Configurar indicadores de política no gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Modelos de política de risco interno no Gerenciamento de Risco Interno do Microsoft Purview definir o tipo de atividades de risco que você deseja detectar e investigar. Cada modelo de política é baseado em indicadores específicos que correspondem a gatilhos e atividades de risco específicas. Todos os indicadores globais são desabilitados por padrão; você deve selecionar um ou mais indicadores para configurar uma política de gerenciamento de risco interno.

Os sinais são coletados e os alertas são disparados por políticas quando os usuários executam atividades relacionadas a indicadores.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Tipos de eventos e indicadores

O gerenciamento de risco interno usa diferentes tipos de eventos e indicadores para coletar sinais e criar alertas:

• Disparando eventos: eventos que determinam se um usuário está ativo em uma política de gerenciamento de risco interno. Se um usuário for adicionado a uma política de gerenciamento de risco interno que não tenha um evento de gatilho, o usuário não será avaliado pela política como um risco potencial. Por exemplo, o Usuário A é adicionado a uma política criada a partir do roubo de dados partindo do modelo de política dos usuários e a política e o conector de RH do Microsoft 365 estão configurados corretamente. Até que o Usuário A tenha uma data de término relatada pelo conector de RH, o Usuário A não será avaliado por essa política de gerenciamento de risco interno para risco potencial. Outro exemplo de um evento de gatilho é se um usuário tiver um alerta de política DLP de alta gravidade ao usar políticas de vazamento de dados.

• Indicadores de configurações globais: indicadores habilitados em configurações globais para gerenciamento de risco interno definem os indicadores disponíveis para configuração em políticas e os tipos de sinais de eventos coletados pelo gerenciamento de risco interno. Por exemplo, se um usuário copiar dados para serviços de armazenamento em nuvem pessoais ou dispositivos de armazenamento portáteis e esses indicadores forem selecionados apenas em configurações globais, a atividade potencialmente arriscada do usuário estará disponível para revisão no Explorador de Atividades. No entanto, se esse usuário não estiver definido em uma política de gerenciamento de risco interno, o usuário não será avaliado pela política como um risco potencial e, portanto, não receberá uma pontuação de risco ou gerará um alerta.

• Indicadores de política: os indicadores incluídos nas políticas de gerenciamento de risco interno são usados para determinar uma pontuação de risco para um usuário no escopo. Os indicadores de política são habilitados a partir de indicadores definidos em configurações globais e só são ativados após um evento de gatilho ocorrer para um usuário. Exemplos de indicadores de política incluem:

  • Um usuário copia dados para serviços de armazenamento em nuvem pessoal ou dispositivos de armazenamento portáteis.
  • Uma conta de usuário é removida do Microsoft Entra ID.
  • Um usuário compartilha arquivos internos e pastas com partes externas não autorizadas.

Certos indicadores de política e sequências também podem ser usados para personalizar eventos de gatilho para modelos de política específicos. Quando configurados no assistente de política para vazamentos de dados gerais ou vazamentos de dados por modelos de usuários prioritários , esses indicadores ou sequências permitem mais flexibilidade e personalização para suas políticas e quando os usuários estão no escopo de uma política. Além disso, você pode definir limites de atividade de gerenciamento de risco para esses indicadores de gatilho para um controle mais refinado em uma política.

Definir os indicadores de política de risco interno habilitados em todas as políticas de risco interno

1. Selecione o botão Configurações e selecione Indicadores de política.

2. Selecione um ou mais indicadores de política. Os indicadores selecionados na página Configurações de indicadores de política não podem ser configurados individualmente ao criar ou editar uma política de risco interno no assistente de política.

   Observação

   Pode levar várias horas para que novos usuários adicionados manualmente apareçam no dashboard usuários. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para exibir atividades para usuários adicionados manualmente, selecione o usuário na dashboard Usuários e abra a guia Atividade do usuário no painel de detalhes.## Dois tipos de indicadores de política: indicadores internos e indicadores personalizados

Indicadores internos versus indicadores personalizados

Os indicadores de política são organizados em duas guias:

• Indicadores internos: o gerenciamento de risco interno inclui muitos indicadores internos para vários cenários que você pode usar imediatamente em suas políticas. Escolha os indicadores que você deseja ativar e personalize os limites de indicador para cada nível de indicador ao criar uma política de risco interno. Os indicadores internos são descritos com mais detalhes neste artigo.
• Indicadores personalizados: use indicadores personalizados junto com o conector Indicadores de Risco Interno (versão prévia) para trazer detecções não Microsoft para o gerenciamento de risco interno. Por exemplo, você pode querer estender suas detecções para incluir Salesforce e Dropbox e usá-las junto com as detecções internas fornecidas pela solução de gerenciamento de risco interno, que é focada em cargas de trabalho da Microsoft (SharePoint Online e Exchange Online, por exemplo). Saiba mais sobre como criar um indicador personalizado

Indicadores internos

O gerenciamento de risco interno inclui os seguintes indicadores internos.

Indicadores do Office

Estes incluem indicadores de política para sites do SharePoint, Microsoft Teams e mensagens de email.

Indicadores de armazenamento em nuvem (versão prévia)

Estes incluem indicadores de política para Google Drive, Box e Dropbox que você pode usar para detectar técnicas usadas para determinar o ambiente, coletar e roubar dados e interromper a disponibilidade ou comprometer a integridade de um sistema. Para selecionar entre indicadores de armazenamento em nuvem, primeiro você deve se conectar aos aplicativos de armazenamento em nuvem relevantes em Microsoft Defender, se ainda não tiver feito isso. Saiba mais sobre indicadores de armazenamento em nuvem

Depois de configurar, você pode desativar indicadores para os aplicativos que não deseja usar nas configurações. Por exemplo, você pode selecionar um indicador de download de conteúdo para Box e Google Drive, mas não Dropbox.

Indicadores de serviço de nuvem (versão prévia)

Estes incluem indicadores de política para Amazon S3 e Azure (SQL Server e Armazenamento) que você pode usar para detectar técnicas usadas para evitar atividades de detecção ou risco desabilitando logs de rastreamento ou atualizando ou excluindo SQL Server regras de firewall; técnicas usadas para roubar dados, como documentos confidenciais, técnicas usadas para interromper a disponibilidade ou comprometer a integridade de um sistema; ou técnicas usadas para obter permissões de nível superior para sistemas e dados. Para selecionar entre indicadores de serviço de nuvem, primeiro você deve se conectar aos aplicativos de serviço de origem relevantes em Microsoft Defender, se ainda não tiver feito isso. Saiba mais sobre indicadores de serviço de nuvem

Indicadores de dispositivo

Estes incluem indicadores de política para atividades como o compartilhamento de arquivos pela rede ou com dispositivos. Os indicadores incluem atividades que envolvem todos os tipos de arquivo, excluindo a atividade de arquivo executável (.exe) e a atividade de arquivo de .dll (biblioteca de links dinâmicos). Se você selecionar indicadores de dispositivo, a atividade será processada para dispositivos com Windows 10 dispositivos Build 1809 ou superior e macOS (três versões mais recentes lançadas). Para dispositivos Windows e macOS, primeiro você deve integrar dispositivos. Os indicadores de dispositivo também incluem a detecção de sinal do navegador para ajudar sua organização a detectar e agir em sinais de exfiltração para arquivos não existentes exibidos, copiados, compartilhados ou impressos no Microsoft Edge e no Google Chrome. Para obter mais informações sobre como configurar dispositivos Windows para integração com o risco interno, consulte Habilitar indicadores de dispositivo e integrar dispositivos Windows neste artigo. Para obter mais informações sobre como configurar dispositivos macOS para integração com o risco interno, consulte Habilitar indicadores de dispositivo e integrar dispositivos macOS neste artigo. Para obter mais informações sobre a detecção de sinal do navegador, consulte Saiba mais e configure a detecção de sinal do navegador de gerenciamento de risco interno.

Microsoft Defender para Ponto de Extremidade indicadores (versão prévia)

Estes incluem indicadores de Microsoft Defender para Ponto de Extremidade relacionados à instalação de software não aprovada ou mal-intencionada ou ignorar controles de segurança. Para receber alertas no gerenciamento de risco interno, você deve ter uma licença ativa do Defender para Ponto de Extremidade e uma integração de risco interno habilitada. Para obter mais informações sobre como configurar o Defender para Ponto de Extremidade para integração de gerenciamento de risco interno, consulte Configurar recursos avançados em Microsoft Defender para Ponto de Extremidade.

Indicadores de acesso de registro de integridade

Estes incluem indicadores de política para acesso ao registro médico do paciente. Por exemplo, a tentativa de acesso aos registros médicos do paciente em seus logs do sistema emR (registros médicos eletrônicos) pode ser compartilhada com políticas de saúde de gerenciamento de risco interno. Para receber esses tipos de alertas no gerenciamento de risco interno, você deve ter um conector de dados específico da área de saúde e o conector de dados de RH configurado.

Indicadores de acesso físico

Estes incluem indicadores de política para acesso físico a ativos confidenciais. Por exemplo, a tentativa de acesso a uma área restrita em seus logs de sistema de má formação física pode ser compartilhada com políticas de gerenciamento de risco interno. Para receber esses tipos de alertas no gerenciamento de risco interno, você deve ter ativos físicos de prioridade habilitados no gerenciamento de risco interno e no conector de dados de má estrutura física configurado. Para saber mais sobre como configurar o acesso físico, confira a seção Prioridade de acesso físico neste artigo.

Microsoft Defender para Aplicativos de Nuvem indicadores

Estes incluem indicadores de política de alertas compartilhados do Defender para Aplicativos de Nuvem. A detecção de anomalias habilitada automaticamente no Defender para Aplicativos de Nuvem imediatamente começa a detectar e reunir resultados, visando inúmeras anomalias comportamentais entre seus usuários e os computadores e dispositivos conectados à sua rede. Para incluir essas atividades em alertas de política de gerenciamento de risco interno, selecione um ou mais indicadores nesta seção. Para saber mais sobre a análise do Defender para Aplicativos de Nuvem e a detecção de anomalias, confira Obter análise comportamental e detecção de anomalias.

Indicadores de navegação arriscados (versão prévia)

Estes incluem indicadores de política para atividades de navegação relacionadas a sites considerados mal-intencionados ou arriscados e representam um risco interno potencial que pode levar a um incidente de segurança ou conformidade. Atividade de navegação arriscada refere-se a usuários que visitam sites potencialmente arriscados, como aqueles associados a malware, pornografia, violência e outras atividades não permitidas. Para incluir essas atividades de gerenciamento de risco em alertas de política, selecione um ou mais indicadores nesta seção. Para saber mais sobre como configurar sinais de exfiltração do navegador, consulte Detecção de sinal do navegador de gerenciamento de riscos do Insider.

Detecção cumulativa de exfiltração

Detecta quando as atividades de exfiltração de um usuário em todos os canais de exfiltração nos últimos 30 dias excedem as normas de organização ou grupo de pares. Por exemplo, se um usuário estiver em uma função de vendas e se comunicar regularmente com clientes e parceiros fora da organização, sua atividade de email externo provavelmente será muito maior do que a média da organização. No entanto, a atividade do usuário pode não ser incomum em comparação com os colegas de equipe do usuário ou outros com títulos de trabalho semelhantes. Uma pontuação de risco será atribuída se a atividade cumulativa de exfiltração do usuário for incomum e exceder as normas de organização ou grupo par.

Observação

Os grupos de pares são definidos com base na hierarquia da organização, no acesso aos recursos compartilhados do SharePoint e nos títulos de trabalho em Microsoft Entra ID. Se você habilitar a detecção cumulativa de exfiltração, sua organização concordará em compartilhar dados Microsoft Entra com o portal de conformidade, incluindo hierarquia de organização e títulos de trabalho. Se sua organização não usar Microsoft Entra ID para manter essas informações, a detecção poderá ser menos precisa.

Impulsionadores de pontuação de risco

Isso inclui aumentar a pontuação de risco para a atividade pelos seguintes motivos:

• Atividade que está acima da atividade usual do usuário para esse dia: as pontuações serão aumentadas se a atividade detectada se desviar do comportamento típico do usuário.

• O usuário teve um caso anterior resolvido como uma violação de política: as pontuações serão aumentadas se o usuário tiver um caso anterior no gerenciamento de risco interno que foi resolvido como uma violação de política.

• O usuário é membro de um grupo de usuários prioritário: as pontuações são aumentadas se o usuário for membro de um grupo de usuários prioritário.

• O usuário é detectado como um usuário potencial de alto impacto: quando isso está habilitado, os usuários são sinalizados automaticamente como potenciais usuários de alto impacto com base nos seguintes critérios:

  • O usuário interage com conteúdo mais confidencial em comparação com outros na organização.
  • O nível do usuário na hierarquia de Microsoft Entra da organização.
  • O número total de usuários relatando ao usuário com base na hierarquia Microsoft Entra.
  • O usuário é membro de uma função interna Microsoft Entra com permissões elevadas.

  Observação

  Ao habilitar o potencial potencial de aumento de pontuação de risco do usuário de alto impacto, você concorda em compartilhar dados Microsoft Entra com o portal de conformidade. Se sua organização não usar rótulos de confidencialidade ou não tiver configurado a hierarquia da organização no Microsoft Entra ID, essa detecção poderá ser menos precisa. Se um usuário for detectado como um membro de um grupo de usuários prioritário e também um usuário potencial de alto impacto, sua pontuação de risco só será aumentada uma vez.

Em alguns casos, talvez você queira limitar os indicadores de política de risco interno que são aplicados a políticas de risco interno em sua organização. Você pode desativar os indicadores de política para áreas específicas desabilitando-os de todas as políticas de risco interno em configurações globais. O acionamento de eventos só pode ser modificado para políticas criadas a partir de vazamentos de dados ou vazamentos de dados por modelos de usuários prioritários . As políticas criadas de todos os outros modelos não têm indicadores ou eventos de gatilho personalizáveis.

Indicadores personalizados

Use a guia Indicadores Personalizados para criar um indicador personalizado para usar como gatilho ou como um indicador de política em suas políticas.

Observação

Antes de criar um indicador personalizado para importar dados de indicadores de terceiros, você deve criar um conector de Indicadores de Risco Interno (versão prévia).

1. Em configurações de gerenciamento de risco interno, selecione Indicadores de política e selecione a guia Indicadores Personalizados .

2. Selecione Adicionar indicador personalizado.

3. Insira um nome de indicador e uma descrição (opcional).

4. Na lista Conector de dados , selecione o conector indicador de risco interno que você criou anteriormente.

   Ao selecionar um conector de dados:

   • O nome da coluna de origem selecionada quando você criou o conector é exibido na coluna Origem do campo de arquivo de mapeamento . Se você não selecionou uma coluna de origem ao criar o conector, Nenhum será exibido neste campo e você não precisará fazer uma seleção.
   • Na lista Valores na coluna de origem , selecione o valor que você deseja atribuir ao indicador personalizado. Estes são os valores relacionados à coluna de origem especificada quando você criou o conector. Por exemplo, se você criou um único conector que inclui dados para dois indicadores (Salesforce e Dropbox), você verá esses valores na lista.

5. Se você quiser usar uma coluna para definir valores de limite, na lista Dados do arquivo de mapeamento , selecione a coluna que você deseja usar para a configuração de limite; caso contrário, selecione Usar apenas como um evento de gatilho sem nenhuma opção de limites .

   Observação

   Somente campos que têm um tipo de dados Number aparecem na lista Dados de arquivo de mapeamento , uma vez que um tipo de dados Number é necessário para definir um valor limite. O tipo de dados é especificado quando você configura o conector.

6. Selecione Adicionar indicador. O indicador é adicionado à lista Indicadores Personalizados .

Agora você pode usar o indicador personalizado em quaisquer políticas de roubo de dados ou vazamentos de dados que você criar ou editar.

• Se você estiver usando o indicador personalizado como um gatilho, selecione o gatilho personalizado na página Gatilhos ao criar ou editar a política.
• Se você estiver usando o indicador personalizado como um indicador de política, selecione seu indicador personalizado na página Indicadores ao criar ou editar a política.

Observação

Depois de selecionar o gatilho ou indicador personalizado, defina um limite personalizado (não é recomendável que você use os limites padrão). Não é possível definir limites de gatilho em um indicador personalizado se você selecionou o Usar apenas como um evento de gatilho sem qualquer opção de limites .

Depois de adicionar o indicador personalizado às suas políticas, os gatilhos e insights gerados com base nos indicadores personalizados aparecem no Dashboard de Alertas, no Gerenciador de Atividades e no Linha do tempo de Usuário.

Importante

• Aguarde 24 horas antes de carregar os dados depois que os indicadores personalizados e as políticas associadas forem atualizados. Isso ocorre porque pode levar várias horas para sincronizar todos os componentes. Se você carregar imediatamente os dados enquanto as atualizações estiverem sincronizando, alguns dados poderão não ser pontuados para risco.

Criar uma variante de um indicador interno

Você pode criar grupos de detecção (versão prévia) e usá-los junto com variantes de indicadores internos (versão prévia) para adaptar detecções para diferentes conjuntos de usuários. Por exemplo, para reduzir o número de falsos positivos para atividades de email, talvez você queira criar uma variante do envio de email com anexos para destinatários fora do indicador interno da organização para detectar apenas o email enviado para domínios pessoais. Uma variante herda todas as propriedades do indicador interno. Em seguida, você pode modificar a variante com exclusões ou inclusões.

1. Em configurações de gerenciamento de risco interno, selecione Indicadores de política.

2. Selecione Nova variante de indicador (versão prévia). Isso abre o painel Nova variante de indicador (versão prévia) no lado direito da tela.

3. Na lista indicador base , selecione o indicador para o qual você deseja criar uma variante.

   Observação

   Você pode criar até três variantes para cada indicador interno. Se você já tiver criado três variantes para um indicador interno específico, o indicador interno será esmaecido na lista. Há também alguns indicadores internos (indicadores Microsoft Defender para Ponto de Extremidade, por exemplo) que não dão suporte a variantes.

4. Adicione um nome para a variante (ou aceite o nome sugerido). Um nome de variante não pode ter mais de 110 caracteres.

5. Adicione uma descrição para a variante (opcional). A descrição aparece na política para ajudá-lo a diferenciá-la de outros indicadores ou variantes de indicador. Uma descrição de uma variante não pode ter mais de 256 caracteres.

6. Em Grupo de detecção, selecione uma das seguintes opções:

   • Ignore a atividade envolvendo itens em grupos selecionados. Selecione essa opção se quiser capturar tudo, exceto algumas exclusões. Por exemplo, talvez você queira usar essa opção para capturar todos os emails de saída, exceto emails enviados para domínios específicos.

   • Detecte apenas a atividade envolvendo itens em grupos selecionados. Selecione essa opção se você quiser especificar as inclusões a serem capturadas . Por exemplo, selecione essa opção se você quiser capturar apenas emails enviados para determinados domínios.

   Observação

   Se você ainda não criou um grupo de detecção, não poderá selecionar uma opção na seção Grupo de detecção .

7. Na lista Selecionar um ou mais grupos de detecção , selecione os grupos de detecção que você deseja aplicar à variante. Os grupos de detecção são listados no título de tipo de detecção apropriado para ajudar você a encontrar o grupo apropriado. Para uma única variante, você pode adicionar cinco grupos de detecção de um único tipo. Por exemplo, você pode adicionar cinco grupos de domínios, cinco grupos de tipos de arquivo e assim por diante.  

   Observação

   Somente grupos de detecção aplicáveis à variante aparecem na lista. Por exemplo, um grupo de detecção de tipo de arquivo não aparecerá para as pastas do SharePoint de compartilhamento com pessoas fora do indicador da organização, uma vez que não é aplicável.

8. Selecione Salvar.

9. Na caixa de diálogo Próximas etapas , se você quiser aplicar a nova variante a uma política específica, selecione o link de página Políticas .

Dica

Para garantir que uma variante capture todas as atividades importantes que você deseja detectar, você pode aplicar o indicador interno e a variante do indicador interno na mesma política. Em seguida, você pode observar as atividades que cada indicador captura em alertas e, em seguida, usar apenas o indicador de variante depois de garantir que tudo seja detectado.

Usar uma variante em uma política

1. Acesse a página Indicadores do assistente de política.

2. Localize o indicador interno que inclui uma ou mais variantes. Indicadores internos que têm variantes são marcados com uma pequena caixa azul na caixa de seleção variante e uma lista é exibida no final do texto do descritor de indicador para indicar o número de variantes selecionadas. Abra a lista para ver as variantes.

   Observação

   Se você selecionar uma ou todas as caixas de seleção na lista de variantes, a caixa de seleção de primeiro nível do indicador interno se tornará uma caixa de seleção azul sólida. Se nenhuma das caixas na lista de variantes for selecionada, a caixa de seleção de primeiro nível ficará em branco.

3. Selecione Avançar.

4. Na página Personalizar limites , você pode personalizar valores de limite para variantes individualmente.

Investigar insights fornecidos por variantes

Depois que as variantes são adicionadas às políticas, os alertas são gerados no dashboard e um pesquisador pode exibir mais detalhes nas guias de atividades do Gerenciador de Atividades e do Usuário.

Editar uma variante

1. Selecione o texto azul no final do texto de descrição do indicador. Por exemplo, selecione +2 variantes, conforme mostrado no exemplo de captura de tela a seguir.

   

2. Na página Exibir/editar indicadores , selecione o botão Editar .

3. Faça suas alterações.

Limitações de variante

• Você pode criar até três variantes por indicador interno.
• Para uma única variante, você pode adicionar cinco grupos de detecção de um único tipo. Por exemplo, você pode adicionar um máximo de cinco grupos de domínios, cinco grupos de tipos de arquivo e assim por diante.
• Para a versão prévia do grupo de detecções, as variantes não dão suporte a sequências, atividades cumulativas de exfiltração, o impulsionador de pontuação de risco ou análise em tempo real.

Como as variantes são priorizadas em relação a exclusões de detecções inteligentes e conteúdo prioritário

O escopo das atividades ocorre em vários locais no gerenciamento de risco interno. O escopo acontece na seguinte ordem de prioridade:

1. Detecções inteligentes.

2. Exclusão/inclusão de escopo de variante

3. Conteúdo prioritário

Habilitar indicadores de dispositivo e integrar dispositivos Windows

Para habilitar a detecção de atividades de risco em dispositivos Windows e incluir indicadores de política para essas atividades, seus dispositivos Windows devem atender aos requisitos a seguir e você deve concluir as seguintes etapas de integração. Saiba mais sobre os requisitos de integração de dispositivo

Etapa 1: Preparar seus pontos de extremidade

Verifique se os dispositivos Windows 10 que você planeja relatar no gerenciamento de risco interno atendem a esses requisitos.

1. O dispositivo deve estar executando Windows 10 build x64 1809 ou posterior e a atualização Windows 10 (Build 17763.1075) do sistema operacional a partir de 20 de fevereiro de 2020 deve ser instalada.
2. A conta de usuário usada para fazer logon no dispositivo Windows 10 deve ser uma conta de Microsoft Entra ativa. O dispositivo Windows 10 pode ser Microsoft Entra ID, Microsoft Entra híbrido, ingressado ou registrado.
3. Instale o navegador Microsoft Edge no dispositivo de ponto de extremidade para detectar ações para a atividade de carregamento na nuvem. Consulte Baixar o novo Microsoft Edge com base em Chromium.

Observação

O DLP do ponto de extremidade agora dá suporte a ambientes virtualizados, o que significa que a solução de gerenciamento de risco interno dá suporte a ambientes virtualizados por meio do DLP do ponto de extremidade. Saiba mais sobre o suporte para ambientes virtualizados no ponto de extremidade DLP

Etapa 2: Integrar dispositivos

Você deve habilitar a verificação de dispositivos e integrar seus pontos de extremidade antes de detectar atividades de gerenciamento de risco interno em um dispositivo. Ambas as ações são feitas no Microsoft Purview.

Quando você deseja habilitar dispositivos que ainda não foram integrados, você precisa baixar o script apropriado e implantá-lo conforme descrito neste artigo.

Se você já tiver dispositivos integrados em Microsoft Defender para Ponto de Extremidade, eles aparecerão na lista de dispositivos gerenciados.

Integração de dispositivos

Nesse cenário de implantação, você habilita dispositivos que ainda não foram integrados e só deseja detectar atividades de risco interno em dispositivos Windows.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

2. Selecione o botão Configurações no canto superior direito da página.

3. Em Integração de dispositivos, selecione Dispositivos. A lista fica vazia até que você integre dispositivos.

4. Selecione Ativar a integração do dispositivo.

   Observação

   Enquanto a integração de dispositivos geralmente leva cerca de 60 segundos para que seja habilitada, aguarde até 30 minutos antes de se envolver com o suporte da Microsoft.

5. Selecione a maneira como você deseja implantar nesses dispositivos na lista de métodos de implantação e selecione Baixar pacote.

6. Siga os procedimentos apropriados em Ferramentas e métodos de integração para máquinas Windows. Este link leva você a uma página de destino onde você pode acessar os procedimentos da Proteção Avançada contra Ameaças do Microsoft Defender que correspondem ao pacote de implantação selecionado na etapa 5:

   • Integração de computadores Windows usando Política de Grupo
   • Integrar computadores com Windows usando o Microsoft Endpoint Configuration Manager
   • Integração de computadores Windows usando ferramentas de Gerenciamento de Dispositivo Móvel
   • Integração de computadores Windows usando um script local
   • Integrar máquinas VDI (infraestrutura de área de trabalho virtual) não persistentes

Quando você terminar e o dispositivo de ponto de extremidade estiver integrado, ele deverá estar visível na lista de dispositivos e o dispositivo de ponto de extremidade iniciará o relatório de logs de atividades de auditoria para o gerenciamento de risco interno.

Observação

Esta experiência está na imposição da licença. Sem a licença necessária, os dados não estarão visíveis nem acessíveis.

Portal de Conformidade

1. Entre no portal de conformidade do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365..

2. Vá para a página Configurações e selecione Dispositivos de integração>de dispositivos. A lista fica vazia até que você integre dispositivos.

3. Selecione Integração para iniciar o processo de integração.

   Observação

   Enquanto a integração de dispositivos geralmente leva cerca de 60 segundos para que seja habilitada, aguarde até 30 minutos antes de se envolver com o suporte da Microsoft.

4. Selecione a maneira como você deseja implantar nesses dispositivos na lista de métodos de implantação e selecione Baixar pacote.

5. Siga os procedimentos apropriados em Ferramentas e métodos de integração para máquinas Windows. Este link leva você a uma página de destino onde você pode acessar os procedimentos da Proteção Avançada contra Ameaças do Microsoft Defender que correspondem ao pacote de implantação selecionado na etapa 5:

   • Integração de computadores Windows usando Política de Grupo
   • Integrar computadores com Windows usando o Microsoft Endpoint Configuration Manager
   • Integração de computadores Windows usando ferramentas de Gerenciamento de Dispositivo Móvel
   • Integração de computadores Windows usando um script local
   • Integrar máquinas VDI (infraestrutura de área de trabalho virtual) não persistentes

Quando você terminar e o dispositivo de ponto de extremidade estiver integrado, ele deverá estar visível na lista de dispositivos e o dispositivo de ponto de extremidade iniciará o relatório de logs de atividades de auditoria para o gerenciamento de risco interno.

Observação

Esta experiência está na imposição da licença. Sem a licença necessária, os dados não estarão visíveis nem acessíveis.

Se os dispositivos já estiverem integrados ao Microsoft Defender para Ponto de Extremidade

Se Microsoft Defender para Ponto de Extremidade já estiver implantado e os dispositivos de ponto de extremidade estiverem relatando, os dispositivos de ponto de extremidade aparecerão na lista de dispositivos gerenciados. Você pode continuar integrando novos dispositivos no gerenciamento de risco interno para expandir a cobertura acessando a Etapa 2: Integrando dispositivos.

Habilitar indicadores de dispositivo e integrar dispositivos macOS

Os dispositivos macOS (Catalina 10.15 ou posterior) podem ser integrados ao Microsoft 365 para dar suporte a políticas de gerenciamento de risco interno usando Intune ou JAMF Pro. Para obter mais informações e diretrizes de configuração, confira Integrar dispositivos macOS na visão geral do Microsoft 365 (versão prévia).

Configurações de nível de indicador

Ao criar uma política usando o assistente de política, você pode configurar como o número diário de eventos de risco deve influenciar a pontuação de risco para alertas de risco interno. Essas configurações de indicador ajudam você a controlar como o número de ocorrências de eventos de risco em sua organização afeta a pontuação de risco (e a gravidade do alerta associado) para esses eventos.

Por exemplo, digamos que você decida habilitar indicadores do SharePoint nas configurações de política de risco interno e selecione limites personalizados para eventos do SharePoint ao configurar indicadores para uma nova política de vazamentos de dados de risco interno. No assistente de política de risco interno, você configurará três níveis de eventos diários diferentes para cada indicador do SharePoint para influenciar a pontuação de risco para alertas associados a esses eventos.

Para o primeiro nível de evento diário, você define o limite como:

• 10 ou mais eventos por dia para um impacto menor na pontuação de risco para os eventos
• 20 ou mais eventos por dia para um impacto médio na pontuação de risco para os eventos
• 30 ou mais eventos por dia para um impacto maior na pontuação de risco para os eventos

Essas configurações efetivamente significam:

• Se houver eventos do SharePoint de 1 a 9 que ocorrem após o evento de gatilho, as pontuações de risco serão minimamente afetadas e tendem a não gerar um alerta.
• Se houver eventos do SharePoint de 10 a 19 que ocorrem após um evento de gatilho, a pontuação de risco será inerentemente menor e os níveis de gravidade do alerta tendem a estar em um nível baixo.
• Se houver eventos do SharePoint de 20 a 29 que ocorrem após um evento de gatilho, a pontuação de risco será inerentemente maior e os níveis de gravidade do alerta tendem a estar em um nível médio.
• Se houver 30 ou mais eventos do SharePoint que ocorrem após um evento de gatilho, a pontuação de risco será inerentemente maior e os níveis de gravidade do alerta tendem a estar em um nível alto.

Outra opção para limites de política é atribuir o evento de acionamento de política à atividade de gerenciamento de risco acima do número diário típico de usuários. Em vez de ser definido por configurações de limite específicas, cada limite é personalizado dinamicamente para atividades anômalas detectadas para usuários de política no escopo. Se houver suporte à atividade de limite para atividades anômalas para um indicador individual, você poderá selecionar Atividade está acima da atividade usual do usuário para o dia no assistente de política para esse indicador. Se essa opção não estiver listada, o gatilho de atividade anômala não estará disponível para o indicador. Se a atividade estiver acima da atividade usual do usuário para a opção de dia estiver listada para um indicador, mas não for selecionável, você precisará habilitar essa opção em Configurações de risco internas>Indicadores de política.

Usar recomendações de análise em tempo real para definir limites

Você pode usar análise em tempo real (versão prévia) para aproveitar uma experiência de configuração de limite guiada (controlada por dados) que permite selecionar rapidamente os limites apropriados para indicadores de política. Essa experiência guiada pode ajudá-lo a ajustar com eficiência a seleção de indicadores e limites de ocorrência de atividade para que você não tenha poucos ou muitos alertas de política.

Quando a análise é ativada:

• A opção Aplicar limites específicos à opção de atividade dos usuários está habilitada na página Indicadores do assistente de política. Selecione essa opção se você quiser que o gerenciamento de risco interno forneça recomendações de limite de indicador com base nos 10 dias anteriores da atividade do usuário em sua organização.

  Observação

  Para usar essa opção, você deve selecionar pelo menos um indicador de política interna. O gerenciamento de risco interno não fornece limites recomendados para indicadores personalizados ou variantes de indicadores internos.

• Se você selecionar a opção Escolher seus próprios limites na página Indicadores do assistente de política, os padrões para as configurações de limites serão baseados em valores de limite recomendados (com base na atividade em sua organização) em vez dos valores padrão internos. Você também verá um medidor, uma lista dos cinco principais indicadores e insights para cada indicador.

  

  • R. O medidor mostra o número aproximado de usuários com escopo cujas atividades dos últimos 10 dias excederam os limites diários mais baixos para pelo menos um dos indicadores internos selecionados para a política. Esse medidor pode ajudá-lo a estimar o número de alertas que podem ser gerados se todos os usuários incluídos na política receberem pontuações de risco.

  • B. A lista dos cinco principais indicadores é classificada pelo número de usuários que excedem os limites diários mais baixos. Se suas políticas estão gerando muitos alertas, esses são os indicadores em que você pode querer se concentrar para reduzir o "ruído".

  • C. Os insights de cada indicador são exibidos abaixo do conjunto de configurações de limite para esse indicador. O insight mostra o número aproximado de usuários cujas atividades dos últimos 10 dias excederam os limites baixos especificados para o indicador. Por exemplo, se a configuração de limite baixo para Baixar conteúdo do SharePoint for definida como 100, o insight mostrará o número de usuários na política que executaram mais de 100 atividades de download em média nos últimos 10 dias.

Observação

Exclusões globais (detecções inteligentes) são levadas em conta para análises em tempo real.

Ajustar configurações de limite manualmente

Se você selecionar a opção Escolher seus próprios limites e ajustar manualmente uma configuração de limite para um indicador específico, o insight abaixo do indicador será atualizado em tempo real. Isso ajuda você a configurar os limites apropriados para cada indicador alcançar o nível mais alto de eficácia do alerta antes de ativar suas políticas.

Para economizar tempo e facilitar a compreensão do impacto das alterações manuais nos valores de limite, selecione o link Exibir impacto no insight para exibir os Usuários que excedem os limites diários do grafo de indicador . Este grafo fornece análise de confidencialidade para cada indicador de política.

Importante

Este grafo não estará disponível se você selecionar a opção Incluir usuários específicos ao criar a política. Você deve selecionar a opção Incluir todos os usuários e grupos . O grafo também não estará disponível se você selecionar os alertas Obter apenas para atividades que incluem a opção de conteúdo prioritário no Conteúdo para priorizar a página do assistente de política.

Você pode usar esse grafo para analisar os padrões de atividade dos usuários em sua organização para o indicador selecionado. Por exemplo, na ilustração anterior, o indicador de limite para Compartilhamento de arquivos do SharePoint com pessoas fora da organização está definido como 38. O gráfico mostra quantos usuários executaram ações que excederam esse valor limite e a distribuição de alertas de baixa, média e alta gravidade para essas ações. Selecione uma barra para ver insights de cada valor. Por exemplo, na ilustração acima, a barra para o valor 50 é selecionada e o insight mostra que, nesse valor limite, aproximadamente 22 usuários realizaram pelo menos 50 eventos em pelo menos um dia nos últimos 10 dias.

Pré-requisitos para usar análise em tempo real

Para usar análise em tempo real (versão prévia), você deve habilitar insights de análise de risco interno. Depois que a análise estiver habilitada, pode levar de 24 a 48 horas para que insights e recomendações apareçam.