Más información sobre las pruebas forenses de administración de riesgos internos
Importante
La evidencia forense es una característica de complemento de participación en Insider Risk Management que proporciona a los equipos de seguridad información visual sobre posibles incidentes de seguridad de datos internos, con la privacidad del usuario integrada. La evidencia forense incluye desencadenadores de eventos personalizables y controles integrados de protección de la privacidad de los usuarios, lo que permite a los equipos de seguridad investigar, comprender y responder mejor a posibles riesgos de datos internos, como la filtración de datos no autorizados de datos confidenciales.
Las organizaciones establecen las directivas adecuadas para sí mismas, incluidos los eventos de riesgo que son la prioridad más alta para capturar pruebas forenses y qué datos son más confidenciales. La evidencia forense está desactivada de forma predeterminada, la creación de directivas requiere una autorización doble y los nombres de usuario se pueden enmascarar con seudónimo (que está activado de forma predeterminada para Insider Risk Management). La configuración de directivas y la revisión de alertas de seguridad dentro de Insider Risk Management aprovecha los sólidos controles de acceso basado en rol (RBAC), lo que garantiza que los usuarios designados de la organización están realizando las acciones adecuadas con funcionalidades de auditoría adicionales.
Importante
La Administración de riesgos internos de Microsoft Purview pone en correlación varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Tener contexto visual es fundamental para que los equipos de seguridad durante las investigaciones forenses obtengan mejor información sobre las actividades de usuario potencialmente relacionadas con la seguridad. Con desencadenadores de eventos personalizables y controles integrados de protección de la privacidad del usuario, la evidencia forense permite capturar actividades visuales personalizables en todos los dispositivos para ayudar a su organización a mitigar, comprender y responder mejor a posibles riesgos de datos, como la filtración de datos no autorizados de datos confidenciales. Establezca las directivas adecuadas para su organización, incluidos los eventos de riesgo que son la prioridad más alta para capturar pruebas forenses, qué datos son más confidenciales y si se notifica a los usuarios cuando se activa la captura forense. La captura de pruebas forenses está desactivada de forma predeterminada y la creación de directivas requiere una autorización doble.
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Funcionalidades de características
- La captura visual permite a las organizaciones capturar clips de actividades de usuario clave relacionadas con la seguridad, lo que permite una visibilidad más segura o compatible y satisface las necesidades de la organización.
- Incluya o excluya aplicaciones de escritorio o sitios web para configurar una directiva de grabación que se centre en las aplicaciones y sitios web que presentan más riesgo. Esto conserva el espacio de almacenamiento y la privacidad del usuario. Por ejemplo, excluya el correo electrónico personal y las cuentas de redes sociales.
- La protección contra suplantación de identidad mejorada (versión preliminar) permite a las organizaciones capturar clips relacionados con la protección mejorada contra suplantación de identidad (phishing) en Microsoft Defender SmartScreen. Por ejemplo, puede capturar cuando un usuario escribe la contraseña de Microsoft que usó para iniciar sesión en su dispositivo Windows 11 en un sitio de suplantación de identidad (phishing) o una aplicación que se conecta a un sitio de suplantación de identidad (phishing). Más información sobre la protección contra suplantación de identidad mejorada en Microsoft Defender SmartScreen
- Protección de la privacidad del usuario a través de varios niveles de aprobación para la activación de la característica de captura.
- Los desencadenadores personalizables y las opciones de captura significan que los equipos de seguridad pueden configurar pruebas forenses para satisfacer sus necesidades, ya sea en función de incidentes (por ejemplo, capture 5 minutos antes y 10 minutos después de que un usuario haya descargado "SecretResearchPlans.docx") o en función de las necesidades de captura continua.
- La segmentación de directivas centrada en el usuario significa que los equipos de seguridad y cumplimiento pueden centrarse en la actividad del usuario, no en el dispositivo, para obtener una mejor información contextual.
- Los fuertes controles de acceso basado en roles (RBAC) significan que la capacidad de configurar y revisar clips forenses está estrechamente controlada y solo está disponible para los usuarios de la organización con los permisos adecuados.
- Integración profunda con las características actuales de administración de riesgos internos, lo que facilita la incorporación y los flujos de trabajo más familiares para los administradores de administración de riesgos internos y un enfoque de una sola plataforma de confianza.
- Capacidad de prueba (hasta 20 GB) para clips capturados, con acceso rápido al uso de la capacidad y la capacidad de adquirir capacidad adicional.
Requisitos de dispositivo y configuración
En las tablas siguientes se incluyen los requisitos mínimos admitidos para usar pruebas forenses de administración de riesgos internos.
Plataformas compatibles
Sistema operativo | SKU | Procesador |
---|---|---|
Windows 10 (incluidos los Windows 365) | Enterprise | 64 bits (Intel o AMD) |
Windows 11 (incluidos los Windows 365) | Enterprise | 64 bits (Intel o AMD) |
Dispositivos físicos
Hardware | Requisito mínimo |
---|---|
RAM | Mínimo de 8 GB (al menos 2 GB deben estar disponibles para el uso del cliente |
Procesador de CPU | Intel i5 o superior y AMD Ryzen 5 o superior |
Tarjeta gráfica | Compatible con DirectX 11 o posterior, con un controlador WDDM 1.0 o posterior (actualmente solo se admiten tarjetas gráficas integradas) |
Espacio en disco | Mínimo de 10 GB de almacenamiento en disco |
Visualización | Resolución mínima de pantalla de 1920 x 1080 |
Hyper-V y máquinas virtuales
Hardware | Requisito mínimo |
---|---|
RAM | Mínimo de 16 GB (al menos 2 GB deben estar disponibles para el uso del cliente) |
Procesador de CPU | Mínimo de ocho procesadores vCPU o equivalentes |
Espacio en disco | Mínimo de 10 GB de almacenamiento en disco |
Visualización | Resolución mínima de pantalla de 1920 x 1080 |
Importante
Si no se cumplen los requisitos mínimos, es probable que los usuarios se encuentren con problemas de cliente de Microsoft Purview y que la calidad de las capturas forenses no sea confiable.
Opciones de captura
Desencadenar eventos, indicadores globales e indicadores de políticas desempeña un papel importante en todas las directivas de administración de riesgos internos, incluidas las políticas de pruebas forenses. Los eventos desencadenantes son acciones de usuario que determinan si los usuarios entran en el ámbito de la evaluación en las directivas de administración de riesgos internos. Los indicadores de configuración global se usan para determinar qué actividades recopila la administración de riesgos internos. Los indicadores de directiva se usan para determinar una puntuación de riesgo para un usuario dentro del ámbito.
Dependiendo de cómo su organización decida configurar pruebas forenses, hay dos opciones de captura:
- Actividades específicas: esta opción de directiva captura la actividad solo cuando un evento desencadenante ha puesto a un usuario aprobado en el ámbito de la directiva de pruebas forenses y cuando se detectan las condiciones de un indicador de directiva para el usuario. Por ejemplo, un usuario aprobado para la captura de pruebas forenses se incluye en el ámbito de la directiva de pruebas forenses y el usuario copia los datos en servicios de almacenamiento en la nube personales o dispositivos de almacenamiento portátiles. La captura se limita solo al período de tiempo configurado cuando el usuario copia los datos en el servicio de almacenamiento en la nube personal o en el dispositivo de almacenamiento portátil. Las capturas de esta opción estarán disponibles para su revisión en la pestaña Pruebas forenses del panel Alertas .
- Todas las actividades: esta opción de directiva captura cualquier actividad realizada por los usuarios. Por ejemplo, la organización tiene una necesidad de capturar actividades para un usuario aprobado que participa activamente en actividades potencialmente de riesgo que pueden provocar un incidente de seguridad. Es posible que los indicadores de directiva no hayan alcanzado el umbral para que la directiva genere una alerta y es posible que la actividad potencialmente de riesgo no esté documentada. La ayuda de captura continua evita que la actividad potencialmente arriesgada se pierda o no se detecte. Las capturas de esta opción estarán disponibles para su revisión en la pestaña Pruebas forenses del panel Informes de actividad de usuario (versión preliminar).
Importante
Los clips de pruebas forenses se eliminan 120 días después de su captura o al final del período de vista previa, lo que sea antes. Puede descargar o transferir clips de evidencia forense antes de que se eliminen.
Flujo de trabajo
El flujo de trabajo general para detectar, investigar y corregir alertas que contienen captura de clip sigue los mismos pasos básicos que otras directivas de administración de riesgos internos. Sin embargo, hay algunas diferencias notables para la evidencia forense cuando se configura en la organización:
- Los usuarios sujetos a captura deben tener solicitudes y aprobaciones de captura explícitas: se trata de un proceso adicional que no se incluye como parte de la configuración de otras directivas de administración de riesgos internos. Los usuarios asignados a los grupos de roles Insider Risk Management o Insider Risk Management deben enviar una solicitud a los usuarios asignados al grupo de roles Aprobadores de Insider Risk Management antes de que cualquier usuario de su organización sea apto para cualquier opción de captura de clips. Por ejemplo, este requisito ayuda a admitir escenarios organizativos en los que los administradores de administración de riesgos internos deben obtener la aprobación explícita del personal legal o de recursos humanos designado antes de habilitar la captura para cualquier usuario.
- Los dispositivos deben incorporarse y tener instalado el cliente de Microsoft Purview: para que las pruebas forenses puedan recopilar y almacenar clips capturados para los usuarios aptos, sus dispositivos deben incorporarse al portal de cumplimiento Microsoft Purview. Además, cada dispositivo debe tener instalado el cliente de Microsoft Purview. Estos requisitos previos permiten la compatibilidad con la captura de dispositivos en línea y sin conexión.
¿Está listo para empezar?
- Consulte Introducción a las pruebas forenses de administración de riesgos internos para obtener instrucciones paso a paso para configurar la captura de pruebas forenses en su organización.
- Consulte Introducción a la administración de riesgos internos para configurar requisitos previos, crear directivas y empezar a recibir alertas.