Compartilhar via


Investigar atividades de gestão de riscos internos

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Investigar atividades de utilizador potencialmente arriscadas é um primeiro passo importante para minimizar os riscos internos para a sua organização. Estes riscos podem ser atividades que geram alertas a partir de políticas de gestão de riscos internos. Também podem ser riscos de atividades relacionadas com a conformidade que são detetadas por políticas, mas não criam imediatamente alertas de gestão de riscos internos para os utilizadores. Pode investigar estes tipos de atividades com os Relatórios de atividade do utilizador (pré-visualização) ou com o dashboard De alerta.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Relatórios de atividade do usuário

Os relatórios de atividade do utilizador permitem-lhe examinar atividades potencialmente arriscadas (para utilizadores específicos e durante um período de tempo definido) sem ter de atribuir estas atividades, temporária ou explicitamente, a uma política de gestão de riscos internos. Na maioria dos cenários de gestão de riscos internos, os utilizadores são explicitamente definidos em políticas e podem ter alertas de política (dependendo de acionar eventos) e classificações de risco associadas às atividades. No entanto, em alguns cenários, poderá querer examinar as atividades dos utilizadores que não estão explicitamente definidos numa política. Estas atividades podem ser para utilizadores que receberam uma sugestão sobre o utilizador e atividades potencialmente arriscadas, ou utilizadores que normalmente não precisam de ser atribuídos a uma política de gestão de riscos internos.

Depois de configurar os indicadores na página Definições de gestão de riscos internos , a atividade do utilizador é detetada para atividade potencialmente arriscada associada aos indicadores selecionados. Esta configuração significa que toda a atividade detetada para os utilizadores está disponível para revisão, independentemente de ter um evento de acionamento ou se criar um alerta. Os relatórios são criados por utilizador e podem incluir todas as atividades para um período personalizado de 90 dias. Não são suportados vários relatórios para o mesmo utilizador.

Depois de examinar atividades potencialmente arriscadas, os investigadores podem descartar as atividades de utilizadores individuais como benignas. Também podem partilhar ou enviar uma ligação por e-mail para o relatório com outros investigadores ou optar por atribuir utilizadores (temporariamente ou explicitamente) a uma política de gestão de riscos internos. Os utilizadores têm de ser atribuídos ao grupo de funções Investigadores de Gestão de Riscos Internos para ver a página Relatórios de atividade do utilizador .

Descrição geral do relatório de atividade do utilizador da gestão de riscos internos.

Para começar, selecione Gerir relatórios na secção Investigar atividade do utilizador na página Descrição Geral da gestão de riscos internos.

Para ver as atividades de um utilizador, primeiro selecione Criar relatório de atividade de utilizador e preencha os seguintes campos no painel Novo relatório de atividade de utilizador :

  • Utilizador: procure um utilizador por nome ou endereço de e-mail.
  • Data de início: utilize o controlo de calendário para selecionar a data de início das atividades do utilizador.
  • Data de fim: utilize o controlo de calendário para selecionar a data de fim das atividades do utilizador. A data de fim selecionada tem de ser superior a dois dias após a data de início selecionada e não superior a 90 dias a partir da data de início selecionada.

Observação

Os dados fora do intervalo selecionado podem ser incluídos se o utilizador tiver sido anteriormente incluído num alerta.

Os dados de atividade do utilizador estão disponíveis para relatórios aproximadamente 48 horas após a origem da atividade. Por exemplo, para rever os dados de atividade do utilizador relativos a 1 de dezembro, terá de se certificar de que decorrido, pelo menos, 48 horas antes de criar o relatório (teria de criar um relatório no dia 3 de dezembro o mais cedo possível).

Normalmente, os novos relatórios demoram até 10 horas até estarem prontos para revisão. Quando o relatório estiver pronto, o Relatório é apresentado na coluna Estado na página Relatório de atividade do utilizador. Selecione o utilizador para ver o relatório detalhado:

Relatório de atividade do utilizador da gestão de riscos internos

O relatório de atividade Do utilizador para o utilizador selecionado contém os separadores Atividade do utilizador, Explorador de atividades e provas forenses :

  • Atividade do utilizador: utilize esta vista de gráfico para investigar atividades potencialmente arriscadas e ver atividades potencialmente relacionadas que ocorrem em sequências. Este separador está estruturado para permitir uma revisão rápida de um caso, incluindo um linha do tempo histórico de todas as atividades, detalhes da atividade, a classificação de risco atual para o utilizador no caso, a sequência de eventos de risco e controlos de filtragem para ajudar nos esforços de investigação.
  • Explorador de atividades: este separador fornece aos investigadores de risco uma ferramenta de análise abrangente que fornece informações detalhadas sobre atividades. Com o Explorador de atividades, os revisores podem rever rapidamente uma linha do tempo de atividade de risco detetada e identificar e filtrar todas as atividades potencialmente arriscadas associadas aos alertas. Para saber mais sobre como utilizar o Explorador de atividades, veja a secção Explorador de atividades mais adiante neste artigo.

Painel de alerta

Os alertas de gestão de riscos internos são gerados automaticamente por indicadores de risco definidos em políticas de gestão de risco interno. Estes alertas dão aos analistas e investigadores de conformidade uma visão geral do risco atual status e permitem que a sua organização faça a triagem e tome medidas para riscos potenciais detetados. Por predefinição, as políticas geram uma determinada quantidade de alertas de gravidade baixa, média e alta, mas pode aumentar ou diminuir o volume de alerta de acordo com as suas necessidades. Além disso, pode configurar o limiar de alerta para indicadores de política ao criar uma nova política com a ferramenta de criação de políticas.

Observação

Para quaisquer alertas gerados, a gestão de riscos internos gera um único alerta agregado por utilizador. Todas as novas informações desse utilizador são adicionadas ao mesmo alerta.

Veja o vídeo Experiência de Triagem de Alertas de Gestão de Riscos Internos para obter uma descrição geral de como os alertas fornecem detalhes, contexto e conteúdos relacionados para atividades de risco e como tornar o seu processo de investigação mais eficaz.

Importante

Se as suas políticas estiverem confinadas por uma ou mais unidades administrativas, só poderá ver alertas para os utilizadores para os quais tem o âmbito. Por exemplo, se um âmbito administrativo se aplicar apenas a utilizadores na Alemanha, só poderá ver alertas para utilizadores na Alemanha. Os administradores sem restrições podem ver todos os alertas para todos os utilizadores na organização.

Os administradores restritos não podem aceder a alertas para os utilizadores que lhes foram atribuídos através de grupos de segurança ou grupos de distribuição adicionados em unidades administrativas. Estes alertas de utilizador são visíveis apenas para administradores sem restrições. A Microsoft recomenda adicionar utilizadores diretamente a unidades administrativas para garantir que os respetivos alertas também estão visíveis para administradores restritos com unidades administrativas atribuídas.

Como os alertas são gerados

O gráfico seguinte mostra como os alertas são gerados na gestão de riscos internos.

Gráfico que mostra como os alertas de gestão de riscos internos são gerados.

Filtrar alertas, guardar uma vista de um conjunto de filtros, personalizar colunas ou procurar alertas

Dependendo do número e do tipo de políticas ativas de gerenciamento de risco interno em sua organização, a revisão de uma grande fila de alertas pode ser um desafio. Para o ajudar a controlar os alertas, pode:

  • Filtrar alertas por vários atributos.
  • Guarde uma vista de um conjunto de filtros para reutilizar mais tarde.
  • Apresentar ou ocultar colunas.
  • Procure um alerta.

Filtrar alertas

  1. Selecione Adicionar filtro.

  2. Selecione um ou mais dos seguintes atributos:

    Atributo Descrição
    Atividade que gerou o alerta Apresenta a principal correspondência de política e atividade potencialmente arriscada durante o período de avaliação da atividade que levou à geração do alerta. Este valor pode ser atualizado ao longo do tempo.
    Motivo do despedimento do alerta O motivo para dispensar o alerta.
    Atribuído a O administrador ao qual o alerta está atribuído para triagem (se atribuído).
    Política O nome da política.
    Fatores de risco Os fatores de risco que ajudam a determinar o risco da atividade de um utilizador. Os valores possíveis são Atividades de exfiltração cumulativa, Atividades incluem conteúdo prioritário, Atividades de sequência, Atividades incluem domínios não permitidos, Membro de um grupo de utilizadores prioritário e Potencial utilizador de alto impacto.
    Gravidade O nível de gravidade de risco do utilizador. As opções são Alta, Médiae Baixa.
    Status Status do alerta. As opções são Confirmado, Descartado, Precisa de revisãoe Resolvido.
    Hora detetada (UTC) As datas de início e de fim para quando o alerta foi criado. O filtro procura alertas entre UTC 00:00 na data de início e UTC 00:00 na data de fim.
    Acionar evento O evento que levou o utilizador ao âmbito da política. O evento de acionamento pode mudar ao longo do tempo.

    Os atributos que selecionar são adicionados à barra de filtro.

  3. Selecione um atributo na barra de filtro e, em seguida, selecione um valor pelo qual filtrar. Por exemplo, selecione o atributo Hora detetada (UTC), introduza ou selecione as datas nos campos Data de início e Data de fim e, em seguida, selecione Aplicar.

    Dica

    Se quiser recomeçar a qualquer momento, selecione Repor tudo na barra de filtro.

Guardar uma vista de um conjunto de filtros para reutilizar mais tarde

  1. Depois de aplicar os filtros conforme descrito no procedimento anterior, selecione Guardar acima da barra de filtro, introduza um nome para o conjunto de filtros e, em seguida, selecione Guardar.

    O conjunto de filtros é adicionado como um card acima da barra de filtro. Inclui um número que mostra a contagem de alertas que cumprem os critérios no conjunto de filtros.

    Observação

    Pode guardar até cinco conjuntos de filtros. Se precisar de eliminar um conjunto de filtros, selecione as reticências (três pontos) no canto superior direito do card e, em seguida, selecione Eliminar.

  2. Para reaplicar um conjunto de filtros guardado, basta selecionar o card do conjunto de filtros.

Apresentar ou ocultar colunas

  1. No lado direito da página, selecione Personalizar colunas.

  2. Selecione ou desmarque as caixas de verificação das colunas que pretende apresentar ou ocultar.

As definições de coluna são guardadas em sessões e em browsers.

Procurar alertas

Utilize o controlo Procurar para procurar um nome principal de utilizador (UPN), um nome de administrador atribuído ou um ID de Alerta.

Triagem de alertas

Investigar e agir sobre alertas na gestão de riscos internos inclui os seguintes passos:

  1. Reveja a dashboard de Alertas para obter alertas com uma status de Revisão de Necessidades. Filtre por Estado do alerta, se necessário, para ajudar a localizar estes tipos de alertas.
  2. Comece com os alertas com a gravidade mais elevada. Filtre por gravidade do alerta, se necessário, para ajudar a localizar estes tipos de alertas.
  3. Selecione um alerta para descobrir mais informações e para rever os detalhes do alerta. Se necessário, utilize o Explorador de atividades para rever uma linha do tempo do comportamento potencialmente arriscado associado e para identificar todas as atividades de risco do alerta.
  4. Agir sobre o alerta. Pode confirmar e criar um caso para o alerta ou dispensar e resolve o alerta.

Cada um destes passos é descrito mais detalhadamente nesta secção

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

Utilizar o Copilot para resumir um alerta

Pode selecionar Resumir com Copilot ou o ícone Copilot para resumir rapidamente um alerta e atribuir prioridades aos alertas que precisam de investigação adicional. Pode resumir os alertas selecionados sem abrir o alerta ou depois de ver os detalhes do alerta. Quando resume um alerta com Microsoft Copilot no Microsoft Purview, é apresentado um painel Copilot no lado direito do ecrã com um resumo de alerta.

Botão Copilot de gestão de riscos internos

O resumo do alerta inclui todos os detalhes essenciais sobre o alerta, como a política que foi acionada, a atividade que gerou o alerta, o evento de acionamento, o utilizador envolvido, a última data de trabalho (se aplicável), quaisquer atributos de utilizador chave e os principais fatores de risco do utilizador. O Copilot no Microsoft Purview consolida informações sobre o utilizador a partir de todos os alertas e políticas no âmbito e realça os principais fatores de risco do utilizador.

Os pedidos sugeridos são listados automaticamente para ajudar a refinar ainda mais o seu resumo e para ajudar a fornecer informações adicionais sobre as atividades associadas ao alerta. Escolha entre os seguintes pedidos sugeridos:

  • Liste todas as atividades de transferência de dados que envolvem este utilizador.
  • Liste todas as atividades sequenciais que envolvem este utilizador.
  • O utilizador teve algum comportamento invulgar?
  • Mostrar as principais ações realizadas pelo utilizador nos últimos 10 dias.
  • Resumir os últimos 30 dias de atividade do utilizador.

Triagem de um alerta

Pode fazer a triagem de alertas ao aceder à página Detalhes do alerta .

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Na dashboard Alertas, selecione o alerta que pretende fazer a triagem.
  5. Na página Detalhes do alerta , pode rever as informações sobre o alerta. Pode confirmar o alerta e criar um novo caso, confirmar o alerta e adicionar a um caso existente ou dispensar o alerta. Esta página também inclui o status atual para o alerta e o nível de gravidade do risco de alerta, listado como Alto, Médio ou Baixo. O nível de gravidade pode aumentar ou diminuir ao longo do tempo se o alerta não for triagemda. Para falsos positivos, pode selecionar vários alertas e dispensá-los em massa ao selecionar Dispensar alertas.

Secção Cabeçalho/resumo da página Detalhes do alerta

Esta secção na página Detalhes do alerta contém informações gerais sobre o utilizador e o alerta. Estas informações estão disponíveis para contexto ao rever informações detalhadas sobre a atividade de gestão de riscos detetada incluída no alerta para o utilizador:

  • Atividade que gerou este alerta: apresenta a principal correspondência de política e atividade potencialmente arriscada durante o período de avaliação da atividade que levou à geração do alerta.
  • Acionar evento: apresenta o evento de acionamento mais recente que levou a política a começar a atribuir classificações de risco à atividade do utilizador. Se tiver configurado a integração com a conformidade de comunicação para Fugas de dados por utilizadores de risco ou Violações de políticas de segurança por políticas de utilizadores de risco , o evento de acionamento para estes alertas tem como âmbito a atividade de conformidade de comunicação.
  • Detalhes do utilizador: apresenta informações gerais sobre o utilizador atribuído ao alerta. Se a anonimização estiver ativada, os campos nome de utilizador, endereço de e-mail, alias e organização são anonimizados.
  • Histórico de alertas do utilizador: apresenta uma lista de alertas para o utilizador nos últimos 30 dias. Inclui uma ligação para ver o histórico de alertas completo do utilizador.

Observação

Quando um utilizador é detetado como um potencial utilizador de alto impacto, estas informações são realçadas no cabeçalho do alerta na página Detalhes do utilizador . Os detalhes do utilizador também incluem um resumo com os motivos pelos quais o utilizador foi detetado como tal. Para saber mais sobre como definir indicadores de política para potenciais utilizadores de alto impacto, veja Definições de gestão de riscos internos.

Os alertas gerados a partir de políticas confinadas a apenas atividades que incluem conteúdo prioritário incluem a classificação Apenas a atividade com conteúdo prioritário para esta notificação de alerta nesta secção.

Dica

Para obter uma descrição geral rápida de um alerta, selecione Resumir na página de detalhes do alerta. Quando seleciona Resumir, é apresentado um painel Copilot no lado direito da página com um resumo de alerta. O resumo do alerta inclui todos os detalhes essenciais sobre o alerta, como a política que foi acionada, a atividade que gerou o alerta, o evento de acionamento, o utilizador envolvido, a última data de trabalho (se aplicável), quaisquer atributos de utilizador chave e os principais fatores de risco do utilizador. O Copilot no Microsoft Purview consolida informações sobre o utilizador a partir de todos os alertas e políticas no âmbito e realça os principais fatores de risco do utilizador. Também pode resumir o alerta a partir da fila Alertas sem ter de abrir o alerta com o Copilot. Em alternativa, utilize a versão autónoma do Microsoft Security Copilot para investigar a gestão de riscos internos, a prevenção de perda de dados (DLP) do Microsoft Purview e alertas de Microsoft Defender XDR.

Separador Todos os fatores de risco

Este separador na página Detalhes do alerta abre o resumo dos fatores de risco para a atividade de alerta do utilizador. Os fatores de risco podem ajudá-lo a determinar o risco da atividade de gestão de riscos deste utilizador durante a sua revisão. Os fatores de risco incluem resumos para:

  • Principais atividades de exfiltração: apresenta atividades de exfiltração com o número ou eventos mais elevados para o alerta.
  • Atividades de exfiltração cumulativas: apresenta eventos associados a atividades de exfiltração cumulativas.
  • Sequências de atividades: apresenta as atividades potencialmente arriscadas detetadas associadas a sequências de risco.
  • Atividade invulgar para este utilizador: apresenta atividades específicas para o utilizador que são consideradas potencialmente arriscadas, uma vez que são invulgares e afastam-se das suas atividades típicas.
  • Conteúdo prioritário: apresenta atividades potencialmente arriscadas associadas a conteúdo prioritário.
  • Domínios não permitidos: apresenta atividades potencialmente arriscadas para eventos associados a domínios não permitidos.
  • Acesso aos registos de estado de funcionamento: apresenta atividades potencialmente arriscadas para eventos associados ao acesso a registos de estado de funcionamento.
  • Utilização arriscada do browser: apresenta atividades potencialmente arriscadas para eventos associados à navegação para sites potencialmente inapropriados.

Com estes filtros, só vê alertas com os fatores de risco acima, mas a atividade que gerou um alerta pode não se enquadrar em nenhuma destas categorias. Por exemplo, um alerta que contém atividades de sequência pode ter sido gerado simplesmente porque o utilizador copiou um ficheiro para um dispositivo USB.

Conteúdo detetado

Esta secção no separador Todos os fatores de risco inclui conteúdo associado às atividades de risco do alerta e resume eventos de atividade por áreas-chave. Selecionar uma ligação de atividade abre o Explorador de atividades e apresenta mais detalhes sobre a atividade.

Separador Atividade do utilizador

O separador Atividade do utilizador é uma das ferramentas mais avançadas para análise e investigação de riscos internos para alertas e casos na solução de gestão de riscos internos. Este separador está estruturado para permitir uma revisão rápida de todas as atividades de um utilizador, incluindo um linha do tempo histórico de todos os alertas, detalhes do alerta, a classificação de risco atual para o utilizador e a sequência de eventos de risco.

Atividade do utilizador da gestão de riscos internos

  1. Ações de casos: as opções para resolver o caso encontram-se na barra de ferramentas de ação do caso. Ao ver num caso, pode resolve um caso, enviar um aviso por e-mail ao utilizador ou escalar o caso para uma investigação de dados ou de utilizador.

  2. Cronologia da atividade de risco: é apresentada a cronologia completa de todos os alertas de risco associados ao caso, incluindo todos os detalhes disponíveis na bolha de alerta correspondente.

  3. Filtros e ordenação (pré-visualização):

    • Categoria de risco: filtre as atividades pelas seguintes categorias de risco: Atividades com classificações > de risco 15 (a menos que numa sequência) e Atividades de sequência.
    • Tipo de Atividade: filtre as atividades pelos seguintes tipos: Access, Deletion, Collection, Exfiltration, Infiltration, Obfuscation, Security, Custom Indicator, Defense Evasion, Privilege Escalation, Communication Risk, User Compromise Risk e AI Usage.
    • Ordenar por: liste a linha do tempo de atividades potencialmente arriscadas por Data ocorrida ou Pontuação de risco.
  4. Filtros de tempo: por predefinição, os últimos três meses de atividades potencialmente arriscadas são apresentados no gráfico de atividade Utilizador. Pode filtrar facilmente a vista de gráfico ao selecionar os separadores 6 Meses, 3 Meses ou 1 Mês no gráfico de bolhas.

  5. Sequência de riscos: a ordem cronológica das atividades potencialmente arriscadas é um aspeto importante da investigação de risco e a identificação destas atividades relacionadas é uma parte importante da avaliação do risco geral para a sua organização. As atividades de alerta relacionadas são apresentadas com linhas de ligação para realçar que estas atividades estão associadas a uma área de risco maior. As sequências também são identificadas nesta vista por um ícone posicionado acima das atividades de sequência em relação à classificação de risco da sequência. Paire o cursor sobre o ícone para ver a data e hora da atividade de risco associada a esta sequência. Esta visão das atividades pode ajudar os investigadores literalmente a "ligar os pontos" para atividades de risco que poderiam ter sido vistas como eventos isolados ou pontuais. Selecione o ícone ou qualquer bolha na sequência para apresentar os detalhes de todas as atividades de risco associadas. Os detalhes incluem:

    • Nome da sequência.
    • Intervalo de datas ou datas da sequência.
    • Pontuação de risco para a sequência. Esta classificação é a classificação numérica para a sequência dos níveis de gravidade de risco de alerta combinados para cada atividade relacionada na sequência.
    • Número de eventos associados a cada alerta na sequência. Também estão disponíveis ligações para cada ficheiro ou e-mail associado a cada atividade potencialmente arriscada.
    • Mostrar atividades em sequência. Apresenta a sequência como uma linha de realce no gráfico de bolhas e expande os detalhes do alerta para apresentar todos os alertas relacionados na sequência.
  6. Atividade e detalhes de alertas de risco: as atividades potencialmente arriscadas são apresentadas visualmente como bolhas coloridas no gráfico de atividade Utilizador. As bolhas são criadas para diferentes categorias de risco. Selecione uma bolha para apresentar os detalhes de cada atividade potencialmente arriscada. Os detalhes incluem:

    • Data da atividade de risco.
    • A categoria de atividade de risco. Por exemplo, Email com anexos enviados para fora da organização ou Ficheiro(s) transferidos do SharePoint Online.
    • Classificação de para o alerta. Esta pontuação é a pontuação numérica para o nível de gravidade de risco de alerta.
    • Número de eventos ao alerta. Também estão disponíveis ligações para cada ficheiro ou e-mail associado à atividade de risco.
  7. Atividades de exfiltração cumulativas: selecione para ver um gráfico visual de como a atividade está a aumentar ao longo do tempo para o utilizador.

  8. Legenda da atividade de risco: na parte inferior do gráfico de atividades do utilizador, uma legenda codificada por cores ajuda-o a determinar rapidamente a categoria de risco para cada alerta.

Separador Explorador de atividades

Observação

O Explorador de atividades está disponível na área de gestão de alertas para utilizadores com eventos de acionamento após esta funcionalidade estar disponível na sua organização.

O Explorador de atividades fornece aos investigadores e analistas de risco uma ferramenta de análise abrangente que fornece informações detalhadas sobre alertas. Com o Explorador de atividades, os revisores podem rever rapidamente uma linha do tempo de atividade potencialmente arriscada detetada e identificar e filtrar todas as atividades de risco associadas aos alertas.

Utilizar o Explorador de atividades

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Na dashboard Alertas, selecione o alerta que pretende fazer a triagem.
  5. No painel de detalhes Alertas, selecioneAbrir vista expandida.
  6. Na página do alerta selecionado, selecione o separador Explorador de atividades .

Ao rever as atividades no Explorador de atividades, os investigadores e analistas podem selecionar uma atividade específica e abrir o painel de detalhes da atividade. O painel apresenta informações detalhadas sobre a atividade que os investigadores e analistas podem utilizar durante o processo de triagem de alertas. As informações detalhadas podem fornecer contexto para o alerta e ajudar a identificar o âmbito completo da atividade de risco que acionou o alerta.

Ao selecionar os eventos de uma atividade a partir da atividade linha do tempo, o número de atividades apresentadas no explorador poderá não corresponder ao número de eventos de atividade listados no linha do tempo. Exemplos do motivo pelo qual esta diferença pode ocorrer:

  • Deteção cumulativa de exfiltração: a deteção de exfiltração cumulativa analisa os registos de eventos, mas aplica um modelo que inclui a eliminação de duplicados de atividades semelhantes para calcular o risco de exfiltração cumulativa. Além disso, também pode haver uma diferença no número de atividades potencialmente arriscadas apresentadas no Explorador de atividades se tiver efetuado alterações à sua política ou definições existentes. Por exemplo, se modificar domínios permitidos/não permitidos ou adicionar novas exclusões de tipo de ficheiro após a criação de uma política e ocorrerem correspondências de atividade potencialmente arriscadas, as atividades de deteção de exfiltração cumulativa serão diferentes dos resultados antes de a política ou as definições serem alteradas. Os totais cumulativos da atividade de deteção de exfiltração baseiam-se na configuração de políticas e definições no momento da computação e não incluem atividades antes das alterações da política e das definições.
  • E-mails para destinatários externos: é atribuída uma classificação de risco a uma atividade potencialmente arriscada para e-mails enviados para destinatários externos com base no número de e-mails enviados, o que pode não corresponder aos registos de eventos de atividade.

Detalhes do explorador de atividades de gestão de riscos internos.

Sequências que contêm eventos excluídos da classificação de risco

Uma sequência pode conter um ou mais eventos excluídos da classificação de risco com base na configuração das definições. Por exemplo, a sua organização pode utilizar a definição Exclusões globais para excluir .png ficheiros da classificação de risco, uma vez que .png ficheiros normalmente não são arriscados. No entanto, um ficheiro .png pode ser utilizado para obstinar uma atividade maliciosa. Por este motivo, se um evento excluído da classificação de risco fizer parte de uma sequência devido a uma atividade de ocultação, o evento é incluído na sequência, uma vez que pode ser interessante no contexto da sequência.

O Explorador de atividades apresenta as seguintes informações para eventos excluídos em sequências:

  • Se uma sequência contiver um passo em que todos os eventos são excluídos, as informações incluem apenas o nome e a data da atividade. Selecione a ligação Ver os eventos excluídos para filtrar os eventos excluídos no Explorador de atividades. O ícone de gráfico de dispersão de atividade do utilizador tem uma classificação de risco de 0 se todos os eventos forem excluídos.
  • Se uma sequência tiver uma informação em que alguns eventos são excluídos, as informações do evento para os eventos não iludidos são apresentadas, mas a contagem de eventos não inclui os eventos excluídos. Selecione a ligação Ver os eventos excluídos para filtrar os eventos excluídos no Explorador de atividades.
  • Se selecionar uma ligação de sequência para obter informações, pode desagregar a sequência de eventos no painel de detalhes da atividade, incluindo quaisquer eventos excluídos da classificação. Um evento excluído da classificação é marcado como Excluído.
Filtrar alertas no Explorador de atividades

Para filtrar alertas no Explorador de atividades para obter informações sobre colunas, selecione Filtros. Pode filtrar alertas por um ou mais atributos listados no painel de detalhes do alerta. O Explorador de atividades também suporta colunas personalizáveis para ajudar os investigadores e analistas a concentrar as dashboard nas informações mais importantes para as mesmas.

Utilize os filtros Âmbito de atividade, Fator de risco e Rever status para apresentar e ordenar atividades e informações para as seguintes áreas.

  • Âmbito da atividade: filtra todas as atividades classificadas para o utilizador.

    • Toda a atividade classificada para este utilizador
    • Atividade classificada apenas neste alerta
  • Fator de risco: filtros para a atividade do fator de risco aplicável a todas as políticas que atribuem classificações de risco Isto inclui toda a atividade para todas as políticas para utilizadores no âmbito.

    • Atividade invulgar
    • Inclui eventos com conteúdo prioritário
    • Inclui eventos com domínio não permitido
    • Atividades de sequência
    • Atividades de exfiltração cumulativa
    • Atividades de acesso a registos de estado de funcionamento
    • Utilização de browsers de risco
  • Reveja status: status de revisão da atividade filtros.

    • Todos
    • Ainda não revisto (filtra qualquer atividade que fazia parte de um alerta dispensado ou resolvido)

Descrição geral do explorador de atividades de gestão de riscos internos

Guardar uma vista de um filtro para reutilizar mais tarde

Se criar um filtro e personalizar colunas para o filtro, pode guardar uma vista das suas alterações para que você ou outras pessoas possam filtrar rapidamente as mesmas alterações novamente mais tarde. Quando guarda uma vista, guarda os filtros e as colunas. Quando carrega a vista, esta carrega filtros e colunas guardados.

  1. Criar um filtro e personalizar colunas.

    Dica

    Se quiser recomeçar a qualquer momento, selecione Repor. Para alterar as colunas que personalizou, selecione Repor colunas.

  2. Quando tiver o filtro como pretende, selecione Guardar esta vista, introduza um nome para a vista e, em seguida, selecione Guardar.

    Observação

    O comprimento máximo de um nome de vista é de 40 carateres e não pode utilizar carateres especiais.

  3. Para reutilizar a vista do filtro mais tarde, selecione Vistas e, em seguida, selecione a vista que pretende abrir no separador Vistas recomendadas (mostra as vistas mais utilizadas) ou no separador Vistas personalizadas (os filtros mais utilizados são apresentados na parte superior da lista).

Quando seleciona uma vista desta forma, esta repõe todos os filtros existentes e substitui-os pela vista que selecionou.

Status de alerta e gravidade

Observação

O gerenciamento de risco interno usa a limitação de alerta incorporada para ajudar a proteger e otimizar sua experiência de investigação de risco e revisão. Esta limitação protege contra problemas que podem resultar numa sobrecarga de alertas de políticas, como conectores de dados configurados incorretamente ou políticas de prevenção de perda de dados. Como resultado, pode haver um atraso na exibição de novos alertas para um usuário.

Pode fazer a triagem de alertas num dos seguintes estados:

  • Confirmado: um alerta confirmado e atribuído a um caso novo ou existente.
  • Dispensado: um alerta considerado benigno no processo de triagem. Pode fornecer um motivo para o despedimento do alerta e incluir notas que estão disponíveis no histórico de alertas do utilizador para fornecer contexto adicional para referência futura ou para outros revisores. As razões podem variar entre atividades esperadas, eventos não relacionados, simplesmente reduzir o número de atividades de alerta para o utilizador ou um motivo relacionado com as notas de alerta. As opções de classificação do motivo incluem Atividade esperada para este utilizador, Atividade tem impacto suficiente para que eu investigue mais eos Alertas para este utilizador contêm demasiada atividade.
  • Precisa de revisão: um novo alerta onde as ações de triagem ainda não foram executadas.
  • Resolvido: um alerta que faz parte de um caso fechado e resolvido.

As classificações de risco de alerta são calculadas automaticamente a partir de vários indicadores de atividade de risco. Estes indicadores incluem o tipo de atividade de risco, o número e a frequência da ocorrência da atividade, o histórico da atividade de risco dos utilizadores e a adição de riscos de atividade que podem aumentar a gravidade da atividade potencialmente arriscada. A classificação de risco de alerta gera a atribuição programática de um nível de gravidade de risco para cada alerta e não pode ser personalizada. Se os alertas permanecerem inalterados e as atividades de risco continuarem a acumular-se no alerta, o nível de gravidade de risco pode aumentar. Os analistas e investigadores de risco podem utilizar a gravidade do risco de alerta para ajudar a fazer a triagem de alertas de acordo com as políticas e normas de risco da sua organização.

Os níveis de gravidade do risco de alerta são:

  • Gravidade elevada: as atividades e indicadores potencialmente arriscados para o alerta representam um risco significativo. As actividades de risco associadas são graves, repetitivas e são fortemente fundamentadas para outros fatores de risco significativos.
  • Gravidade média: as atividades e indicadores potencialmente arriscados para o alerta representam um risco moderado. As atividades de risco associadas são moderadas, frequentes e têm alguma correlação com outros fatores de risco.
  • Baixa gravidade: as atividades e indicadores potencialmente arriscados para o alerta representam um risco menor. As atividades de risco associadas são menores, mais pouco frequentes e não se baseiam noutros fatores de risco significativos.

Dispensar vários alertas (pré-visualização)

Pode ajudar a poupar tempo de triagem para analistas e investigadores dispensarem imediatamente múltiplos alertas ao mesmo tempo. A opção Dispensar alertas da barra de comandos permite-lhe selecionar um ou mais alertas com uma status de revisão de Necessidades no dashboard e descartar rapidamente estes alertas como benignos conforme adequado no processo de triagem. Pode selecionar até 400 alertas para dispensar de uma só vez.

Dispensar um alerta de risco interno

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Na dashboard Alertas, selecione o alerta (ou alertas) que tem uma status De revisão de necessidades.
  5. Na barra de comando Alertas, selecione Dispensar alertas.
  6. No painel Dispensar detalhes de alertas , reveja os detalhes do utilizador e da política associados aos alertas selecionados.
  7. Selecione Dispensar alertas para resolve os alertas como benignos.

Relatórios de alertas

Para ver relatórios de alertas, aceda à página Relatórios . Cada widget de relatório na página Relatórios apresenta informações dos últimos 30 dias:

  • Total de alertas que precisam de ser revistos: o número total de alertas que necessitam de revisão e triagem são listados, incluindo uma discriminação por gravidade do alerta.
  • Alertas abertos nos últimos 30 dias: o número total de alertas criados por correspondências de políticas nos últimos 30 dias, ordenados por níveis de gravidade de alertas elevados, médios e baixos.
  • Tempo médio para resolve alertas: um resumo das estatísticas de alerta úteis:
    • Tempo médio para resolver alertas de alta gravidade, listados em horas, dias ou meses.
    • Tempo médio para resolver alertas de média gravidade, listados em horas, dias ou meses.
    • Tempo médio para resolver alertas de baixa gravidade, listados em horas, dias ou meses.

Atribuir um alerta

Se for um administrador e for membro do grupo de funções Gestão de Riscos Internos, Analistas de Gestão de Riscos Internos ou Investigadores de Gestão de Risco Interno , pode atribuir a propriedade de um alerta a si próprio ou a um utilizador de gestão de risco interno com uma das mesmas funções. Depois de um alerta ser atribuído, também pode reatribuí-lo a um utilizador com qualquer uma das mesmas funções. Só pode atribuir um alerta a um administrador de cada vez.

Observação

Se as políticas estiverem confinadas por uma ou mais unidades administrativas, a propriedade de um alerta só pode ser dada aos utilizadores de gestão de riscos internos com as permissões adequadas do grupo de funções e o utilizador realçado no alerta tem de estar no âmbito da unidade de administração. Por exemplo, se um âmbito administrativo se aplicar apenas a utilizadores na Alemanha, o utilizador de gestão de riscos internos só pode ver alertas para os utilizadores na Alemanha. Os administradores sem restrições podem ver todos os alertas para todos os utilizadores na organização.

Após a atribuição de um administrador, pode procurar por administrador.

Observação

Os administradores contidos num grupo de segurança Microsoft Entra não são suportados para atribuição de alertas. Os administradores têm de ser diretamente atribuídos a uma das funções necessárias.

Se estiver a utilizar um grupo personalizado, certifique-se de que o grupo personalizado contém a função Gestão de casos. Os Analistas de Gestão de Riscos Internos e os grupos de funções Investigadores de Gestão de Risco Interno contêm a função gestão de casos , mas se estiver a utilizar um grupo personalizado, tem de adicionar explicitamente a função gestão de Casos ao grupo.

Atribuir um alerta a partir do dashboard Alertas

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Na dashboard Alertas, selecione os alertas que pretende atribuir.
  5. Na barra de comandos acima da fila de alertas, selecione Atribuir.
  6. No painel Atribuir proprietário no lado direito do ecrã, procure um administrador com as permissões adequadas e, em seguida, selecione a caixa de verificação desse administrador.
  7. Selecione Atribuir.

Atribuir um alerta a partir da página de detalhes Alertas

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Selecione um alerta.
  5. No painel de detalhes do alerta, no canto superior direito da página, selecione Atribuir.
  6. Na lista Contactos sugeridos , selecione o administrador adequado.

Criar um caso para um alerta

Pode criar um caso para um alerta se quiser investigar mais aprofundadamente a atividade potencialmente arriscada.

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Alertas no painel de navegação esquerdo.
  4. Na dashboard Alertas, selecione o alerta para o qual pretende confirmar e crie um novo caso.
  5. No painel Detalhes dos alertas, selecione Ações>Confirmar alertas & criar caso.
  6. Na caixa de diálogo Confirmar alerta e criar casos de risco interno , introduza um nome para o caso, selecione os utilizadores a adicionar como contribuidores e adicione comentários conforme aplicável. Os comentários são adicionados automaticamente ao caso como uma nota de caso.
  7. Selecione Criar caso para criar um novo caso.

Após a criação do caso, os investigadores e analistas podem gerir e agir sobre o caso. Para obter mais informações, veja o artigo Caso de gestão de riscos internos.

Retenção e limites de itens

À medida que os alertas de gestão de riscos internos envelhecem, o respetivo valor para minimizar a atividade potencialmente arriscada diminui para a maioria das organizações. Por outro lado, os casos ativos e os artefactos associados (alertas, informações, atividades) são sempre valiosos para as organizações e não devem ter uma data de expiração automática. Isto inclui todos os futuros alertas e artefactos num status ativo para qualquer utilizador associado a um caso ativo.

Para ajudar a minimizar o número de itens mais antigos que fornecem um valor atual limitado, aplicam-se os seguintes limites e retenção para alertas, casos e relatórios de utilizadores internos:

Item Retenção/Limite
Alertas com Análise de necessidades status 120 dias após a criação do alerta e, em seguida, eliminado automaticamente
Casos ativos (e artefactos associados) Retenção indefinida, nunca expirar
Casos resolvidos (e artefactos associados) 120 dias após a resolução do caso e, em seguida, eliminado automaticamente
Número máximo de casos ativos 100
Relatórios de atividades do utilizador 120 dias após a criação do relatório e, em seguida, eliminado automaticamente

Melhores práticas para gerenciar o volume de alertas

Rever, investigar e agir sobre alertas internos potencialmente arriscados são partes importantes da minimização dos riscos internos na sua organização. Tomar medidas rápidas para minimizar o impacto destes riscos pode potencialmente poupar tempo, dinheiro e ramificações regulamentares ou legais para a sua organização. Saiba mais sobre as melhores práticas para gerir a fila de alertas de gestão de riscos internos

Confira também