Partilhar dados de gestão de riscos internos com outras soluções
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.
Pode partilhar dados da gestão de riscos internos de qualquer uma das seguintes formas:
- Exportar informações de alerta para soluções SIEM
- Partilhar níveis de gravidade de risco do utilizador com alertas de prevenção de perda de dados (DLP) do Microsoft Defender XDR e do Microsoft Purview
Exportar informações de alerta para soluções SIEM
Gerenciamento de Risco Interno do Microsoft Purview informações de alerta são exportáveis para informações de segurança e soluções de gestão de eventos (SIEM) e resposta automatizada de orquestração de segurança (SOAR) com o esquema da API de Atividade de Gestão de Office 365. Pode utilizar as APIs de Atividade de Gestão de Office 365 para exportar informações de alerta para outras aplicações que a sua organização possa utilizar para gerir ou agregar informações de risco interno. As informações de alerta são exportadas e disponíveis a cada 60 minutos através das APIs de Atividade de Gestão do Office 365.
Dica
Comece a utilizar Microsoft Security Copilot para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre Microsoft Security Copilot no Microsoft Purview.
Se a sua organização utilizar Microsoft Sentinel, também pode utilizar o conector de dados de gestão de riscos internos inativos para importar informações de alerta de risco interno para Sentinel. Para obter mais informações, veja Gestão de Riscos Internos no artigo Microsoft Sentinel.
Importante
Para manter a integridade referencial dos utilizadores que têm alertas ou casos de risco interno no Microsoft 365 ou noutros sistemas, a anonimização dos nomes de utilizador não é preservada para alertas exportados ao utilizar a API de exportação ou ao exportar para soluções Descoberta Eletrônica do Microsoft Purview. Neste caso, os alertas exportados apresentarão nomes de utilizador para cada alerta. Se estiver a exportar para ficheiros CSV a partir de alertas ou casos, a anonimização é preservada.
Utilizar as APIs para rever informações de alertas de risco interno
Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.
Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.
- Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
- Selecione Definições no canto superior direito da página.
- Selecione Gestão de Riscos Internos para aceder às definições de gestão de riscos internos.
- Selecione Exportar alertas. Por predefinição, esta definição está desativada para a sua organização do Microsoft 365.
- Mude a definição para Ativado.
- Filtre as atividades comuns de auditoria Office 365 por SecurityComplianceAlerts.
- Filtre SecurityComplianceAlerts pela categoria InsiderRiskManagement .
As informações de alerta contêm informações do esquema Alertas de Segurança e Conformidade e do esquema comum da API de Atividade de Gestão de Office 365.
Os seguintes campos e valores são exportados para alertas de gestão de riscos internos para o esquema Alertas de Segurança e Conformidade:
Parâmetro de alerta | Descrição |
---|---|
AlertType | O tipo de alerta é Personalizado. |
AlertId | O GUID do alerta. Os alertas de gestão de riscos internos são mutáveis. À medida que o alerta status é alterado, é gerado um novo registo com o mesmo AlertID. Este AlertID pode ser utilizado para correlacionar atualizações para um alerta. |
Categoria | A categoria do alerta é InsiderRiskManagement. Esta categoria pode ser utilizada para distinguir destes alertas de outros alertas de segurança e conformidade. |
Comments | Comentários predefinidos para o alerta. Os valores são Novo Alerta (registado quando é criado um alerta) e Alerta Atualizado (registado quando existe uma atualização para um alerta). Utilize o AlertID para correlacionar as atualizações de um alerta. |
Data | Os dados do alerta incluem o ID de utilizador exclusivo, o nome principal de utilizador e a data e hora (UTC) quando o utilizador foi acionado numa política. |
Nome | Nome da política para a política de gestão de riscos internos que gerou o alerta. |
PolicyId | O GUID da política de gestão de riscos internos que acionou o alerta. |
Severity | A gravidade do alerta. Os valores são Alto, Médio ou Baixo. |
Origem | A origem do alerta. O valor é Office 365 Conformidade & de Segurança. |
Status | A status do alerta. Os valores estão Ativos (Precisa de Revisão no risco interno), Investigação (Confirmado em risco interno), Resolvido (Resolvido em risco interno), Dispensado (Dispensado em risco interno). |
Versão | A versão do esquema Alertas de Segurança e Conformidade. |
Os seguintes campos e valores são exportados para alertas de gestão de riscos internos para o esquema comum da API de Atividade de Gestão de Office 365.
- UserId
- Id
- RecordType
- CreationTime
- Operação
- OrganizationId
- UserType
- UserKey
Partilhar níveis de gravidade de alertas com outras soluções de segurança da Microsoft
Pode partilhar níveis de gravidade de alertas da gestão de riscos internos para trazer contexto de utilizador exclusivo para alertar experiências de investigação nas seguintes soluções de segurança da Microsoft:
Microsoft Defender XDR Conformidade de Comunicações do Microsoft Purview prevenção de perda de dados (DLP) do Microsoft Purview
A gestão de riscos internos analisa as atividades dos utilizadores durante um período de 90 a 120 dias e procura comportamentos anómalos durante esse período de tempo. Adicionar estes dados a outras soluções de segurança melhora os dados disponíveis nessas soluções para ajudar os analistas a priorizar alertas.
Dica
Os níveis de gravidade dos alertas na gestão de riscos internos são diferentes dos níveis de risco interno definidos na Proteção Adaptável.
- Os níveis de gravidade dos alertas (Baixo, Médio ou Alto) são atribuídos aos utilizadores com base na atividade detetada nas políticas de gestão de riscos internos. Estes níveis são calculados com base nas classificações de risco de alerta atribuídas a todos os alertas ativos associados ao utilizador. Estes níveis ajudam os analistas de risco interno e os investigadores a priorizar e responder à atividade dos utilizadores em conformidade.
- Os níveis de risco interno (Elevado, Moderado ou Menor) na Proteção Adaptável são uma medida de risco determinada pelas condições definidas pelo administrador, como o número de atividades de exfiltração que os utilizadores realizam num dia ou se a atividade gerou um alerta de risco interno de alta gravidade.
O que acontece quando partilha níveis de gravidade de alertas de gestão de risco interno?
Em Microsoft Defender XDR
Página Incidentes DLP: é adicionado um campo de gravidade de risco Interno à secção Ativos afetados da página Incidentes DLP Microsoft Defender para utilizadores com um nível de risco Alto ou Médio na gestão de riscos internos. Se o utilizador tiver um nível de baixo risco, nada é adicionado à página Incidentes. Isto mantém as distrações no mínimo para os analistas, para que possam concentrar-se nas atividades de utilizador mais arriscadas.
Pode selecionar o nível de risco na secção Ativos afetados para ver um resumo da atividade de risco interno e linha do tempo de atividade para esse utilizador. Ter até 120 dias de análise pode ajudar o analista a determinar o risco geral das atividades do utilizador.
Se selecionar o evento DLP na página de correspondência da política DLP, é apresentada uma secção Entidades afetadas na secção correspondência da política DLP que mostra todos os utilizadores que correspondem à política.
Página Utilizadores: é adicionado um campo de gravidade de risco Interno à página Utilizadores para utilizadores com um nível de risco Alto, Médio ou Baixo na gestão de riscos internos. Estes dados estão disponíveis para todos os utilizadores com um alerta de gestão de risco interno ativo.
É apresentado um resumo da atividade de risco interno e linha do tempo de atividade para esse utilizador no lado direito da página Utilizadores.
Em alertas de conformidade de comunicação
Para cada correspondência de política de conformidade de comunicação , pode ver a gravidade de risco do utilizador associada ao remetente. Veja estas informações no separador Atividade do utilizador em comunicação para o alerta. Esta vista fornece perfis de risco, correspondências de políticas e atividades de utilizador capturadas pela gestão de riscos internos e conformidade de comunicação.
Os níveis de gravidade são categorizados como Alto, Médio, Baixo ou Nenhum.
Para níveis de gravidade de risco de Nenhum, o motivo pode ser para qualquer um dos seguintes cenários:
- O utilizador não está incluído numa política de risco interno.
- Não é atribuída uma classificação de risco às atividades do utilizador, o que significa que o utilizador não está no âmbito ativo da política.
- O utilizador está incluído numa política de gestão de riscos internos, mas não se envolveu em nenhuma atividade de risco.
- A organização não tem uma política de gestão de riscos internos ativa.
Se a gravidade do risco do utilizador não estiver disponível, a partilha de dados não será ativada a partir da gestão de riscos internos.
Pode ver atividades de risco interno durante um máximo de 120 dias na secção Ver Detalhes no separador Histórico de utilizadores na gestão de riscos internos. Atualmente, apenas os dados dos indicadores de exfiltração são apresentados no resumo da atividade do utilizador em conformidade com a comunicação.
Em alertas DLP
Para a política de gestão de riscos internos associada ao alerta DLP, é adicionada uma coluna de gravidade de risco Interno com valores de Alto, Médio, Baixo ou Nenhum à fila de alertas DLP. Se existirem vários utilizadores com atividades que correspondam à política, será apresentado o utilizador com o nível de risco interno mais elevado.
Um valor de Nenhum pode significar qualquer um dos seguintes:
O utilizador não faz parte de nenhuma política de gestão de riscos internos.
O utilizador faz parte de uma política de gestão de riscos internos, mas não fez atividades de risco para se colocar no âmbito da política (não existem dados de transferência de dados não autorizadas).
Pode selecionar o nível de risco interno na fila de alertas DLP para aceder ao separador Resumo da atividade do utilizador, que mostra uma linha do tempo de todas as atividades de transferência de ficheiros para esse utilizador nos últimos 90 a 120 dias. Tal como na fila de alertas DLP, o separador Resumo da atividade do utilizador mostra o utilizador com o nível de risco interno mais elevado. Este contexto aprofundado sobre o que um utilizador fez nos últimos 90 a 120 dias fornece uma visão mais ampla dos riscos apresentados por esse utilizador.
Apenas os dados de indicadores de exfiltração são apresentados no resumo da atividade do utilizador. Os dados de outros indicadores confidenciais, como RH, navegação, etc., não são partilhados com alertas DLP.
É adicionada uma secção Detalhes do ator à página de detalhes do Alerta DLP. Pode utilizar esta página para ver todos os utilizadores envolvidos no alerta DLP específico. Para cada utilizador envolvido no alerta DLP, pode ver todas as atividades de exfiltração dos últimos 90 a 120 dias.
Se selecionar Obter um resumo de Security Copilot num alerta DLP, o resumo do alerta fornecido pelo Microsoft Security Copilot inclui o nível de gravidade da gestão de riscos internos, além das informações de resumo do DLP, se o utilizador estiver no âmbito de uma política de gestão de riscos internos.
Dica
Também pode utilizar Security Copilot para investigar alertas DLP. Se a definição De partilha de dados da gestão de riscos internos estiver ativada, pode efetuar uma investigação combinada de gestão de riscos internos/DLP. Por exemplo, poderá querer começar por pedir ao Copilot para resumir um alerta DLP e, em seguida, pedir ao Copilot para mostrar o nível de risco interno associado ao utilizador sinalizado no alerta. Em alternativa, poderá querer perguntar por que motivo o utilizador é considerado um utilizador de alto risco. As informações de risco do utilizador neste caso provêm da gestão de riscos internos. Security Copilot integra totalmente a gestão de riscos internos com dLP para ajudar nas investigações. Saiba mais sobre como utilizar a versão autónoma do Copilot para investigações combinadas de gestão de riscos DLP/insider.
Pré-requisitos
Para partilhar níveis de risco de utilizadores de gestão de riscos internos com outras soluções de segurança da Microsoft, o utilizador:
- Tem de fazer parte de uma política de gestão de riscos internos.
- Tem de ter realizado atividades de exfiltração que coloquem o utilizador no âmbito da política.
- (Para partilhar com DLP): tem de ter permissões de alerta DLP. Depois de ativada a definição Partilha de dados, os utilizadores com permissões de alerta DLP podem aceder ao contexto de gestão de riscos internos para a investigação de alertas DLP e para a página Utilizadores do Microsoft Defender XDR. Os utilizadores com permissões de gestão de riscos internos também podem aceder a estes dados.
- (Para partilhar com conformidade de comunicação): os utilizadores têm de ter as funções Analista de Conformidade de Comunicações ou Investigador de Conformidade de Comunicações para ver os níveis de gravidade de risco do utilizador e o histórico de atividade na conformidade de comunicação.
Dica
Se tiver acesso a alertas DLP no Microsoft Purview e/ou Microsoft Defender, pode ver o contexto de utilizador da gestão de riscos internos partilhado com essas soluções.
Partilhar dados com outras soluções de segurança da Microsoft
Pode partilhar níveis de gravidade de alertas de gestão de riscos internos com outras soluções de segurança da Microsoft ao ativar uma única definição.
- Nas definições de gestão de riscos internos, selecione a definição Partilha de dados .
- Na secção Partilhar dados com outras soluções de segurança da Microsoft , ative a definição.
Observação
Se não ativar esta definição, o valor apresentado na coluna DLP alertas Gravidade de risco interno é "Os dados do utilizador não estão disponíveis" e é apresentado como "Atividade de Risco Interno não disponível" em conformidade com a comunicação.