Compartir vía


Uso compartido de datos de administración de riesgos internos con otras soluciones

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.

Puede compartir datos de la administración de riesgos internos de cualquiera de las siguientes maneras:

  • Exportación de información de alertas a soluciones SIEM
  • Compartir niveles de gravedad de riesgo de usuario con alertas de prevención de pérdida de datos (DLP) Microsoft Defender XDR y Microsoft Purview

Exportación de información de alertas a soluciones SIEM

Administración de riesgos internos de Microsoft Purview información de alertas se puede exportar a la información de seguridad y a las soluciones de administración de eventos (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) mediante el esquema de api de actividad de administración de Office 365. Puede usar las API de actividad de administración de Office 365 para exportar información de alertas a otras aplicaciones que su organización puede usar para administrar o agregar información de riesgo interno. La información de alertas se exporta y está disponible cada 60 minutos a través de las API de actividad de administración de Office 365.

Sugerencia

Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.

Si su organización usa Microsoft Sentinel, también puede usar el conector de datos de administración de riesgos internos para importar información de alertas de riesgo internos a Sentinel. Para obtener más información, consulte Insider Risk Management en el artículo Microsoft Sentinel.

Importante

Para mantener la integridad referencial de los usuarios que tienen alertas o casos de riesgo internos en Microsoft 365 u otros sistemas, el anonimato de los nombres de usuario no se conserva para las alertas exportadas al usar la API de exportación o al exportar a soluciones de Microsoft Purview eDiscovery. Las alertas exportadas mostrarán los nombres de usuario de cada alerta en este caso. Si va a exportar a archivos CSV desde alertas o casos, se conserva el anonimato.

Uso de las API para revisar la información de alertas de riesgo internos

Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.

Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

  1. Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.
  2. Seleccione Configuración en la esquina superior derecha de la página.
  3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
  4. Seleccione Exportar alertas. De forma predeterminada, esta configuración está deshabilitada para la organización de Microsoft 365.
  5. Active la configuración.
  6. Filtre las actividades comunes de auditoría de Office 365 por SecurityComplianceAlerts.
  7. Filtre SecurityComplianceAlerts por la categoría InsiderRiskManagement .

La información de alerta contiene información del esquema alertas de seguridad y cumplimiento y el esquema común de la API de actividad de Office 365 Management.

Los siguientes campos y valores se exportan para las alertas de administración de riesgos internos para el esquema alertas de seguridad y cumplimiento:

Parámetro de alerta Descripción
AlertType El tipo de la alerta es Custom.
AlertId GUID de la alerta. Las alertas de administración de riesgos internos son mutables. A medida que cambia el estado de la alerta, se genera un nuevo registro con el mismo AlertID. Este AlertID se puede usar para correlacionar las actualizaciones de una alerta.
Categoría La categoría de la alerta es InsiderRiskManagement. Esta categoría se puede usar para distinguir de estas alertas de otras alertas de seguridad y cumplimiento.
Comentarios Comentarios predeterminados para la alerta. Los valores son Nueva alerta (registrada cuando se crea una alerta) y Alerta actualizada (registrada cuando hay una actualización de una alerta). Use AlertID para correlacionar las actualizaciones de una alerta.
Datos Los datos de la alerta incluyen el identificador de usuario único, el nombre principal de usuario y la fecha y hora (UTC) cuando el usuario se desencadenó en una directiva.
Nombre Nombre de directiva para la directiva de administración de riesgos internos que generó la alerta.
PolicyId GUID de la directiva de administración de riesgos internos que desencadenó la alerta.
Severity Gravedad de la alerta. Los valores son Alto, Medio o Bajo.
Origen Origen de la alerta. El valor es Office 365 Security & Compliance.
Estado Estado de la alerta. Los valores son Activos (Revisión de necesidades en riesgo interno), Investigar (Confirmado en riesgo interno), Resuelto (Resuelto en riesgo interno), Descartado (Descartado en riesgo interno).
Versión Versión del esquema alertas de seguridad y cumplimiento.

Los siguientes campos y valores se exportan para las alertas de administración de riesgos internos para el esquema común de la API de actividad de Office 365 Management.

  • UserId
  • Id
  • RecordType
  • CreationTime
  • Operación
  • OrganizationId
  • UserType
  • UserKey

Compartir niveles de gravedad de alerta con otras soluciones de seguridad de Microsoft

Puede compartir los niveles de gravedad de alerta de la administración de riesgos internos para proporcionar un contexto de usuario único a las experiencias de investigación de alertas en las siguientes soluciones de seguridad de Microsoft:

Microsoft Defender XDR Cumplimiento de comunicaciones de Microsoft Purview prevención de pérdida de datos (DLP) de Microsoft Purview

La administración de riesgos internos analiza las actividades del usuario durante un período de entre 90 y 120 días y busca comportamientos anómalos durante ese período de tiempo. Agregar estos datos a otras soluciones de seguridad mejora los datos disponibles en esas soluciones para ayudar a los analistas a priorizar las alertas.

Sugerencia

Los niveles de gravedad de alerta en la administración de riesgos internos son diferentes de los niveles de riesgo internos definidos en Adaptive Protection.

  • Los niveles de gravedad de alerta (bajo, medio o alto) se asignan a los usuarios en función de la actividad detectada en las directivas de administración de riesgos internos. Estos niveles se calculan en función de las puntuaciones de riesgo de alerta asignadas a todas las alertas activas asociadas al usuario. Estos niveles ayudan a los analistas e investigadores de riesgo internos a priorizar y responder a la actividad del usuario en consecuencia.
  • Los niveles de riesgo internos (elevados, moderados o menores) de Adaptive Protection son una medida de riesgo determinada por condiciones definidas por el administrador, como el número de actividades de filtración que los usuarios realizan en un día o si su actividad generó una alerta de riesgo interno de alta gravedad.

¿Qué ocurre cuando comparte niveles de gravedad de alertas de administración de riesgos internos?

En Microsoft Defender XDR

  • Página Incidentes DLP: se agrega un campo de gravedad de riesgo interno a la sección Activos afectados de la página incidentes DLP de Microsoft Defender para los usuarios que tienen un nivel de riesgo alto o medio en la administración de riesgos internos. Si el usuario tiene un nivel de riesgo bajo , no se agrega nada a la página Incidentes. Esto mantiene las distracciones al mínimo para los analistas para que puedan centrarse en las actividades de usuario más arriesgadas.

    Puede seleccionar el nivel de riesgo en la sección Activos afectados para ver un resumen de actividad de riesgo interno y una escala de tiempo de actividad para ese usuario. Tener hasta 120 días de análisis puede ayudar al analista a determinar el riesgo general de las actividades del usuario.

    Si selecciona el evento DLP en la página de coincidencia de directiva DLP, aparecerá una sección Entidades afectadas en la sección Coincidencia de directiva DLP que muestra todos los usuarios que coinciden con la directiva.

  • Página Usuarios: se agrega un campo de gravedad de riesgo insider a la página Usuarios para los usuarios que tienen un nivel de riesgo alto, medio o bajo en la administración de riesgos internos. Estos datos están disponibles para cualquier usuario con una alerta de administración de riesgos internos activa.

    En el lado derecho de la página Usuarios aparece un resumen de la actividad de riesgo interno y una escala de tiempo de actividad para ese usuario.

Alertas de cumplimiento de comunicaciones

Para cada coincidencia de directiva de cumplimiento de comunicaciones , puede ver la gravedad del riesgo del usuario asociada con el remitente. Vea esta información en la pestaña Actividad del usuario en la comunicación de la alerta. Esta vista proporciona el perfil de riesgo, las coincidencias de directivas y las actividades de usuario capturadas por la administración de riesgos internos y el cumplimiento de comunicaciones.

Los niveles de gravedad se clasifican como Alto, Medio, Bajo o Ninguno.

Para los niveles de gravedad de riesgo de None, la razón puede ser para cualquiera de los siguientes escenarios:

  • El usuario no está incluido en una directiva de riesgo interno.
  • A las actividades del usuario no se les asigna una puntuación de riesgo, lo que significa que el usuario no está en el ámbito activo de la directiva.
  • El usuario se incluye en una directiva de administración de riesgos internos, pero no ha participado en ninguna actividad de riesgo.
  • La organización no tiene una directiva de administración de riesgos internos activa.

Si la gravedad del riesgo del usuario no está disponible, el uso compartido de datos no se habilita desde la administración de riesgos internos.

Puede ver las actividades de riesgo internos durante un máximo de 120 días en la sección Ver detalles de la pestaña Historial de usuarios en Administración de riesgos internos. Actualmente, solo se muestran datos de indicadores de filtración en el resumen de actividad del usuario en cumplimiento de la comunicación.

En alertas DLP

  • Para la directiva de administración de riesgos internos asociada a la alerta DLP, se agrega a la cola de alertas DLP una columna de gravedad de riesgo insider con valores de Alto, Medio, Bajo o Ninguno . Si hay varios usuarios que tienen actividades que coinciden con la directiva, se muestra el usuario con el nivel de riesgo interno más alto.

    Un valor de None puede significar cualquiera de los siguientes:

    • El usuario no forma parte de ninguna directiva de administración de riesgos internos.

    • El usuario forma parte de una directiva de administración de riesgos internos, pero no ha realizado actividades de riesgo para entrar en el ámbito de la directiva (no hay datos de filtración).

  • Puede seleccionar el nivel de riesgo interno en la cola de alertas DLP para acceder a la pestaña Resumen de actividad de usuario , que muestra una escala de tiempo de todas las actividades de filtración para ese usuario durante los últimos 90-120 días. Al igual que la cola de alertas DLP, la pestaña Resumen de actividad de usuario muestra al usuario con el nivel de riesgo interno más alto. Este contexto profundo de lo que un usuario ha hecho en los últimos 90 a 120 días proporciona una visión más amplia de los riesgos que presenta ese usuario.

    En el resumen de actividad del usuario solo se muestran los datos de los indicadores de filtración. Los datos de otros indicadores confidenciales, como RR. HH., exploración, etc., no se comparten con las alertas DLP.

  • Se agrega una sección de detalles de actor a la página Detalles de la alerta DLP. Puede usar esta página para ver todos los usuarios implicados en la alerta DLP específica. Para cada usuario implicado en la alerta DLP, puede ver todas las actividades de filtración de los últimos 90 a 120 días.

  • Si selecciona Obtener un resumen de Security Copilot en una alerta DLP, el resumen de alerta proporcionado por Microsoft Security Copilot incluye el nivel de gravedad de administración de riesgos internos además de la información de resumen dlp, si el usuario está en el ámbito de una directiva de administración de riesgos internos.

    Sugerencia

    También puede usar Security Copilot para investigar alertas DLP. Si la configuración de uso compartido de datos de administración de riesgos internos está activada, puede realizar una investigación combinada de administración de riesgos DLP/insider. Por ejemplo, es posible que quiera empezar pidiendo a Copilot que resuma una alerta DLP y, a continuación, pida a Copilot que muestre el nivel de riesgo interno asociado al usuario marcado en la alerta. O bien, es posible que quiera preguntar por qué el usuario se considera un usuario de alto riesgo. La información de riesgo del usuario en este caso procede de la administración de riesgos internos. Security Copilot integra perfectamente la administración de riesgos internos con DLP para ayudar con las investigaciones. Obtenga más información sobre el uso de la versión independiente de Copilot para las investigaciones combinadas de administración de riesgos DLP/insider.

Requisitos previos

Para compartir los niveles de riesgo de usuario de administración de riesgos internos con otras soluciones de seguridad de Microsoft, el usuario:

  • Debe formar parte de una directiva de administración de riesgos internos.
  • Debe haber realizado actividades de filtración que lleven al usuario al ámbito de la directiva.
  • (Para compartir con DLP): debe tener permisos de alerta DLP. Una vez activada la opción Uso compartido de datos, los usuarios con permisos de alerta DLP pueden acceder al contexto de administración de riesgos internos para la investigación de alertas DLP y para la página Usuarios de Microsoft Defender XDR. Los usuarios con permisos de administración de riesgos internos también pueden acceder a estos datos.
  • (Para compartir con el cumplimiento de comunicaciones): los usuarios deben tener asignados los roles Analista de cumplimiento de comunicaciones o Investigador de cumplimiento de comunicaciones para ver los niveles de gravedad de riesgo del usuario y el historial de actividad en cumplimiento de la comunicación.

Sugerencia

Si tiene acceso a alertas DLP en Microsoft Purview o Microsoft Defender, puede ver el contexto de usuario desde la administración de riesgos internos compartida con esas soluciones.

Uso compartido de datos con otras soluciones de seguridad de Microsoft

Puede compartir los niveles de gravedad de alertas de administración de riesgos internos con otras soluciones de seguridad de Microsoft activando una sola configuración.

  1. En la configuración de administración de riesgos internos, seleccione la opción Uso compartido de datos .
  2. En la sección Uso compartido de datos con otras soluciones de seguridad de Microsoft , active la configuración.

Nota:

Si no activa esta configuración, el valor que se muestra en la columna gravedad de riesgo de las alertas DLP es "Los datos de usuario no están disponibles" y se muestra como "Actividad de riesgo interno no disponible" en cumplimiento de la comunicación.

Recursos adicionales