Administración del flujo de trabajo con el panel de usuarios de administración de riesgos internos
Importante
La Administración de riesgos internos de Microsoft Purview pone en correlación varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
El panel Usuarios es una herramienta importante en el flujo de trabajo de administración de riesgos internos y ayuda a los investigadores y analistas a comprender mejor las actividades de riesgo. Este panel ofrece vistas y características de administración para satisfacer las necesidades administrativas entre la creación de directivas de administración de riesgos internos y la administración de casos de administración de riesgos internos.
Una vez que los usuarios se agregan a las directivas de administración de riesgos internos, los procesos en segundo plano evalúan automáticamente las actividades del usuario para desencadenar indicadores. Una vez que los indicadores desencadenantes están presentes, a las actividades del usuario se les asignan puntuaciones de riesgo. Algunas de estas actividades pueden dar lugar a una alerta de riesgo interno, pero es posible que algunas actividades no cumplan un nivel mínimo de puntuación de riesgo y no se cree una alerta de riesgo interno. El panel Usuarios le permite ver los usuarios con estos tipos de indicadores y puntuaciones de riesgo, así como los usuarios que tienen alertas de riesgo internos activas.
Obtenga más información sobre cómo el panel Usuarios muestra a los usuarios en los siguientes escenarios:
- Usuarios con alertas de directivas de riesgo internas activas
- Usuarios con eventos desencadenantes
- Usuarios identificados como posibles usuarios de alto impacto o en grupos de usuarios prioritarios
- Usuarios agregados temporalmente a las directivas
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Usuarios con alertas de directivas de riesgo internas activas
El panel Usuarios muestra automáticamente todos los usuarios con alertas de directivas de riesgo internas activas. Estos usuarios con alertas tienen un indicador desencadenante y una puntuación de riesgo de actividad que cumple los requisitos para crear una alerta de riesgo interno. Para ver las actividades de estos usuarios, seleccione el usuario en el panel Usuarios y vaya a la pestaña Actividad de usuario .
Usuarios con eventos desencadenantes
El panel Usuarios muestra automáticamente todos los usuarios con eventos desencadenantes, pero que no tienen una puntuación de riesgo de actividad que crearía una alerta de riesgo interno. Por ejemplo, se muestra un usuario con una fecha de renuncia notificada porque esta actividad es un evento desencadenante, pero no es una actividad que tiene una puntuación de riesgo. Para ver las actividades de estos usuarios, seleccione el usuario en el panel Usuarios y vaya a la pestaña Actividad de usuario .
Usuarios agregados temporalmente a las directivas
El panel Usuarios incluye usuarios agregados a directivas de administración de riesgos internos después de un evento inusual fuera del flujo de trabajo de administración de riesgos internos. Agregar usuarios temporalmente (desde el panel Directivas) también es una manera de empezar a puntuar la actividad de usuario para una directiva de administración de riesgos internos para probar la directiva, incluso si no se configura un conector necesario.
Cuando un usuario se agrega manualmente a una directiva, las actividades de usuario de los 90 días anteriores se puntúan y se agregan a la escala de tiempo de actividad de usuario . Por ejemplo, tiene un usuario que no tiene actualmente puntuaciones de riesgo asignadas para una directiva de riesgo interno y el usuario tiene actividades de pérdida de datos notificadas al departamento legal de su organización. El departamento legal recomienda configurar nuevos requisitos de detección a corto plazo para el usuario. Puede asignar temporalmente el usuario a la directiva de pérdidas de datos durante un período de tiempo designado (ventana de activación). Todos los usuarios agregados temporalmente se muestran en el panel Usuarios porque se renuncia a los requisitos de eventos desencadenantes.
Nota:
Los nuevos usuarios agregados manualmente pueden tardar varias horas en aparecer en el panel Usuarios. Las actividades de los 90 días anteriores de estos usuarios pueden tardar hasta 24 horas en aparecer. Para ver las actividades de los usuarios agregados manualmente, seleccione el usuario en el panel Usuarios y abra la pestaña Actividad de usuario en el panel de detalles.
El usuario se quita automáticamente del panel Usuarios y la puntuación se detiene cuando la hora definida en la ventana Activación expira si:
- el usuario no tiene ningún evento desencadenante adicional ni alertas de directivas de riesgo internos, y
- si la duración de la ventana de activación definida manualmente es mayor que la duración de la ventana de activación de la directiva global.
La configuración de la ventana Activación con la duración más larga siempre invalida la configuración de la ventana Activación con una duración más corta. Por ejemplo, ha configurado la ventana Activación en la pestaña Períodos de tiempo de directiva globales en la configuración global de administración de riesgos internos durante 15 días, que se aplica automáticamente a todas las directivas de riesgo internos.
Agregue temporalmente un usuario a la directiva de riesgo de pérdidas de datos internas y defina 30 días como la ventana Activación para este usuario. La configuración global de la ventana Activación de 15 días se invalida al definir la configuración de ventana Activación de 30 días para el usuario agregado temporalmente. El usuario agregado temporalmente permanecerá en el panel Usuarios y estará en el ámbito de la directiva durante 30 días.
En el escenario opuesto en el que la configuración de la ventana de activación global es más larga que la configuración de la ventana Activación definida para un usuario agregado temporalmente, la configuración de la ventana de activación global invalidaría la configuración de la ventana Activación para el usuario agregado temporalmente. El usuario agregado temporalmente permanecerá en el panel Usuarios y estará en el ámbito de la directiva durante el número de días definido en la configuración de la ventana de activación global.
Visualización de la información del usuario en el panel Usuarios
Cada usuario que se muestra en el panel Usuarios tiene la siguiente información:
- Usuarios: nombre de usuario de un usuario. Este campo se anonimiza si la configuración de anonimización global para la administración de riesgos internos está habilitada.
- Nivel de gravedad de alerta: nivel de riesgo calculado actual del usuario. Esta puntuación se calcula cada 24 horas y usa las puntuaciones de riesgo de alerta de todas las alertas activas asociadas al usuario. Para los usuarios que solo tienen indicadores desencadenantes, el nivel de gravedad de la alerta es cero.
- Alertas activas: número de alertas activas para todas las directivas.
- Infracciones confirmadas: número de casos resueltos como infracción de directiva confirmada para el usuario.
- Caso: caso activo actual del usuario.
Para localizar rápidamente un usuario específico, use Buscar en la parte superior derecha del panel Usuarios. Al buscar usuarios, debe usar el nombre principal de usuario (UPN). Por ejemplo, al buscar un usuario llamado "Tiara Hidayah" que tenga un UPN de "thidayah" en su organización, escribiría "thidayah" o alguna parte del UPN en La búsqueda.
Nota:
El número de usuarios que se muestra en el panel Usuarios puede estar limitado en algunos casos, en función del volumen de alertas activas y las directivas de coincidencia. Los usuarios con alertas activas se muestran en el panel Usuarios a medida que se generan las alertas y puede haber casos poco frecuentes cuando se alcanza el número máximo de usuarios mostrados. Si se produce este límite, los usuarios con alertas activas que no se muestran se agregan al panel Usuarios a medida que se evalúan las alertas de usuario existentes.
Ver los detalles del usuario
Para ver más detalles sobre la actividad de riesgo de un usuario, abra el panel de detalles del usuario haciendo doble clic en un usuario en el panel Usuarios. En el panel de detalles, puede ver la siguiente información:
Pestaña Perfil de usuario
- Nombre y título: nombre y título de posición para el usuario de Microsoft Entra ID. Estos campos de usuario se anonimizan o están vacíos si la configuración de anonimización global para la administración de riesgos internos está habilitada.
- Detalles del usuario: Listas si el usuario se ha identificado como un posible usuario de alto impacto o si el usuario está en grupos de usuarios prioritarios.
- Resumen de alertas y actividades: Listas alertas de usuario activas y casos abiertos.
- Correo electrónico del usuario: Email dirección del usuario.
- Alias: alias de red para el usuario.
- Organización o departamento: organización o departamento para el usuario.
- En el ámbito: Listas asignación en el ámbito del usuario a las directivas.
Pestaña Actividad de usuario
- Historial de actividad reciente del usuario: Listas indicadores desencadenantes e indicadores de riesgo interno para las actividades de riesgo hasta los últimos 90 días. Todas las actividades de riesgo pertinentes para los indicadores de riesgo internos también se puntúan, aunque las actividades pueden haber generado o no una alerta de riesgo interno. Los ejemplos de indicadores desencadenantes pueden ser una fecha de renuncia o la última fecha programada de trabajo para el usuario. Los indicadores de riesgo internos son actividades que se determinan para tener un elemento de riesgo, que puede dar lugar a un incidente de seguridad, y se definen en las directivas en las que se incluye el usuario. Las actividades de evento y riesgo se enumeran en primer lugar con el elemento más reciente.
Uso de Copilot para resumir las actividades del usuario (versión preliminar)
Puede seleccionar Resumir con Copilot en el panel de detalles del usuario para resumir rápidamente las actividades de los usuarios que pueden necesitar más investigación. Al resumir las actividades de riesgo del usuario con Microsoft Copilot en Microsoft Purview, aparece un panel de Copilot en el lado derecho de la pantalla con un resumen de usuario.
El resumen de usuario incluye detalles esenciales, como el nombre del usuario, el título, el nombre principal del usuario, el historial de alertas y casos y los principales factores de riesgo. Los principales factores de riesgo proporcionan información crucial sobre los roles de usuario, los permisos, la participación en actividades de filtración, los patrones secuenciales o cualquier comportamiento inusual. Esta vista ayuda a identificar a los usuarios que pueden suponer el mayor riesgo interno para su organización.
Las solicitudes sugeridas se enumeran automáticamente para ayudar a refinar aún más el resumen y para ayudar a proporcionar información adicional sobre las actividades asociadas con el usuario. Elija entre los siguientes avisos sugeridos:
- Enumere todas las actividades de filtración de datos que implican a este usuario.
- Enumere todas las actividades secuenciales que implican a este usuario.
- ¿El usuario ha incurrido en algún comportamiento inusual?
- Mostrar las acciones clave realizadas por el usuario en los últimos 10 días.
- Resuma los últimos 30 días de actividad del usuario.
Sugerencia
También puede usar la versión independiente de Microsoft Security Copilot para investigar la administración de riesgos internos, la prevención de pérdida de datos (DLP) de Microsoft Purview y las alertas de Microsoft Defender XDR.
Eliminación de usuarios de la asignación en el ámbito a las directivas
Puede haber escenarios en los que tenga que dejar de asignar puntuaciones de riesgo a un usuario en directivas de administración de riesgos internos. Use Detener actividad de puntuación para los usuarios en el panel Usuarios para dejar de asignar puntuaciones de riesgo a un usuario de todas las directivas de administración de riesgos internos para las que están actualmente en el ámbito. Esta acción no quita al usuario de la asignación de directiva general (al agregar usuarios o grupos a una configuración de directiva), sino que simplemente quita al usuario del procesamiento activo por directivas después de los eventos desencadenantes actuales. Si el usuario tiene otro evento desencadenante en el futuro, las puntuaciones de riesgo de las directivas comenzarán a asignarse automáticamente al usuario de nuevo. No se quitarán las alertas o casos existentes para este usuario.
Eliminación de un usuario del estado dentro del ámbito en todas las directivas de administración de riesgos internos
Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.
Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
- Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.
- Vaya a la solución de Administración de riesgos internos.
- Seleccione Usuarios en el panel de navegación izquierdo.
- En el panel Usuarios, seleccione los usuarios para los que desea detener la actividad de puntuación.
- Seleccione Detener actividad de puntuación para los usuarios.
Nota:
La eliminación de un usuario del estado en el ámbito puede tardar varios minutos. Una vez completado, el usuario no aparecerá en el panel Usuarios. Si el usuario quitado tiene alertas o casos activos, el usuario permanecerá en el panel Usuarios y los detalles del usuario mostrarán que ya no están en el ámbito de una directiva.
Ejecución de tareas automatizadas con flujos de Power Automate para un usuario
Con los flujos recomendados de Power Automate, los investigadores y analistas de riesgos pueden tomar medidas rápidamente para notificar a los usuarios cuando se agregan a una directiva de riesgo interno.
Para ejecutar, administrar y crear flujos de Power Automate para usuarios de administración de riesgos internos:
- Seleccione Automatizar en la barra de herramientas de acciones del usuario.
- Elija el flujo de Power Automate que se va a ejecutar y, a continuación, seleccione Ejecutar flujo.
- Una vez completado el flujo, seleccione Listo.
Para más información sobre los flujos de Power Automate para la administración de riesgos internos, consulte Introducción a la configuración de administración de riesgos internos.