Compartilhar via

Rever atividades com o registo de auditoria de gestão de riscos internos

  • Artigo

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

O registo de auditoria da gestão de riscos internos permite-lhe manter-se informado sobre as ações realizadas nas funcionalidades de gestão de riscos internos. Este registo permite uma revisão independente das ações realizadas pelos utilizadores atribuídos a um ou mais grupos de funções de gestão de risco interno. O registo de auditoria da gestão de riscos internos é ativado automaticamente na sua organização e não pode ser desativado.

Registo de auditoria da gestão de riscos internos.

O registo de auditoria é atualizado automaticamente e imediatamente sempre que forem detetadas atividades de risco identificadas. O registo de auditoria retém informações durante 180 dias (cerca de seis meses). Após 180 dias, os dados são eliminados permanentemente do registo.

As áreas na deteção de atividade de risco identificada incluem:

  • Políticas
  • Casos
  • Alertas
  • Configurações
  • Usuários
  • Modelos de aviso

Para ver e exportar dados do registo de auditoria, os utilizadores têm de ser atribuídos aos grupos de funções Insider Risk Management ou Insider Risk Management Auditors . Para saber mais sobre os grupos de funções de gestão de riscos internos, veja Introdução à gestão de riscos internos Passo 1: Ativar permissões.

Observação

O registo de auditoria da gestão de riscos internos não está associado ao registo de auditoria do Microsoft 365, uma vez que são sistemas de auditoria independentes e capturam informações em áreas separadas. Desativar a auditoria do Microsoft 365 não afeta a auditoria de atividade na gestão de riscos internos.

Dica

Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.

Ver a atividade no registo de auditoria de risco interno

Para ver a atividade de funcionalidade detetada para gestão de riscos internos, navegue para e selecione a ligação registo de auditoria de risco insider na área superior direita de qualquer separador gestão de riscos internos. Por predefinição, verá as seguintes informações apresentadas para atividades de gestão de riscos internos:

  • Atividade: Uma descrição da atividade de risco identificada realizada na solução de gestão de riscos internos por um utilizador.
  • Categoria: A área ou item onde a atividade de risco identificada foi realizada. Por exemplo, verá Políticas como a categoria quando foram realizadas atividades de alteração de política.
  • Atividade realizada por: O nome de utilizador do utilizador que efetuou a atividade de risco identificada.
  • Data: A data e hora em que a atividade de risco identificada foi realizada. A data e hora são a data e hora locais da sua organização.

Para obter mais informações sobre uma atividade registada, selecione a atividade para apresentar o painel de detalhes da atividade. Este painel inclui informações adicionais sobre a atividade de risco identificada.

Colunas e filtragem

Para facilitar a revisão dos registos de auditoria por parte dos auditores, a filtragem é suportada no registo de auditoria de risco do Insider. Para filtragem básica, as colunas de fila estão disponíveis para adicionar à vista para fornecer diferentes pivôs nos ficheiros e mensagens. Pode filtrar as atividades de risco identificadas pelos campos Categoria, Intervalo de datas e Atividade efetuada por campos.

Para adicionar ou remover cabeçalhos de coluna para a fila, utilize o controlo Personalizar colunas e selecione a partir das opções de coluna. Estas colunas mapeiam para condições comuns suportadas no registo de auditoria de risco interno e são listadas mais adiante neste artigo.

Exportação do registo de auditoria

Os utilizadores atribuídos aos grupos de funções Insider Risk Management ou Insider Risk Management Auditores podem exportar a atividade do registo de auditoria para um ficheiro de .csv (valores separados por vírgulas) ao selecionar Exportar na página de registo de auditoria de risco interno . Consoante a atividade do registo de auditoria, alguns campos podem não ser incluídos na fila filtrada, pelo que esses campos aparecerão em branco no ficheiro exportado.

O ficheiro contém informações de atividade do registo de auditoria para os seguintes campos:

  • Atividade realizada por: Nome do utilizador a modificar um valor de item. Os utilizadores aqui listados foram atribuídos a um ou mais dos seguintes grupos de funções de gestão de risco interno da função: Gestão de Risco Interno, Administradores de Gestão de Risco Interno, Analistas de Gestão de Risco Interno, Investigadores de Gestão de Riscos Internos. Cada grupo de funções tem diferentes níveis de permissão para gerir funcionalidades de risco interno.
  • Atividade: Tipo de atividade realizada num item. Os valores são Visualizados, Eliminados, Adicionados, Política editada, Caso, Utilizador, Alerta e Definições.
  • Adicionado: objetos que foram adicionados durante a atividade de risco identificada, como utilizadores, tipos de ficheiro ou domínios.
  • Volume de alerta: nível de volume de alerta definido nas definições de gestão de riscos internos.
  • Montante: valores de indicadores personalizados atualmente selecionados para uma política.
  • ID do Recurso: ID do recurso físico prioritário em que a atividade foi efetuada.
  • Categoria: Categoria do item modificado. Os valores são Políticas, Casos, Utilizadores, Alertas, Definições e Modelos de Aviso.
  • Data: Data e hora, listadas na data e hora locais da sua organização.
  • Descrição: introdução de descrição pelo utilizador para o objeto que está a ser executado (como uma política ou um grupo de utilizadores prioritário).
  • Política DLP: a política de Prevenção Contra Perda de Dados do Microsoft Purview (DLP) selecionada para acionar a inclusão numa política de gestão de riscos internos.
  • Indicador: indicador nas definições de risco interno em que a atividade foi realizada (como adicionar ou remover um indicador).
  • Modelo de aviso: observe o modelo no qual a atividade de risco identificada foi realizada.
  • Número de dias: janela de ativação de políticas definida nas definições de risco interno.
  • Número de ficheiros: limite de volume de ficheiros definido nas definições de gestão de riscos internos.
  • Modelo de política: o modelo de política ao qual os indicadores agiram pertence.
  • Montante anterior: valores de indicadores personalizados selecionados anteriormente para uma política.
  • Grupo de utilizadores prioritário: grupo de utilizadores prioritário em que a atividade de risco identificada foi realizada.
  • Removidos: objetos que foram removidos durante a atividade de risco identificada, como utilizadores, tipos de ficheiro ou domínios.
  • Remetente: campo Remetente do modelo de aviso no qual a atividade de risco identificada foi realizada.
  • Política de destino: a política na qual a atividade de risco identificada foi realizada (como adicionar um utilizador ou remover um utilizador).
  • Corpo da mensagem de modelo: o corpo da mensagem do modelo de aviso no qual a atividade de risco identificada foi realizada.
  • Assunto do modelo: o campo assunto do modelo de aviso no qual a atividade de risco identificada foi realizada.
  • Utilizador: Utilizador em que a atividade de risco identificada foi efetuada.