Compartir a través de

Uso de informes en la administración de riesgos internos

  • Artículo

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.

Use informes en Administración de riesgos internos de Microsoft Purview para comprender el panorama del programa de riesgo interno. Los informes proporcionan información detallada y de resumen para todas las áreas relacionadas con el riesgo interno, incluidas las alertas, los casos, la actividad del usuario y el análisis generados a partir de actividades de riesgo aptas en los servicios de Microsoft para ayudar a identificar información sobre posibles áreas de riesgo.

Para obtener los informes siguientes, vaya a Insider Risk ManagementReports (Informes de administración de > riesgos internos) en el portal de Microsoft Purview:

  • Alertas (versión preliminar): vea las tendencias de las alertas generadas , las acciones que se realizan en las alertas a lo largo del tiempo y las alertas por directiva.
  • Análisis: vea un resumen de las actividades de usuario anonimizadas detectadas en su organización.
  • Casos (versión preliminar): vea las tendencias de los casos creados, las acciones realizadas en los casos a lo largo del tiempo y el estado de los casos por directiva y región.
  • Actividad de usuario: revise la actividad de usuario reciente, independientemente de si el usuario está incluido en una directiva o alerta.

Trabajar con informes

Para empezar a trabajar y ver los informes de Insider Risk Management, debe ser miembro del rol o grupo de roles aplicable. Los requisitos de permisos son diferentes para ver los informes de alertas y casos y los permisos necesarios para ver los informes de análisis. Si su organización usa unidades administrativas, el acceso puede variar para estos informes. Para más información, vea:

Personalizar gráficos

Para cada área de informe, los controles de filtro de informe predefinidos y un selector de fechas están disponibles para ayudarle a limitar rápidamente la información a criterios específicos o intervalos de fechas. Seleccione un filtro en la parte superior de la página para cada área para limitar rápidamente todos los informes del área a una configuración de filtro. Para las fechas de informes, seleccione un mes específico o seleccione Últimos 3 meses para ver todos los datos del área de informe.

También puede elegir y elegir qué informes se van a mostrar de forma predeterminada en cada área de informe. Para personalizar los informes que se muestran en cada área, seleccione Personalizar vista. En el panel flotante Personalizar vista , puede elegir qué informes se van a mostrar y qué informes se ocultarán en cada área.

Detalles del gráfico

Para profundizar en los resultados contenidos en un informe, seleccione Ver detalles del informe. En la vista de detalles, puede limitar la información mediante filtros y cambiar la vista por fechas o directivas. Para exportar los datos contenidos en un informe, seleccione Exportar para descargar una imagen del gráfico de informes o un archivo .csv con los valores del informe.

Informes de alertas (versión preliminar)

La investigación de actividades de usuario potencialmente arriesgadas es un primer paso importante para minimizar los riesgos internos para su organización. Estos riesgos pueden ser actividades que generan alertas a partir de directivas de administración de riesgos internos. Los informes de alertas proporcionan información sobre los volúmenes de alertas, el progreso de la administración de alertas, los orígenes de alertas comunes y el tiempo dedicado a la triaging. Puede filtrar rápidamente todos los informes de alertas por Todas las alertas, Alertas confirmadas y Alertas descartadas.

Tipo de informe Informe Descripción
Resumen Alertas generadas Muestra el número de alertas de gravedad baja, media y alta generadas durante el intervalo de fechas especificado.
Alertas activadas Muestra el número de alertas confirmadas en un caso o descartadas durante el intervalo de fechas especificado.
Motivos de despido Muestra...
Demografía Principales países o regiones con alertas Muestra el número de alertas generadas para los usuarios en función del país o región en los que se encuentra. No especificado significa que su país o región no se especifica en Microsoft Entra ID.
Alertas generadas por el departamento Muestra el número de alertas generadas para los usuarios en función del departamento en el que se encuentra. No especificado significa que su departamento no se especifica en Microsoft Entra ID.
Información Alertas por evento de desencadenamiento superior Muestra el número de alertas basadas en los principales eventos desencadenantes detectados durante el intervalo de fechas especificado.
Alertas por actividad superior que generó la alerta Muestra el número de alertas basadas en las actividades principales detectadas durante el intervalo de fechas especificado.
Productividad Estado de alerta por asignación Muestra el número de alertas asignadas a administradores específicos, desglosadas por estado de alerta.
Las alertas de días promedio están en Revisión de necesidades Muestra el promedio de días que las alertas permanecieron en un estado De necesidad de revisión durante el intervalo de fechas especificado.

Informes de análisis

Una vez completado el primer examen de análisis de su organización, los miembros del grupo de roles Administradores de Insider Risk Management recibirán automáticamente una notificación por correo electrónico y podrán ver las conclusiones iniciales y las recomendaciones para actividades potencialmente de riesgo por parte de los usuarios. Los exámenes diarios continúan a menos que desactive el análisis de su organización. Email se proporcionan notificaciones a los administradores para cada una de las tres categorías de ámbito para el análisis (fugas de datos, robo y filtración) después de la primera instancia de actividad potencialmente arriesgada en su organización. Email notificaciones no se envían a los administradores para la detección de actividad de administración de riesgos de seguimiento resultante de los exámenes diarios.

Nota:

Si la configuración de Analytics está deshabilitada y, a continuación, se vuelve a habilitar, se restablecen las notificaciones automáticas por correo electrónico y se envían notificaciones por correo electrónico a los miembros del grupo de roles Administradores de Administración de riesgos internos para obtener información de examen nueva.

Para ver posibles riesgos para su organización, vaya a Análisis deinformes> de Insider Risk Management>.

Nota:

Si el examen de su organización no está completo, verá un mensaje que indica que el examen sigue activo.

En el caso de los análisis completados, verá los posibles riesgos detectados en su organización y las conclusiones y recomendaciones para abordar estos riesgos. Los riesgos identificados y la información específica se incluyen en los informes agrupados por área, el número total de usuarios (todos los tipos de cuentas de Microsoft Entra, incluidos usuarios, invitados, sistemas, etc.) con riesgos identificados, el porcentaje de estos usuarios con actividades potencialmente arriesgadas y una directiva de riesgo interno recomendada para ayudar a mitigar estos riesgos. Los informes incluyen:

  • Información sobre fugas de datos: para todos los usuarios que pueden incluir el uso compartido accidental de información fuera de su organización o las pérdidas de datos por parte de usuarios con intención malintencionada.
  • Información sobre el robo de datos: para usuarios que abandonan o usuarios con cuentas de Microsoft Entra eliminadas que pueden incluir el uso compartido de información fuera de su organización o el robo de datos por parte de usuarios con intención malintencionada.
  • Información de filtración superior: para todos los usuarios que pueden incluir el uso compartido de datos fuera de su organización.

Informe de información general de análisis de administración de riesgos internos.

Para mostrar más información sobre una información, seleccione Ver detalles para mostrar el panel de detalles de la información. El panel de detalles incluye los resultados completos de la información, una recomendación de directiva de riesgo interno y Crear directiva para ayudarle a crear rápidamente la directiva recomendada. Al seleccionar Crear directiva , se le lleva al flujo de trabajo de directiva y se selecciona automáticamente la plantilla de directiva recomendada relacionada con la información. Por ejemplo, si la información de análisis es para la actividad de robo de datos , la plantilla de directiva de robo de datos se selecciona previamente en el flujo de trabajo de directivas automáticamente.

Informe de detalles de análisis de administración de riesgos internos.

Informes de casos (versión preliminar)

Los casos le permiten investigar y actuar en profundidad sobre los problemas generados por los indicadores de riesgo definidos en sus directivas. Los casos se crean manualmente a partir de alertas en situaciones en las que se necesita más acción para solucionar un problema relacionado con el cumplimiento para un usuario. Los informes de casos proporcionan información de tendencia para los casos que le ayudarán a realizar un seguimiento del tipo de casos, el estado actual de los casos, los casos por región o asignación, etc. Puede filtrar rápidamente todos los informes de casos por Todos los casos, Casos confirmados y Casos benignos.

Tipo de informe Informe Descripción
Resumen Casos creados Muestra el número de casos generados durante el intervalo de fechas especificado.
Casos con acción Muestra el número de casos con actividad durante el intervalo de fechas especificado.
Demografía Principales países o regiones con casos Muestra el número de casos generados para los usuarios en función del país o región en los que se encuentra. No especificado significa que su país o región no se especifica en Microsoft Entra ID.
Principales departamentos con casos Muestra el número de casos generados para los usuarios en función del departamento en el que se encuentra. No especificado significa que su país o región no se especifica en Microsoft Entra ID.
Productividad Estado del caso por asignación Muestra el número de casos asignados a administradores específicos, desglosados por estado de alerta.
Promedio de días con estado activo Muestra el promedio de días que los casos permanecieron en estado Activo durante el intervalo de fechas especificado.

Informes de actividad de usuario

Los informes de actividad de usuario permiten examinar actividades potencialmente de riesgo (para usuarios específicos y durante un período de tiempo definido) sin tener que asignar estas actividades, de forma temporal o explícita, a una directiva de administración de riesgos internos. En la mayoría de los escenarios de administración de riesgos internos, los usuarios se definen explícitamente en las directivas y pueden tener alertas de directiva (en función de los eventos desencadenantes) y puntuaciones de riesgo asociadas a las actividades. Pero en algunos escenarios, es posible que desee examinar las actividades de los usuarios que no se definen explícitamente en una directiva. Estas actividades pueden ser para los usuarios a los que ha recibido una sugerencia sobre el usuario y las actividades potencialmente de riesgo, o para los usuarios que normalmente no necesitan asignarse a una directiva de administración de riesgos internos.

Después de configurar los indicadores en la página Configuración de administración de riesgos internos, se detecta la actividad del usuario para la actividad potencialmente arriesgada asociada a los indicadores seleccionados. Esta configuración significa que toda la actividad detectada para los usuarios está disponible para su revisión, independientemente de si tiene un evento desencadenante o si crea una alerta. Los informes se crean por usuario y pueden incluir todas las actividades durante un período personalizado de 90 días. No se admiten varios informes para el mismo usuario.

Después de examinar actividades potencialmente peligrosas, los investigadores pueden descartar las actividades de un usuario individual como benignas. También pueden compartir o enviar por correo electrónico un vínculo al informe con otros investigadores, o bien optar por asignar usuarios (de forma temporal o explícita) a una directiva de administración de riesgos internos. Los usuarios deben estar asignados al grupo de roles Investigadores de Administración de riesgos internos para ver la página Informes de actividad de usuario .

Información general sobre la actividad del usuario de administración de riesgos internos.

Creación de un informe de actividad de usuario

Para crear un informe de actividad de usuario, complete los pasos siguientes:

  1. Vaya a Insider Risk ManagementReportsUser activity (Actividad de usuario deInsiderRisk Management > Reports>).
  2. Seleccione Crear informe de actividad de usuario.
  3. Seleccione una fecha para la fecha de inicio.
  4. Seleccione una fecha para la fecha de finalización.
  5. En el campo Usuarios , busque uno o varios usuarios por nombre o nombre principal de usuario.
  6. Seleccione Crear informe.

Los datos de actividad del usuario están disponibles para informar aproximadamente 48 horas después de que se produjo la actividad. Por ejemplo, para revisar los datos de actividad del usuario del 1 de diciembre, deberá asegurarse de que hayan transcurrido al menos 48 horas antes de crear el informe (crearía un informe el 3 de diciembre lo antes posible).

Los informes nuevos suelen tardar hasta 10 horas en estar listos para su revisión. Cuando el informe está listo, el informe listo aparece en la columna Estado de la página Informe de actividad del usuario

Visualización de un informe de actividad de usuario

Seleccione el usuario para ver el informe detallado:

Informe de actividad del usuario de administración de riesgos internos

El informe de actividad de usuario del usuario seleccionado contiene las pestañas Actividad de usuario, Explorador de actividad y Pruebas forenses :

  • Actividad del usuario: use esta vista de gráfico para investigar actividades potencialmente de riesgo y ver las actividades potencialmente relacionadas que se producen en secuencias. Esta pestaña está estructurada para permitir la revisión rápida de un caso, incluida una escala de tiempo histórica de todas las actividades, los detalles de la actividad, la puntuación de riesgo actual del usuario en el caso, la secuencia de eventos de riesgo y los controles de filtrado para ayudar con los esfuerzos de investigación. Para obtener más información, consulte Actividad de usuario.
  • Explorador de actividades: esta pestaña proporciona a los investigadores de riesgos una herramienta de análisis completa que proporciona información detallada sobre las actividades. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de la actividad de riesgo detectada e identificar y filtrar todas las actividades potencialmente de riesgo asociadas a alertas. Para obtener más información, consulte Explorador de actividades.
  • Evidencia forense: esta pestaña permite a los investigadores de riesgo revisar las capturas visuales asociadas a actividades de riesgo incluidas en casos de detección de evidencia forense.