  Quando você especifica um domínio permitido, a atividade de gerenciamento de riscos com esse domínio é tratada de forma semelhante à forma como a atividade interna da organização é tratada. Por exemplo, um domínio adicionado em domínios permitidos pode incluir uma atividade que envolve o compartilhamento de conteúdo com alguém fora da sua organização (como enviar email para alguém com um endereço gmail.com).

• Domínios de terceiros: Se sua organização usar domínios de terceiros para fins comerciais (como armazenamento em nuvem), inclua-os aqui para que você possa receber alertas para atividades potencialmente arriscadas relacionadas ao indicador de dispositivo Usar um navegador para baixar conteúdo de um site de terceiros.

Exclusões de caminho de arquivo

Quando você especifica caminhos de arquivo a serem excluídos, as atividades do usuário que mapeiam para indicadores específicos e que ocorrem nesses locais de caminho de arquivo não gerarão alertas de política. Exemplos incluem copiar ou mover arquivos para uma pasta do sistema ou um caminho de compartilhamento de rede. Você pode inserir até 500 caminhos de arquivo para exclusão.

Adicionar caminhos de arquivo para excluir

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Configurações no canto superior direito da página.
3. Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
4. Em Configurações de risco do Insider, selecione Detecções inteligentes.
5. Na seção Exclusões de caminho de arquivo, selecione Adicionar caminhos de arquivo a serem excluídos.
6. No painel Adicionar um caminho de arquivo , insira um caminho exato de compartilhamento de rede ou dispositivo para excluir da pontuação de risco.

Você também pode usar * e *([0-9]) para denotar pastas e subpastas específicas e curinga a serem excluídas. Para obter mais informações, confira os exemplos a seguir.

Exemplo	Descrição
\\ms.temp\LocalFolder\ ou C:\temp	Exclui arquivos diretamente na pasta e em todas as subpastas para cada caminho de arquivo começando com o prefixo inserido.
\public\local\	Exclui arquivos de cada caminho de arquivo que contém o valor inserido. Corresponde a 'C:\Users\Public\local\', 'C:\Users\User1\Public\local', e '\\ms.temp\Public\local'.
C:\Users\*\Desktop	Corresponde a 'C:\Users\user1\Desktop' e 'C:\Users\user2\Desktop'.
C:\Users\*(2)\Desktop	Corresponde a 'C:\Users\user1\Desktop' e 'C:\Users\user2\Shared\Desktop'.

7. Selecione Adicionar caminhos de arquivo.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Configurações Detecções>inteligentes.
4. Na seção Exclusão do caminho do arquivo, selecione Adicionar caminhos de arquivo a serem excluídos.
5. No painel Adicionar um caminho de arquivo , insira um caminho exato de compartilhamento de rede ou dispositivo para excluir da pontuação de risco.

Você também pode usar * e *([0-9]) para denotar pastas e subpastas específicas e curinga a serem excluídas. Para obter mais informações, confira os exemplos a seguir.

Exemplo	Descrição
\\ms.temp\LocalFolder\ ou C:\temp	Exclui arquivos diretamente na pasta e em todas as subpastas para cada caminho de arquivo começando com o prefixo inserido.
\public\local\	Exclui arquivos de cada caminho de arquivo que contém o valor inserido. Corresponde a 'C:\Users\Public\local\', 'C:\Users\User1\Public\local', e '\\ms.temp\Public\local'.
C:\Users\*\Desktop	Corresponde a 'C:\Users\user1\Desktop' e 'C:\Users\user2\Desktop'.
C:\Users\*(2)\Desktop	Corresponde a 'C:\Users\user1\Desktop' e 'C:\Users\user2\Shared\Desktop'.

6. Selecione Adicionar caminhos de arquivo.

Observação

Para excluir uma exclusão do caminho do arquivo, selecione a exclusão do caminho do arquivo e selecione Excluir.

Exclusões de caminho de arquivo padrão

Por padrão, vários caminhos de arquivo são automaticamente excluídos da geração de alertas de política. As atividades nesses caminhos de arquivo normalmente são benignas e podem potencialmente aumentar o volume de alertas não acionáveis. Se necessário, você pode cancelar a seleção para essas exclusões de caminho de arquivo padrão para habilitar a pontuação de risco para atividades nesses locais.

As exclusões de caminho de arquivo padrão são:

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

Os curingas nesses caminhos denotam que todos os níveis de pasta entre \Users e \AppData estão incluídos na exclusão. Por exemplo, as atividades em C:\Users\Test1\AppData\Local e C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (e assim por diante) seriam incluídas e não pontuadas para risco como parte da seleção de exclusão \Users\*\AppData\Local .

Exclusões de tipo de informações confidenciais (versão prévia)

Tipos de informações confidenciais excluídos mapeiam para indicadores e gatilhos envolvendo atividades relacionadas a arquivos para Ponto de Extremidade, SharePoint, Teams, OneDrive e Exchange. Esses tipos excluídos são tratados como tipos de informações não confidenciais. Se um arquivo contiver qualquer tipo de informação confidencial identificado nesta seção, o arquivo será marcado por risco, mas não mostrado como atividades envolvendo conteúdo relacionado a tipos de informações confidenciais. Para obter uma lista completa de tipos de informações confidenciais, consulte Definições de entidade de tipo de informação confidencial.

Você pode selecionar os tipos de informações confidenciais a serem excluídos da lista de todos os tipos disponíveis (fora de caixa e personalizados) disponíveis no locatário. Você pode escolher até 500 tipos de informações confidenciais a serem excluídos.

Observação

A lista de exclusão de tipos de informações confidenciais tem precedência sobre a lista de conteúdo prioritário .

Excluir tipos de informações confidenciais

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Configurações no canto superior direito da página.
3. Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
4. Em Configurações de risco do Insider, selecione Detecções inteligentes.
5. Na seção Tipos de informações confidenciais , selecione Adicionar tipos de informações confidenciais a serem excluídos.
6. No painel Adicionar ou editar tipo de informação confidencial , selecione os tipos que você deseja excluir.
7. Selecione Adicionar.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Configurações Detecções>inteligentes.
4. Na seção Tipos de informações confidenciais , selecione Adicionar tipos de informações confidenciais a serem excluídos.
5. No painel Adicionar ou editar tipo de informação confidencial , selecione os tipos que você deseja excluir.
6. Selecione Adicionar.

Observação

Para excluir uma exclusão de tipo de informação confidencial, selecione a exclusão e selecione Excluir.

Exclusão do classificador treinável (versão prévia)

Classificadores treináveis excluídos mapeiam para indicadores e gatilhos envolvendo atividades relacionadas a arquivos para SharePoint, Teams, OneDrive e Exchange. Se qualquer arquivo contiver qualquer classificador treinável identificado nesta seção, o arquivo será pontuado em risco, mas não mostrado como atividade envolvendo conteúdo relacionado a classificadores treináveis. Para obter uma lista completa de classificadores pré-treinados, consulte Definições de classificadores treináveis.

Você pode selecionar os classificadores treináveis a serem excluídos da lista de todos os tipos disponíveis (fora de caixa e personalizados) disponíveis no locatário. O gerenciamento de risco interno exclui alguns classificadores treináveis por padrão, incluindo Ameaça, Palavrões, Assédio direcionado, linguagem ofensiva e discriminação. Você pode escolher até 500 classificadores treináveis a serem excluídos.

Observação

Opcionalmente, você pode escolher classificadores treináveis para serem incluídos na lista de conteúdo prioritário .

Excluir classificadores treináveis

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Configurações no canto superior direito da página.
3. Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
4. Em Configurações de risco do Insider, selecione Detecções inteligentes.
5. Na seção Classificadores treináveis , selecione Adicionar classificadores treináveis a serem excluídos.
6. No painel Adicionar ou editar classificadores treináveis , selecione os classificadores que você deseja excluir.
7. Selecione Adicionar.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Configurações Detecções>inteligentes.
4. Na seção Classificadores treináveis , selecione Adicionar classificadores treináveis a serem excluídos.
5. No painel Adicionar ou editar classificadores treináveis , selecione os classificadores que você deseja excluir.
6. Selecione Adicionar.

Observação

Para excluir uma exclusão de classificadores treináveis, selecione a exclusão e selecione Excluir.

Exclusões de site

Configure exclusões de URL do site para impedir que possíveis atividades arriscadas que ocorrem no SharePoint (e sites do SharePoint associados a sites de canal do Teams) gerem alertas de política. Talvez você queira considerar a exclusão de sites e canais que contêm arquivos e dados não confidenciais que podem ser compartilhados com os stakeholders ou o público. Você pode inserir até 500 caminhos de URL do site para excluir.

Adicionar caminhos de URL do site para excluir

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Configurações no canto superior direito da página.
3. Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
4. Em Configurações de risco do Insider, selecione Detecções inteligentes.
5. Na seção Exclusão da URL do Site , selecione Adicionar ou editar sites do SharePoint.
6. No painel Adicionar ou editar sites do SharePoint , insira ou pesquise o site do SharePoint para excluir da pontuação de risco.
7. Selecione Adicionar.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Configurações Detecções>inteligentes.
4. Na seção Exclusão da URL do Site , selecione Adicionar ou editar sites do SharePoint.
5. No painel Adicionar ou editar sites do SharePoint , insira ou pesquise o site do SharePoint para excluir da pontuação de risco.
6. Selecione Adicionar.

Observação

• Para editar um caminho de URL do site a ser excluído, selecione Editar no painel Adicionar ou editar sites do SharePoint .
• Para excluir uma exclusão da URL do Site, selecione a exclusão da URL do site e selecione Excluir.

Exclusão de palavra-chave

Configure exclusões para palavras-chave que aparecem em nomes de arquivo, caminhos de arquivo ou linhas de assunto de mensagem de email. Isso permite flexibilidade para organizações que precisam reduzir a frequência de alerta potencial devido à sinalização de termos benignos especificados para sua organização. Essas atividades relacionadas a arquivos ou entidades de email que contêm o palavra-chave serão ignoradas por suas políticas de gerenciamento de risco interno e não gerarão alertas. Você pode inserir até 500 palavras-chave para excluir.

Use o Exclude somente se ele não contiver campo para definir agrupamentos específicos de termos a serem ignorados para exclusão. Por exemplo, se você quiser excluir o palavra-chave 'treinamento', mas não excluir 'treinamento de conformidade', insira 'compliance' (ou 'treinamento de conformidade') no Exclude somente se ele não contiver campo e 'treinamento' no campo Mas contém.

Se você quiser apenas excluir termos autônomos específicos, insira os termos no campo Mas contém apenas.

Adicionar palavras-chave autônomas para excluir

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Selecione o botão Configurações no canto superior direito da página.
3. Selecione Gerenciamento de Risco Interno para acessar as configurações de gerenciamento de risco interno.
4. Em Configurações de risco do Insider, selecione Detecções inteligentes.
5. Na seção Exclusão de palavra-chave , insira as palavras-chave autônomas no campo Mas contém .
6. Selecione Salvar para configurar as exclusões de palavra-chave.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Acesse Configurações Detecções>inteligentes.
4. Na seção Exclusão de palavra-chave , insira as palavras-chave autônomas no campo Mas contém .
5. Selecione Salvar para configurar as exclusões de palavra-chave.

Para excluir um palavra-chave autônomo para excluir:

1. Na seção Exclusão de palavra-chave, selecione o X para o palavra-chave autônomo específico no campo Mas contém. Repita conforme necessário para remover várias palavras-chave.
2. Selecione Salvar.