Tomar medidas em casos de gestão de riscos internos

Importante

A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Os casos são o centro da gestão de riscos internos e permitem-lhe investigar e agir profundamente sobre problemas gerados por indicadores de risco definidos nas suas políticas. Os casos são criados manualmente a partir de alertas em situações em que é necessária uma ação adicional para resolver um problema relacionado com a conformidade de um utilizador. Cada caso está no âmbito de um único utilizador e podem ser adicionados vários alertas para o utilizador a um caso existente ou a um novo caso.

Depois de investigar os detalhes de um caso, pode tomar medidas ao:

• Enviar um aviso ao utilizador
• Resolver o caso como benigno
• Partilhar o caso com a sua instância do ServiceNow ou com um destinatário de e-mail
• Escalar o caso para uma investigação de Deteção de Dados Eletrónicos (Premium)

Veja o vídeo Insider Risk Management Investigation and Escalation (Investigação e Escalamento da Gestão de Riscos Internos) para obter uma descrição geral de como os casos são investigados e geridos na gestão de riscos internos.

Dica

Comece a utilizar o Microsoft Copilot for Security para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre o Microsoft Copilot for Security no Microsoft Purview.

Dashboard de casos

Dica

Para ver relatórios de casos, aceda à página Relatórios . Cada widget de relatório na página Relatórios apresenta informações dos últimos 30 dias:

• Casos ativos: o número total de casos ativos sob investigação.
• Casos nos últimos 30 dias: o número total de casos criados, ordenados pelo estado Ativo e Fechado .
• Estatísticas: tempo médio de casos ativos, listado em horas, dias ou meses.

O dashboard Casos de gestão de riscos internos permite-lhe ver e agir sobre casos. A fila de casos lista todos os casos ativos e fechados da sua organização, para além do estado atual dos seguintes atributos de caso:

• ID do Caso: o ID do caso.
• Nome do caso: o nome do caso, definido quando um alerta é confirmado e o caso é criado.
• Estado: o estado do caso, Ativo ou Fechado.
• Utilizador: o utilizador do caso. Se a anonimização dos nomes de utilizador estiver ativada, são apresentadas informações anonimizadas.
• Caso de tempo aberto: o tempo que passou desde que o caso foi aberto.
• Total de alertas de política: o número de correspondências de políticas incluídas no caso. Esse número pode aumentar se novos alertas são adicionados ao caso.
• Última atualização do caso: a hora que passou desde que foi adicionada uma nota de caso ou alteração no estado do caso.
• Última atualização por: o nome do analista de gestão de riscos internos ou investigador que atualizou o caso pela última vez.

Observação

Se as suas políticas estiverem confinadas por uma ou mais unidades administrativas, a propriedade de um caso só pode ser dada aos utilizadores de gestão de riscos internos com as permissões adequadas do grupo de funções e o utilizador realçado no alerta tem de estar no âmbito da unidade de administração. Por exemplo, se um âmbito administrativo se aplicar apenas a utilizadores na Alemanha, o utilizador de gestão de riscos internos só pode ver alertas para os utilizadores na Alemanha. Os administradores sem restrições podem ver todos os casos de todos os utilizadores na organização.

Utilize o controlo Procurar para procurar um ID de Caso ou para procurar texto específico em nomes de maiúsculas e minúsculas. Utilize o filtro de casos para ordenar casos pelos seguintes atributos:

• Status
• Caso de hora, data de início e data de término
• Última atualização, data de início e data de término

Atribuir um caso

Se for um administrador com as permissões adequadas, pode atribuir a propriedade de um caso a si próprio ou a um utilizador de gestão de riscos internos com a função Gestão de Riscos Internos, Analista de Gestão de Riscos Internos ou Investigador de Gestão de Riscos Internos. Depois de um caso ser atribuído, também pode reatribuí-lo a um utilizador com qualquer uma das mesmas funções. Só pode atribuir um caso a um administrador de cada vez.

Se um administrador estiver atribuído a um caso, pode filtrar por administrador.

Atribuir um caso a partir do dashboard Casos

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. No dashboard Casos, selecione as maiúsculas/minúsculas que pretende atribuir.
5. Na barra de botões acima da fila de casos, selecione Atribuir.
6. No painel Atribuir proprietário , no lado direito do ecrã, procure um administrador com as permissões adequadas e, em seguida, selecione a caixa de verificação desse administrador.
7. Selecione Atribuir.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. No dashboard Casos, selecione as maiúsculas/minúsculas que pretende atribuir.
5. Na barra de botões acima da fila de casos, selecione Atribuir.
6. No painel Atribuir proprietário no lado direito do ecrã, procure um administrador com as permissões adequadas e, em seguida, selecione a caixa de verificação desse administrador.
7. Selecione Atribuir.

Atribuir um caso a partir da página de detalhes Casos

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um processo.
5. No painel de detalhes do caso, à esquerda do botão Resolver um caso , selecione Atribuir.
6. Na lista Contactos sugeridos , selecione o administrador adequado.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um processo.
5. No painel de detalhes do caso, à esquerda do botão Resolver um caso , selecione Atribuir.
6. Na lista Contactos sugeridos , selecione o administrador adequado.

Casos de filtro

Consoante o número e o tipo de políticas de gestão de riscos internos ativas na sua organização, rever uma grande fila de casos pode ser um desafio. A utilização de filtros de casos pode ajudar analistas e investigadores a ordenar casos por vários atributos. Para filtrar alertas no dashboard Casos, selecione o controlo Filtrar . Pode filtrar casos por um ou mais atributos:

• Estado: selecione um ou mais valores de estado para filtrar a lista de maiúsculas e minúsculas. As opções são Ativa e Fechada.
• Caso de hora aberto: selecione as datas de início e de fim para quando o caso foi aberto.
• Última atualização: selecione as datas de início e de fim para quando o caso foi atualizado.

Filtrar casos, guardar uma vista de um conjunto de filtros, personalizar colunas ou procurar alertas

Consoante o número e o tipo de políticas de gestão de riscos internos ativas na sua organização, rever uma grande fila de casos pode ser um desafio. Para o ajudar a controlar os casos, pode:

• Filtrar casos por vários atributos.
• Guarde uma vista de um conjunto de filtros para reutilizar mais tarde.
• Apresentar ou ocultar colunas.
• Procure um alerta.

Casos de filtro

1. Selecione Adicionar filtro.

2. Selecione um ou mais dos seguintes atributos:

   Atributo	Descrição
   Atribuído a	O administrador ao qual o alerta está atribuído para triagem (se atribuído).
   Última atualização do caso	As datas de início e de fim para quando o caso foi atualizado pela última vez.
   Status	Estado atual do caso. As opções são Ativa e Fechada.
   Caso de tempo aberto	As datas de início e de fim para quando o caso foi aberto.

   Os atributos que selecionar são adicionados à barra de filtro.

3. Selecione um atributo na barra de filtro e, em seguida, selecione um valor pelo qual filtrar. Por exemplo, selecione o atributo Data da última atividade , introduza ou selecione as datas nos campos Data de início e Data de fim e, em seguida, selecione Aplicar.

   Dica

   Se quiser recomeçar a qualquer momento, selecione Repor tudo na barra de filtro.

Guardar uma vista de um conjunto de filtros para reutilizar mais tarde

1. Depois de aplicar os filtros conforme descrito no procedimento anterior, selecione Guardar acima da barra de filtro, introduza um nome para o conjunto de filtros e, em seguida, selecione Guardar.

   O conjunto de filtros é adicionado como um cartão acima da barra de filtro. Inclui um número que mostra a contagem de casos que cumprem os critérios no conjunto de filtros.

   Observação

   Pode guardar até cinco conjuntos de filtros. Se precisar de eliminar um conjunto de filtros, selecione o botão de reticências (três pontos) no canto superior direito do cartão e, em seguida, selecione Eliminar.

2. Para reaplicar um conjunto de filtros guardado, basta selecionar o cartão para o conjunto de filtros.

Apresentar ou ocultar colunas

1. No lado direito da página, selecione Personalizar colunas.

2. Selecione ou desmarque as caixas de verificação das colunas que pretende apresentar ou ocultar.

As definições de coluna são guardadas em sessões e em browsers.

Procurar alertas

Utilize o controlo Procurar para procurar um nome principal de utilizador (UPN), um nome de administrador atribuído ou um ID de Alerta.

Investigar um caso

Uma investigação mais aprofundada sobre alertas de gestão de riscos internos é fundamental para tomar medidas corretivas adequadas. Os casos de gestão de riscos internos são a ferramenta de gestão central para aprofundar o histórico de atividades de risco do utilizador, os detalhes dos alertas, a sequência de eventos de risco e explorar os conteúdos e mensagens expostos aos riscos. Analistas de risco e investigadores também usam casos para centralizar comentários e notas de revisão e para processar a resolução de casos.

Selecionar um caso abre as ferramentas de gerenciamento de casos e permite que os analistas e analistas procurem os detalhes dos casos.

Visão geral do caso

O separador Descrição geral do caso resume os detalhes do caso para analistas de risco e investigadores. Inclui as seguintes informações na área Acerca deste caso

• ID do Caso: o ID do caso.
• Estado: o estado atual do caso, Ativo ou Fechado.
• Caso criado em: a data e hora em que o caso foi criado.
• Pontuação de risco do utilizador: o nível de risco calculado atual do utilizador para o caso. Esta classificação é calculada a cada 24 horas e utiliza classificações de risco de alerta de todos os alertas ativos associados ao utilizador. Quando o Utilizador é detetado como um potencial utilizador de alto impacto ou o Utilizador é membro de um reforço de risco de grupo de utilizadores prioritário é ativado como impulsionador da classificação de risco na secção Indicadores de política da página de definições de gestão de riscos internos , a página Detalhes do utilizador inclui informações detalhadas sobre o nível de risco calculado do utilizador.
• E-mail: o alias de e-mail do utilizador para o caso.
• Organização ou departamento: a organização ou departamento a que o utilizador está atribuído.
• Nome do gestor: o nome do gestor do utilizador.
• E-mail do gestor: o alias de e-mail do gestor do utilizador.

O separador Descrição geral do caso também inclui uma secção Alertas que inclui as seguintes informações sobre alertas de correspondência de políticas associados ao caso:

• Correspondências de política: o nome da política de gestão de riscos internos associada aos alertas de correspondência para atividade de utilizador potencialmente arriscada que pode levar a um incidente de segurança.
• Estado: Estado do alerta.
• Gravidade: Gravidade do alerta.
• Tempo detetado: o tempo que passou desde que o alerta foi gerado.

Alertas

O separador Alertas resume os alertas atuais incluídos no caso. Podem ser adicionados novos alertas a um caso existente e serão adicionados à fila alerta à medida que forem atribuídos. Os seguintes atributos de alerta estão listados na fila:

• Alerta
• ID do Alerta
• Status
• Severity
• Hora detetada

Selecione um alerta na fila para apresentar a página De detalhes do Alerta .

Utilize o controlo de pesquisa para procurar um ID de Alerta ou para procurar texto específico em nomes de alertas. Utilize o filtro de alerta para ordenar casos pelos seguintes atributos:

• Status
• Severity
• Tempo detectado, data de início e data de término

Utilize o controlo de filtro para filtrar alertas por vários atributos, incluindo:

• Estado: selecione um ou mais valores de estado para filtrar a lista de alertas. As opções são Confirmado, Descartado, Precisa de revisãoe Resolvido.
• Gravidade: selecione um ou mais níveis de gravidade de risco de alerta para filtrar a lista de alertas. As opções são Alta, Médiae Baixa.
• Hora detetada: selecione as datas de início e de fim para quando o alerta foi criado.
• Política: selecione uma ou mais políticas para filtrar os alertas gerados pelas políticas selecionadas.

Atividade do usuário

O separador Atividade do utilizador permite que analistas de risco e investigadores revejam os detalhes da atividade do utilizador e utilizem uma representação visual de todas as atividades potencialmente arriscadas associadas a alertas e casos de risco para determinar se essas atividades de risco podem levar a um incidente de segurança. Por exemplo, como parte do processo de triagem de alertas, os analistas poderão ter de rever todas as atividades de risco associadas ao caso para obter mais detalhes. Nos casos, os investigadores de risco podem rever os detalhes da atividade do utilizador e o gráfico de bolhas para ajudar a compreender o âmbito geral das atividades de risco associadas ao caso. Para obter mais informações sobre o gráfico de atividades do Utilizador, veja o artigo Atividades de gestão de riscos internos .

Explorador de atividades (pré-visualização)

O separador Explorador de atividades permite que analistas de risco e investigadores analisem os detalhes da atividade do caso associados aos alertas de risco. Por exemplo, como parte das ações de gestão de casos, os investigadores e analistas podem ter de rever todas as atividades de risco associadas ao caso para obter mais detalhes. Com o Explorador de atividades, os revisores podem examinar rapidamente uma linha cronológica de atividade potencialmente arriscada detetada e identificar e filtrar todas as atividades de risco associadas aos alertas.

Para obter mais informações sobre o Explorador de atividades, veja o artigo Atividades de gestão de riscos internos .

Provas forenses

O separador Provas forenses permite que os investigadores de risco revejam capturas visuais associadas a atividades de risco incluídas em casos. Por exemplo, como parte das ações de gestão de casos, os investigadores podem ter de ajudar a esclarecer o contexto da atividade do utilizador em análise. Ver os clips reais da atividade pode ajudar o investigador a determinar se a atividade do utilizador é potencialmente arriscada e pode levar a um incidente de segurança.

Para obter mais informações sobre provas forenses, consulte o artigo Saiba mais sobre provas forenses de gestão de riscos internos .

Explorador de conteúdo

O separador Explorador de conteúdos permite que os investigadores de risco revejam cópias de todos os ficheiros individuais e mensagens de e-mail associadas a alertas de risco. Por exemplo, se um alerta for criado quando um utilizador transfere centenas de ficheiros do SharePoint Online e a atividade acionar um alerta de política, todos os ficheiros transferidos para o alerta são capturados e copiados para o caso de gestão de riscos internos a partir de origens de armazenamento originais.

O Explorador de conteúdos é uma ferramenta avançada com funcionalidades básicas e avançadas de pesquisa e filtragem. Para saber mais sobre como utilizar o Explorador de conteúdos, veja Explorador de conteúdos da gestão de riscos internos.

Observações do caso

O separador Notas do caso no caso é onde analistas de risco e investigadores partilham comentários, comentários e informações sobre o seu trabalho para o caso. As notas são adições permanentes a um caso e não podem ser editadas ou eliminadas depois de a nota ser guardada. Quando um caso é criado a partir de um alerta, os comentários inseridos na caixa de diálogo Confirmar alerta e criar casos de risco para um usuário interno são adicionados automaticamente como uma anotação do caso.

O dashboard de notas de caso apresenta as notas do utilizador que criou a nota e o tempo que passou desde que a nota foi guardada. Para procurar uma palavra-chave específica no campo de texto da nota de caso, utilize o botão Procurar no dashboard de casos e introduza uma palavra-chave específica.

Adicionar uma nota de caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um caso e, em seguida, selecione o separador Notas do caso.
5. Selecione Adicionar nota de caso.
6. Na caixa de diálogo Adicionar nota de caso , escreva a nota.
7. Selecione Guardar para adicionar a nota ao caso.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um caso e, em seguida, selecione o separador Notas do caso.
5. Selecione Adicionar nota de caso.
6. Na caixa de diálogo Adicionar nota de caso , escreva a nota.
7. Selecione Guardar para adicionar a nota ao caso.

Colaboradores

Os Colaboradores no caso é onde analistas e analistas de risco podem adicionar outros revisadores ao caso. Por predefinição, todos os utilizadores atribuídos aos Investigadores de Gestão de Riscos Internos e às funções de Gestão de Riscos Internos são listados como contribuidores para cada caso ativo e fechado.

O acesso temporário a um caso pode ser concedido ao adicionar um utilizador como contribuidor, mas com as seguintes restrições:

• Analistas e investigadores podem adicionar contribuidores
• Os analistas não podem ser adicionados como contribuidores
• Os contribuidores não podem adicionar contribuidores

Os contribuidores têm todo o controlo de gestão de casos no caso específico, exceto:

• Permissão para confirmar ou descartar alertas
• Permissão para editar os colaboradores para casos

Adicionar um contribuidor a um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um caso e, em seguida, selecione o separador Contribuidores .
5. Selecione Adicionar contribuidor.
6. Na caixa de diálogo Adicionar contribuidor , comece a escrever o nome do utilizador que pretende adicionar e, em seguida, selecione o utilizador na lista de utilizadores sugeridos. Esta lista é gerada a partir do ID do Microsoft Entra da sua subscrição de inquilino.
7. Selecione Adicionar para adicionar o utilizador como contribuidor.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um caso e, em seguida, selecione o separador Contribuidores .
5. Selecione Adicionar contribuidor.
6. Na caixa de diálogo Adicionar contribuidor , comece a escrever o nome do utilizador que pretende adicionar e, em seguida, selecione o utilizador na lista de utilizadores sugeridos. Esta lista é gerada a partir do ID do Microsoft Entra da sua subscrição de inquilino.
7. Selecione Adicionar para adicionar o utilizador como contribuidor.

Ações de casos

Os investigadores de risco podem tomar medidas sobre um caso num de vários métodos, consoante a gravidade do caso, o histórico de risco do utilizador e as diretrizes de risco da sua organização. Em algumas situações, poderá ter de escalar um caso para um utilizador ou investigação de dados para colaborar com outras áreas da sua organização e aprofundar as atividades de risco. A gestão de riscos internos está totalmente integrada com outras soluções do Microsoft Purview para o ajudar na gestão de resolução ponto a ponto.

Enviar aviso por e-mail

Na maioria dos casos, as ações do utilizador que criam alertas de risco interno são inadvertidas ou acidentais. Enviar um aviso de lembrete ao utilizador por e-mail é um método eficaz para documentar a revisão e ação de casos e é um método para lembrar os utilizadores das políticas empresariais ou apontá-los para a formação de atualização. Os avisos são gerados a partir de modelos de aviso que cria para a sua infraestrutura de gestão de riscos internos.

É importante lembrar que enviar um aviso por e-mail a um utilizador não resolve o caso como Fechado. Em alguns casos, poderá querer deixar um caso aberto depois de enviar um aviso a um utilizador para procurar mais atividades de risco sem abrir um novo caso. Se quiser resolver um caso após enviar um aviso, você deverá selecionar a opção Resolver caso como etapa de acompanhamento após o envio de um aviso.

Enviar um aviso ao utilizador atribuído a um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um caso e, em seguida, selecione o botão Enviar aviso de e-mail na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Enviar aviso de correio eletrónico , selecione o controlo pendente Escolher um modelo de aviso para selecionar o modelo de aviso para o aviso. Esta seleção preenche previamente os outros campos no aviso.
6. Reveja os campos de aviso e atualize conforme adequado. Os valores introduzidos substituirão os valores no modelo.
7. Selecione Enviar para enviar o aviso ao utilizador. Todos os avisos enviados são adicionados à fila de notas de caso no dashboard Notas de caso.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um caso e, em seguida, selecione o botão Enviar aviso de e-mail na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Enviar aviso de correio eletrónico , selecione o controlo pendente Escolher um modelo de aviso para selecionar o modelo de aviso para o aviso. Esta seleção preenche previamente os outros campos no aviso.
6. Reveja os campos de aviso e atualize conforme adequado. Os valores introduzidos substituirão os valores no modelo.
7. Selecione Enviar para enviar o aviso ao utilizador. Todos os avisos enviados são adicionados à fila de notas de caso no dashboard Notas de caso.

Escalonar para investigação

Reencave o caso da investigação do utilizador em situações em que é necessária uma revisão legal adicional para a atividade de risco do utilizador. Este escalamento abre um novo caso de Deteção de Dados Eletrónicos do Microsoft Purview (Premium) na sua organização do Microsoft 365. A Descoberta Eletrônica (Avançada) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, revisar, analisar e exportar um conteúdo que responda às investigações internas e externas de sua organização. Ele também permite que sua equipe jurídica gerencie todo o fluxo de trabalho de notificação de responsabilidade para se comunicar com pessoas envolvidas no caso. Escalar para um caso de Deteção de Dados Eletrónicos (Premium) a partir de um caso de gestão de riscos internos ajuda a sua equipa legal a tomar as medidas adequadas e a gerir a preservação de conteúdos. Para saber mais sobre casos de Deteção de Dados Eletrónicos (Premium), veja Descrição geral da Deteção de Dados Eletrónicos do Microsoft Purview (Premium).

Escalar um caso para uma investigação de utilizador

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um caso e, em seguida, selecione o botão Escalar para investigação na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Escalar para investigação , introduza um nome para a nova investigação do utilizador. Se necessário, introduza notas sobre o caso e, em seguida, selecione Escalar.
6. Reveja os campos de aviso e atualize conforme adequado. Os valores introduzidos substituirão os valores no modelo.
7. Selecione Confirmar para criar o caso de investigação do utilizador.

Depois de o caso de gestão de riscos internos ter sido escalado para um novo caso de investigação de utilizador, pode rever o novo caso na áreaAvançadas da Deteção> de Dados Eletrónicos no portal do Microsoft Purview.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um caso e, em seguida, selecione o botão Escalar para investigação na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Escalar para investigação , introduza um nome para a nova investigação do utilizador. Se necessário, introduza notas sobre o caso e, em seguida, selecione Escalar.
6. Reveja os campos de aviso e atualize conforme adequado. Os valores introduzidos substituirão os valores no modelo.
7. Selecione Confirmar para criar o caso de investigação do utilizador.

Depois de o caso de gestão de riscos internos ter sido escalado para um novo caso de investigação de utilizador, pode rever o novo caso na áreaAvançadas da Deteção> de Dados Eletrónicos no portal de conformidade do Microsoft Purview.

Executar tarefas automatizadas com fluxos do Power Automate para o caso

Com os fluxos recomendados do Power Automate, os investigadores e analistas de risco podem tomar medidas rapidamente para:

• Peça informações de RH ou empresas sobre um utilizador num caso de risco interno.
• Notifique o gestor quando um utilizador tiver um alerta de risco interno.
• Crie um registo para um caso de gestão de riscos internos no ServiceNow.
• Notifique os utilizadores quando forem adicionados a uma política de risco interno.

Para executar, gerir ou criar fluxos do Power Automate para um caso de gestão de riscos internos:

1. Selecione Automatizar na barra de ferramentas de ação do caso.
2. Selecione o fluxo do Power Automate a executar e, em seguida, selecione Executar fluxo.
3. Após a conclusão do fluxo, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para a gestão de riscos internos, veja Introdução às definições de gestão de riscos internos.

Ver ou criar uma equipa do Microsoft Teams para o caso

Quando a integração do Microsoft Teams para a gestão de riscos internos está ativada nas definições, é criada automaticamente uma equipa do Microsoft Teams sempre que um alerta é confirmado e é criado um caso. Os investigadores e analistas de risco podem abrir rapidamente o Microsoft Teams e navegar diretamente para a equipa para obter um caso ao selecionar Ver a equipa do Microsoft Teams na barra de ferramentas de ação do caso.

Para casos abertos antes de ativar a integração do Microsoft Team, os investigadores e analistas de risco podem criar uma nova equipa do Microsoft Teams para um caso ao selecionar Criar equipa do Microsoft Teams na barra de ferramentas de ação do caso.

Quando um caso é resolvido, o Microsoft Team associado será automaticamente arquivado (oculto e transformado em só de leitura).

Para saber mais sobre o Microsoft Teams para gestão de riscos internos, consulte Introdução às definições de gestão de riscos internos.

Resolver o caso

Depois de analistas de risco e investigadores terem concluído a sua revisão e investigação, um caso pode ser resolvido para agir sobre todos os alertas atualmente incluídos no caso. Resolver um caso adiciona uma classificação de resolução, altera o estado do caso para Fechado e os motivos da ação de resolução são automaticamente adicionados à fila de notas de caso no dashboard notas de caso. Os casos são resolvidos como:

• Benigno: a classificação para casos em que os alertas de correspondência de políticas são avaliados como de baixo risco, não grave ou falso positivo.
• Violação de política confirmada: a classificação para casos em que os alertas de correspondência de políticas são avaliados como de risco, grave ou resultado de intenções maliciosas.

Resolver um caso

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione Casos no painel de navegação esquerdo.
4. Selecione um caso e, em seguida, selecione o botão Resolver caso na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Resolver caso , selecione o controlo de lista pendente Resolver como para selecionar a classificação de resolução do caso. As opções são Benigno ou Violação da política confirmada.
6. Na caixa de diálogo Resolver caso , introduza os motivos da classificação de resolução no campo de texto Ação tomada .
7. Selecione Resolver para fechar o caso.

Portal de Conformidade

1. Inicie sessão no portal de conformidade do Microsoft Purview com as credenciais de uma conta de administrador na sua organização do Microsoft 365.
2. Aceda à solução Gestão de Riscos Internos.
3. Selecione o separador Casos .
4. Selecione um caso e, em seguida, selecione o botão Resolver caso na barra de ferramentas de ação do caso.
5. Na caixa de diálogo Resolver caso , selecione o controlo de lista pendente Resolver como para selecionar a classificação de resolução do caso. As opções são Benigno ou Violação da política confirmada.
6. Na caixa de diálogo Resolver caso , introduza os motivos da classificação de resolução no campo de texto Ação tomada .
7. Selecione Resolver para fechar o caso.