Descrever o gerenciamento de risco interno no Microsoft Purview

  • 6 minutos

O Gerenciamento de Risco Interno do Microsoft Purview é uma solução que ajuda a minimizar os riscos internos, permitindo que uma organização detecte, investigue e atue em atividades arriscadas e maliciosas.

O gerenciamento e a minimização de riscos em uma organização começam com a compreensão dos tipos de risco encontrados no local de trabalho moderno. Alguns são controlados por eventos e fatores externos e estão fora do controle direto da organização. Outros riscos orientados por eventos internos e atividades de funcionários que podem ser eliminados e evitados. Alguns exemplos incluem:

  • Vazamentos de dados confidenciais
  • Violações de confidencialidade
  • Roubo de propriedade intelectual (IP)
  • Fraude
  • Informações privilegiadas
  • Violações de conformidade regulatória

O gerenciamento de risco interno baseia-se nos seguintes princípios:

  • Transparência: equilibre a privacidade do usuário e o risco da organização com uma arquitetura criada para a privacidade.
  • Configurável: políticas configuráveis com base em grupos de negócios, geográficos e de mercado.
  • Integrado: fluxo de trabalho integrado entre as soluções do Microsoft Purview.
  • Acionável: fornece insights para habilitar as notificações de usuário e as investigações de dados e de usuários.

Fluxo de trabalho de gerenciamento de risco interno

O gerenciamento de risco interno ajuda as organizações a identificar, investigar e resolver os riscos internos. Com modelos de política focados, sinalização abrangente de atividades no Microsoft 365 e um fluxo de trabalho flexível, as organizações podem usar insights práticos na rápida identificação e resolução de comportamentos de risco. É possível identificar e resolver atividades de risco interno e problemas de conformidade com o gerenciamento de risco interno no Microsoft Purview usando o seguinte fluxo de trabalho:

Um diagrama do fluxo de trabalho de gerenciamento de riscos interno.

  • Políticas – Políticas de gerenciamento de risco interno são criadas por meio de modelos predefinidos e condições de política para definir quais indicadores de risco são examinados nas áreas de recursos do Microsoft 365. Essas condições incluem como os indicadores são usados para alertas, quais usuários estão incluídos na política, quais serviços são priorizados e o período de monitoramento.

  • Alertas – os alertas são gerados automaticamente por indicadores de risco que correspondem às condições da política e são exibidos na página de alertas, que fornece uma visão rápida de todos os alertas que precisam de revisão, alertas abertos ao longo do tempo e estatísticas de alertas para a organização. Os alertas DLP também podem ser exibidos no portal do Microsoft Defender, onde são automaticamente combinados em incidentes que fornecem uma visão abrangente sobre possíveis violações de políticas e ferramentas avançadas para investigação e correção.

  • Triagem – Novas atividades que precisam de investigação geram automaticamente alertas que recebem um status Revisão pendente. Os revisores da organização podem identificar rapidamente esses alertas e fazer a avaliação e a triagem de cada um deles. Para resolvê-los, é necessário abrir um novo caso, atribuir os alertas a um caso existente ou ignorá-los. Como parte do processo de triagem, os revisores podem ver detalhes do alerta para a correspondência da política, a atividade do usuário associada à correspondência e a severidade do alerta, além de revisar as informações do perfil do usuário.

  • Investigação – Casos são criados para os alertas que requerem análise e investigação aprofundadas dos detalhes e das circunstâncias relacionados à correspondência de política. A página de casos fornece uma exibição geral de todos os casos ativos, casos abertos ao longo do tempo e estatísticas de casos para a organização. A seleção de um caso o abre para investigação e análise. Nesta área, os revisores encontram uma visão integrada que sintetiza as atividades de risco, as condições de política e os detalhes dos alertas e do usuário. As principais ferramentas de investigação nesta área são:

    • Atividade do usuário: a atividade de risco do usuário é exibida automaticamente em um gráfico interativo que plota atividades ao longo do tempo e por nível de risco para atividades de risco atuais ou passadas. Os revisores podem filtrar e exibir rapidamente todo o histórico de risco do usuário e analisar atividades específicas para obter mais detalhes.
    • Explorador de conteúdo: todos os arquivos de dados e mensagens de email associados a atividades de alerta são capturados e exibidos automaticamente no Explorador de conteúdo. Os revisores podem filtrar e exibir arquivos e mensagens por fonte de dados, tipo de arquivo, marcas, conversa e muitos outros atributos.
    • Observações do caso: os revisores podem fornecer observações para um caso na seção Observações de caso. Esta lista consolida todas as anotações em uma exibição central e inclui informações enviadas pelo revisor e pela data.

  • Ações – Depois que os casos são investigados, os revisores podem tomar medidas rapidamente para resolvê-los ou colaborar com outros participantes da organização relacionados ao risco. As ações podem ser tão simples quanto o envio de uma notificação quando os funcionários violam acidentalmente ou por negligência as condições da política. Em casos mais graves, os revisores podem precisar compartilhar as informações do caso de gerenciamento de risco interno com outros revisores da organização. O escalonamento de um caso para investigação possibilita a transferência de dados e o gerenciamento do caso para a Descoberta Eletrônica no Microsoft Purview.

O gerenciamento de risco interno pode ajudar você a detectar, investigar e tomar medidas para reduzir os riscos internos de sua organização em vários cenários comuns. Esses cenários incluem roubo de dados por funcionários, o vazamento intencional ou não de informações confidenciais, comportamento ofensivo, entre outros.

Integração ao Microsoft Security Copilot

O Gerenciamento de Risco Interno do Microsoft Purview é compatível com a integração ao Microsoft Security Copilot por meio das experiências autônomas e inseridas.

Para experimentar a integração do Copilot, as organizações devem ser integradas ao Copilot, habilitaram o Copilot para acessar dados dos serviços do Microsoft 365 e os usuários devem ter as permissões de função apropriadas.

Os recursos do Microsoft Purview, que você pode exibir na experiência autônoma selecionando o ícone de solicitação e selecionando todos os recursos, são solicitações internas que você pode usar, mas também pode inserir suas próprias solicitações com base nos recursos com suporte.

Captura de tela dos recursos do Microsoft Purview disponíveis no Microsoft Security Copilot.

Na experiência inserida, o Copilot no Gerenciamento de Risco Interno do Microsoft Purview dá suporte à resumo de alertas. Para acessar o Copilot de dentro do Gerenciamento de Risco Interno do Microsoft Purview, navegue até a fila de alertas para selecionar o alerta que você deseja examinar. Informações sobre o alerta e a opção de resumir o alerta são exibidas. Selecione Resumir para que o Copilot gere o resumo do alerta.