Compartir a través de

Límites en la administración de riesgos internos

  • Artículo

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.

La administración de riesgos internos usa los siguientes límites integrados para optimizar la experiencia del usuario.

Límites de elementos

En las tablas siguientes se proporcionan límites por área de producto.

Configuración global

Elemento Límite
Límites de período de devolución (Exchange Online) 10 días
Límites de período de reversión para todas las demás señales 90 días
Número máximo de elementos en cada lista de exclusión global (dominios, sitios de SharePoint, rutas de acceso de archivo, palabras clave y tipos de archivo) 500 para cada lista
Número máximo de elementos de un grupo de detección 200
Número máximo de indicadores personalizados 10
Número máximo de campos por indicador personalizado 20
Número máximo de variantes por indicador 3
Número máximo de usuarios que se pueden agregar a un grupo de usuarios prioritario 10 000

Desencadenadores (por día natural UTC)

Elemento Límite
Cuenta de usuario eliminada de Microsoft Entra ID 15 000
Todas las señales recopiladas a través del conector de RR. HH. 15 000
Indicadores personalizados 15 000
Todos los demás desencadenadores 5K
Volumen máximo de desencadenador para una organización 50 000

Nota:

Las limitaciones son por tipo de desencadenador individual.

Número máximo de usuarios en el ámbito de una plantilla de directiva

Nombre de la plantilla Límite
Robo de datos por parte de los usuarios que abandonan la organización 20 000
Filtración de datos 15 000
Filtraciones de datos por parte de usuarios prioritarios 1K
Pérdidas de datos por parte de usuarios de riesgo 7,5 K
Infracciones de directivas de seguridad (versión preliminar) 1K
Uso indebido de datos del paciente (versión preliminar) 5K
Uso de explorador de riesgo (versión preliminar) 7K
Infracciones de la directiva de seguridad por parte de los usuarios que abandonan la organización (versión preliminar) 15 000
Infracciones de la directiva de seguridad por parte de los usuarios prioritarios (versión preliminar) 1K
Infracciones de directivas de seguridad por parte de usuarios de riesgo (versión preliminar) 7,5 K
Pruebas forenses Ilimitado

Nota:

No hay ningún límite para el número máximo de usuarios que puede agregar a una directiva. El límite es para los usuarios en el ámbito de una plantilla de directiva (los usuarios se incluyen en el ámbito después de un evento desencadenante).

Otros límites de directiva

Elemento Límite
Número máximo de directivas que se pueden crear por tipo de plantilla 20
Número máximo de sitios prioritarios 50
Número máximo de etiquetas de confidencialidad de prioridad 50
Número máximo de tipos de información confidencial de prioridad 50
Número máximo de extensiones de archivo de prioridad 50
Número máximo de clasificadores entrenables de prioridad 5

Protección adaptativa

|Número máximo de usuarios que se pueden limitar a una directiva DLP para cada nivel de riesgo|10 000|

Puntuación manual del usuario

Elemento Límite
Número máximo de usuarios que se pueden puntuar manualmente 4K

Casos

Elemento Límite
Número máximo de casos activos 100

Exportador

Elemento Límite
Número máximo de usuarios que se pueden exportar desde la página Usuarios 1000
Número máximo de alertas que se pueden exportar desde la página Alertas 1000
Número máximo de registros que se pueden exportar a un archivo CSV desde el Explorador de actividad 100 000

Límites de retención para alertas, casos y artefactos asociados

A medida que la administración de riesgos internos alerta de la antigüedad, su valor para minimizar la actividad potencialmente riesgosa disminuye para la mayoría de las organizaciones. Por el contrario, los casos activos y los artefactos asociados (alertas, información, actividades) siempre son útiles para las organizaciones y no deben tener una fecha de expiración automática. Esto incluye todas las alertas y artefactos futuros en un estado activo para cualquier usuario asociado a un caso activo.

Para ayudar a minimizar el número de elementos anteriores que proporcionan un valor actual limitado, se aplican los siguientes límites de retención para alertas, casos e informes de usuario de administración de riesgos internos:

Elemento Período de retención
Alertas con estado de revisión de necesidades 120 días desde la creación de alertas y, a continuación, se elimina automáticamente
Casos activos (y artefactos asociados) Retención indefinida, nunca expirar
Casos resueltos (y artefactos asociados) 120 días a partir de la resolución de casos y, a continuación, se elimina automáticamente
Informes de actividades de usuario 120 días desde la creación del informe y, a continuación, se elimina automáticamente

Conectores

Elemento Límite
Número máximo de registros en el archivo JSON que puede procesar la API 50 000