Gerenciar o fluxo de trabalho com o painel de usuários de gerenciamento de risco interno

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

O painel Usuários é uma ferramenta importante no fluxo de trabalho de gerenciamento de risco interno e ajuda pesquisadores e analistas a ter uma compreensão mais completa das atividades de risco. Este painel oferece exibições e recursos de gerenciamento para atender às necessidades administrativas entre a criação de políticas de gerenciamento de riscos internos e o gerenciamento de casos de gerenciamento de risco interno.

Depois que os usuários são adicionados às políticas de gerenciamento de risco interno, os processos em segundo plano estão avaliando automaticamente as atividades do usuário para disparar indicadores. Depois que os indicadores de gatilho estiverem presentes, as atividades do usuário receberão pontuações de risco. Algumas dessas atividades podem resultar em um alerta de risco interno, mas algumas atividades podem não atender a um nível mínimo de pontuação de risco e um alerta de risco interno não será criado. O painel Usuários permite exibir usuários com esses tipos de indicadores e pontuações de risco, bem como usuários que têm alertas de risco interno ativos.

Saiba mais sobre como o painel Usuários exibe os usuários nos seguintes cenários:

  • Usuários com alertas de política de risco interno ativos
  • Usuários com eventos de gatilho
  • Usuários identificados como potenciais usuários de alto impacto ou em grupos de usuários prioritários
  • Usuários adicionados temporariamente às políticas

Dica

Se você não for um cliente E5, poderá experimentar todos os recursos premium no Microsoft Purview gratuitamente. Use a avaliação de soluções do Purview de 90 dias para explorar como recursos robustos do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Usuários com alertas de política de risco interno ativos

O painel Usuários exibe automaticamente todos os usuários com alertas de política de risco interno ativos. Esses usuários com alertas têm um indicador de gatilho e uma pontuação de risco de atividade que atende aos requisitos para criar um alerta de risco interno. As atividades para esses usuários são exibidas selecionando o usuário no painel Usuários e navegando até a guia Atividade do usuário .

Usuários com eventos de gatilho

O painel Usuários exibe automaticamente todos os usuários com eventos de gatilho, mas que não têm uma pontuação de risco de atividade que criaria um alerta de risco interno. Por exemplo, um usuário com uma data de demissão relatada é exibido porque essa atividade é um evento de gatilho, mas não é uma atividade que tem uma pontuação de risco. As atividades para esses usuários são exibidas selecionando o usuário no painel Usuários e navegando até a guia Atividade do usuário .

Usuários adicionados temporariamente às políticas

O painel Usuários inclui usuários adicionados a políticas de gerenciamento de risco interno após um evento incomum fora do fluxo de trabalho de gerenciamento de risco interno. Adicionar temporariamente usuários (do painel Políticas) também é uma maneira de iniciar a pontuação da atividade do usuário para uma política de gerenciamento de risco interno para testar a política, mesmo que um conector necessário não esteja configurado.

Quando um usuário é adicionado manualmente a uma política, as atividades do usuário dos últimos 90 dias são pontuadas e adicionadas à linha do tempo de atividade do usuário . Por exemplo, você tem um usuário que não está recebendo pontuações de risco para uma política de risco interno e o usuário tem atividades de vazamento de dados relatadas ao departamento jurídico em sua organização. O departamento jurídico recomenda que você configure novos requisitos de detecção de curto prazo para o usuário. Você pode atribuir temporariamente o usuário à política de vazamentos de dados por um tempo designado (janela de ativação). Todos os usuários adicionados temporariamente são exibidos no painel Usuários porque os requisitos de evento de gatilho são dispensados.

Observação

Pode levar várias horas para que novos usuários adicionados manualmente apareçam no painel Usuários. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para exibir atividades para usuários adicionados manualmente, selecione o usuário no painel Usuários e abra a guia Atividade do usuário no painel de detalhes.

O usuário é removido automaticamente do painel Usuários e a pontuação é interrompida quando o tempo definido na janela de ativação expirar se:

  • o usuário não tem nenhum evento de gatilho adicional ou alertas de política de risco interno e
  • se a duração da janela de ativação definida manualmente for maior do que a duração da janela de ativação da política global.

A configuração da janela de ativação com a duração mais longa sempre substitui a configuração da janela de ativação com uma duração mais curta. Por exemplo, você configurou a janela ativação na guia de prazos política global nas configurações globais de gerenciamento de risco interno por 15 dias, que é aplicada automaticamente a todas as políticas de risco interno.

Você adiciona temporariamente um usuário à política de risco interno de vazamentos de dados e define 30 dias como a janela de ativação desse usuário. A configuração da janela de ativação global de 15 dias é substituída definindo a configuração da janela de ativação de 30 dias para o usuário adicionado temporariamente. O usuário adicionado temporariamente permanecerá no painel Usuários e ficará no escopo da política por 30 dias.

No cenário oposto em que a configuração da janela de ativação global é maior do que a configuração da janela de ativação definida para um usuário adicionado temporariamente, a configuração da janela de ativação global substituiria a configuração da janela de ativação para o usuário temporariamente adicionado. O usuário adicionado temporariamente permanecerá no painel Usuários e estará no escopo da política para o número de dias definidos nas configurações da janela de ativação global.

Exibir informações do usuário no painel Usuários

Cada usuário exibido no painel Usuários tem as seguintes informações:

  • Usuários: nome de usuário para um usuário. Esse campo será anonimizado se a configuração de anonimização global para gerenciamento de risco interno estiver habilitada.
  • Nível de risco: nível de risco calculado atual do usuário. Essa pontuação é calculada a cada 24 horas e usa as pontuações de risco de alerta de todos os alertas ativos associados ao usuário. Para usuários com apenas indicadores de gatilho, o nível de risco é zero.
  • Alertas ativos: número de alertas ativos para todas as políticas.
  • Violações confirmadas: número de casos resolvidos como violação de política confirmada para o usuário.
  • Caso: caso ativo atual para o usuário.

Para localizar rapidamente um usuário específico, use Pesquisar na parte superior direita do painel Usuários. Ao pesquisar usuários, você deve usar o nome da entidade de usuário (UPN). Por exemplo, ao procurar um usuário chamado 'Tiara Hidayah' que tenha um UPN de 'thidayah' em sua organização, você inseriria 'thidayah' ou parte do UPN na Pesquisa.

Painel de usuários de gerenciamento de risco interno

Observação

O número de usuários exibidos no painel Usuários pode ser limitado em algumas instâncias, dependendo do volume de alertas ativos e políticas correspondentes. Usuários com alertas ativos são exibidos no painel Usuários à medida que os alertas são gerados e podem haver casos raros quando o número máximo de usuários exibidos é atingido. Se esse limite acontecer, os usuários com alertas ativos que não forem exibidos serão adicionados ao painel Usuários à medida que os alertas de usuário existentes forem triageados.

Exibir detalhes do usuário

Para exibir mais detalhes sobre a atividade de risco para um usuário, abra o painel de detalhes do usuário clicando duas vezes em um usuário no painel Usuários. No painel de detalhes, você pode exibir as seguintes informações:

  • Guia Perfil do usuário

    • Nome e título: nome e título de posição para o usuário do Azure Active Directory. Esses campos de usuário serão anonimizados ou vazios se a configuração de anonimização global para gerenciamento de risco interno estiver habilitada.
    • Detalhes do usuário: lista se o usuário foi identificado como um usuário potencial de alto impacto ou se o usuário está em grupos de usuários prioritários.
    • Resumo de alertas e atividades: lista alertas de usuário ativos e casos abertos.
    • Email do usuário: Email endereço para o usuário.
    • Alias: alias de rede para o usuário.
    • Organização ou departamento: organização ou departamento para o usuário.
    • No escopo: lista a atribuição no escopo do usuário às políticas.
  • Guia atividade do usuário

    • Histórico de atividades recentes do usuário: lista indicadores de gatilho e indicadores de risco interno para atividades de risco até os últimos 90 dias. Todas as atividades de risco pertinentes a indicadores de risco interno também são pontuadas, embora as atividades possam ou não ter gerado um alerta de risco interno. Disparar exemplos de indicador pode ser uma data de demissão ou a última data de trabalho agendada para o usuário. Indicadores de risco interno são atividades determinadas a ter um elemento de risco, o que pode potencialmente levar a um incidente de segurança e são definidos em políticas nas quais o usuário está incluído. As atividades de evento e risco são listadas com o item mais recente listado primeiro.

Remover usuários da atribuição no escopo para políticas

Pode haver cenários em que você precisa parar de atribuir pontuações de risco aos usuários em políticas de gerenciamento de risco interno. Use Remover usuários na página do painel Usuários para parar de atribuir pontuações de risco para um ou mais usuários de todas as políticas de gerenciamento de risco interno para as quais eles estão atualmente no escopo. Essa ação não remove os usuários da atribuição geral da política (quando você adiciona usuários ou grupos a uma configuração de política), mas simplesmente remove os usuários do processamento ativo por políticas após eventos de gatilho atuais. Se os usuários tiverem outro evento de gatilho no futuro, as pontuações de risco das políticas começarão a ser atribuídas automaticamente aos usuários novamente. Quaisquer alertas ou casos existentes para esse usuário não serão removidos.

Observação

A remoção de um usuário de uma política pode levar vários minutos para ser concluída. Depois de concluído, o usuário não está mais listado na página Usuários. Se o usuário removido tiver alertas ou casos ativos, o usuário permanecerá na página Usuários e os detalhes do usuário mostrarão que ele não está mais no escopo de uma política.

Para remover manualmente os usuários do status no escopo em todas as políticas de gerenciamento de risco interno, conclua as seguintes etapas:

  1. No portal de conformidade do Microsoft Purview, acesse Gerenciamento de riscos do Insider e selecione a guia Usuários.
  2. No painel Usuários, selecione o usuário ou os usuários que você deseja remover de estarem no escopo em políticas de gerenciamento de risco interno.
  3. Selecione Remover usuários.
  4. No painel Remover usuário , selecione Remover ou Cancelar para descartar as alterações e fechar a caixa de diálogo.
  5. Selecione Remover no painel de confirmação para remover o usuário.

Executar tarefas automatizadas com fluxos do Power Automate para um usuário

Usando fluxos recomendados do Power Automate, investigadores de risco e analistas podem agir rapidamente para notificar os usuários quando eles são adicionados a uma política de risco interno.

Para executar, gerenciar e criar fluxos do Power Automate para usuários de gerenciamento de risco interno:

  1. Selecione Automatizar na barra de ferramentas de ação do usuário.
  2. Escolha o fluxo do Power Automate para ser executado e selecione Executar fluxo.
  3. Depois que o fluxo for concluído, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.