Configuración de las opciones de administración de riesgos internos

  • 8 minutos

La administración de riesgos internos de Microsoft Purview permite a las organizaciones identificar y mitigar los riesgos internos mediante la detección de actividades potencialmente dañinas. La configuración es una parte fundamental de esta solución, ya que define cómo se detectan, puntúan y administran los riesgos en toda la organización. Comprender esta configuración y su funcionamiento garantiza que sus directivas se ajusten a las necesidades de la organización, al tiempo que se reducen las alertas y el ruido innecesarios.

Funcionamiento de la configuración de administración de riesgos internos

La configuración de administración de riesgos internos funciona globalmente, lo que afecta a todas las directivas, independientemente de la plantilla que elija. Esta configuración le permite:

  • Personalice cómo se analizan y puntúan las actividades del usuario.
  • Priorice la evaluación de actividades para usuarios o grupos específicos.
  • Garantizar el cumplimiento de los requisitos de privacidad y control de datos.
  • Reduzca los falsos positivos mediante la refinación de los criterios de detección.

Al adaptar esta configuración, puede centrarse en los riesgos más relevantes para su organización a la vez que mantiene la eficiencia operativa.

Comprender la configuración de la administración de riesgos internos

La configuración de la administración de riesgos de información privilegiada proporciona herramientas configurables para alinear las directivas con las necesidades de cumplimiento y seguridad exclusivas de su organización. Esta configuración se aplica globalmente a todas las directivas y ayuda a ajustar los mecanismos de detección, puntuación y alerta.

Para acceder a estos ajustes y configurarla:

  1. Inicie sesión en Microsoft Purview portal.
  2. Seleccione Configuración>Administración de riesgos internos.
  3. Seleccione la categoría de configuración que desea configurar.

Privacidad

Elija si los nombres de usuario en alertas y casos se anonimizan o se muestran. Anonimizar los nombres de usuario puede ayudar a las organizaciones a mantener la privacidad de los empleados durante las investigaciones.

Indicadores de directiva

Habilite y ajuste los indicadores que realizan un seguimiento de las actividades, como descargar archivos confidenciales o reenviar correos electrónicos. La configuración de umbrales para estos indicadores garantiza que las alertas reflejen la tolerancia al riesgo de la organización.

Grupos de detección

Cree grupos de detección para aplicar umbrales o criterios específicos a diferentes conjuntos de usuarios. Por ejemplo, puede asignar umbrales más adaptados a los usuarios con funciones de alto riesgo, como los administradores de TI o los ejecutivos.

Exclusiones globales (versión preliminar)

Excluya usuarios, grupos o actividades específicos de incluirse en las detecciones de directivas. Por ejemplo, las cuentas de servicio o las tareas administrativas rutinarias se pueden excluir para reducir las alertas innecesarias.

Períodos de tiempo de la directiva

Defina el periodo de tiempo durante el cual se revisan las actividades cuando se desencadena una directiva. Esta configuración permite a las organizaciones centrarse en los períodos de actividad pertinentes, como los 30 días siguientes a una infracción de directiva.

Detecciones inteligentes

Use detecciones inteligentes para identificar actividades inusuales, ajustar volúmenes de alertas e incorporar alertas de herramientas externas como Microsoft Defender para punto de conexión. Esta configuración también permite a las organizaciones priorizar los riesgos relacionados con dominios o actividades específicos.

Grupos de usuarios prioritarios

Asigne umbrales de puntuación de riesgo más elevados a los usuarios con roles críticos o con acceso elevado. Por ejemplo, los usuarios con acceso a datos confidenciales pueden necesitar evaluaciones de actividad más detalladas.

Recursos físicos prioritarios

Identificar y realizar un seguimiento de la actividad relacionada con ubicaciones confidenciales, como centros de datos o instalaciones seguras. La correlación de esta actividad con otros eventos de usuario puede proporcionar información adicional sobre riesgos.

Notificaciones

Configure notificaciones por correo electrónico para administradores y otros grupos de roles de administración de riesgos internos. Las notificaciones se pueden desencadenar para nuevas alertas, advertencias sin resolver o casos de gravedad alta.

Uso compartido de datos

Habilite la exportación de alertas a herramientas externas como plataformas SIEM o SOAR. Con la API de actividad de administración de Office 365, esta integración permite la agregación e investigación centralizadas de alertas.

Análisis

Ejecute exámenes de análisis para evaluar las tendencias de riesgo e identificar posibles áreas de preocupación antes de crear directivas. Esta característica proporciona información sin necesidad de implementación de directivas.

Personalización de alertas incluida

Ajuste los umbrales de las directivas directamente desde el Panel de alertas. Esta característica permite el ajuste en tiempo real de los criterios de detección en función de los detalles de una alerta.

Flujos de Power Automate (versión preliminar)

Automatice tareas como compartir actualizaciones de casos o publicar notas de casos mediante flujos de Power Automate. Esto puede simplificar los flujos de trabajo y mejorar la eficacia durante las investigaciones.

Microsoft Teams

Habilite los canales privados de Teams para facilitar la colaboración entre investigadores. Teams se puede usar para compartir de forma segura evidencia, coordinar acciones y realizar un seguimiento de las respuestas.

Configuración de los valores de riesgo interno

Siga estos pasos para configurar las opciones de forma eficaz:

  1. Definir objetivos de la organización: Identifique los tipos de riesgos internos que su organización tiene como objetivo abordar, como la filtración de datos o el uso indebido de información confidencial.
  2. Ajustar la configuración de privacidad: Decida si anonimizar nombres de usuario en casos y alertas en función de las necesidades de privacidad y cumplimiento de su organización.
  3. Ejecutar exámenes analíticas: Use análisis para obtener información sobre posibles riesgos en toda la organización y ajustar las configuraciones antes de implementar directivas.
  4. Habilite los indicadores pertinentes: Seleccione indicadores que se alineen a los riesgos identificados de su organización y establezca umbrales adecuados para minimizar las alertas innecesarias.
  5. Crear grupos de detección: Adapte los umbrales a los usuarios o departamentos de alto riesgo para garantizar una puntuación de riesgos precisa y centrada.
  6. Establecer notificaciones de administrador: Configure notificaciones para mantener informados a los principales interesados sobre alertas y casos de alta prioridad.
  7. Integrar herramientas externas: Si es necesario, configure las opciones de exportación para enviar datos de alerta a plataformas SIEM o SOAR.
  8. Probar y refinar la configuración: Revise periódicamente las alertas, ajuste los umbrales y actualice la configuración a medida que evolucionan las necesidades de la organización.

Una vez configurados los ajustes, puede ampliar las capacidades de la administración de riesgos internos integrándola con otras herramientas y orígenes de datos. Estas integraciones ayudan a mejorar la detección, refinar las directivas y simplificar las investigaciones.