Descrever o gerenciamento de risco de insider no Microsoft Purview

  • 6 minutos

O Microsoft Purview Insider Risk Management é uma solução que ajuda a minimizar os riscos internos, permitindo que uma organização detete, investigue e aja em atividades arriscadas e maliciosas.

Gerenciar e minimizar o risco em uma organização começa com a compreensão dos tipos de riscos encontrados no local de trabalho moderno. Alguns riscos são impulsionados por eventos e fatores externos e estão fora do controle direto de uma organização. Outros riscos são impulsionados por eventos internos e atividades dos funcionários que podem ser eliminados e evitados. Alguns exemplos incluem:

  • Fugas de dados sensíveis e derrame de dados
  • Violações de confidencialidade
  • Roubo de propriedade intelectual (PI)
  • Investigação de
  • Abuso de informação privilegiada
  • Violações de conformidade regulatória

A gestão de risco de informação privilegiada está centrada nos seguintes princípios:

  • Transparência: equilibre a privacidade do usuário versus o risco da organização com a arquitetura de privacidade por design.
  • Configurável: políticas configuráveis com base em grupos industriais, geográficos e empresariais.
  • Integrado: fluxo de trabalho integrado em todas as soluções Microsoft Purview.
  • Acionável: fornece informações para permitir notificações de usuários, investigações de dados e investigações de usuários.

Fluxo de trabalho de gestão de risco interno

O gerenciamento de riscos internos ajuda as organizações a identificar, investigar e lidar com riscos internos. Com modelos de política focados, sinalização de atividade abrangente no Microsoft 365 e um fluxo de trabalho flexível, as organizações podem tirar proveito de informações acionáveis para ajudar a identificar e resolver comportamentos de risco rapidamente. A identificação e a resolução de atividades de risco interno e problemas de conformidade com o gerenciamento de riscos internos no Microsoft Purview são obtidas usando o seguinte fluxo de trabalho:

Um diagrama do fluxo de trabalho de gerenciamento de risco interno.

  • Políticas - As políticas de gerenciamento de risco interno são criadas usando modelos predefinidos e condições de política que definem quais indicadores de risco são examinados nas áreas de recursos do Microsoft 365. Essas condições incluem como os indicadores são usados para alertas, quais usuários são incluídos na política, quais serviços são priorizados e o período de tempo de monitoramento.

  • Alertas - Os alertas são gerados automaticamente por indicadores de risco que correspondem às condições da política e são exibidos na página de alertas, que fornece uma visão rápida de todos os alertas que precisam de revisão, alertas abertos ao longo do tempo e estatísticas de alerta para a organização. Os alertas DLP também podem ser visualizados no portal do Microsoft Defender, onde são automaticamente combinados em incidentes que fornecem uma visão abrangente de possíveis violações de políticas e ferramentas avançadas para investigação e remediação.

  • Triagem - Novas atividades que precisam de investigação geram automaticamente alertas que recebem um status de revisão de necessidades. Os revisores na organização podem identificar rapidamente esses alertas e percorrer cada um deles para avaliar e triar. Os alertas são resolvidos abrindo um novo caso, atribuindo o alerta a um caso existente ou descartando o alerta. Como parte do processo de triagem, os revisores podem exibir detalhes do alerta para a correspondência de política, exibir a atividade do usuário associada à correspondência, ver a gravidade do alerta e revisar as informações do perfil do usuário.

  • Investigar - Os casos são criados para alertas que exigem uma revisão e investigação mais aprofundadas dos detalhes e circunstâncias em torno da correspondência da política. A página de casos fornece uma visão completa de todos os casos ativos, casos abertos ao longo do tempo e estatísticas de casos para a organização. A seleção de um caso abre-o para investigação e revisão. Esta área é onde as atividades de risco, as condições da política, os detalhes dos alertas e os detalhes do usuário são sintetizados em uma visão integrada para os revisores. As principais ferramentas de investigação nesta área são:

    • Atividade do usuário: a atividade de risco do usuário é exibida automaticamente em um gráfico interativo que plota as atividades ao longo do tempo e por nível de risco para atividades de risco atuais ou passadas. Os revisores podem filtrar e visualizar rapidamente todo o histórico de riscos do usuário e detalhar atividades específicas para obter mais detalhes.
    • Explorador de conteúdo: Todos os ficheiros de dados e mensagens de correio eletrónico associados a atividades de alerta são automaticamente capturados e apresentados no explorador de conteúdos. Os revisores podem filtrar e visualizar arquivos e mensagens por fonte de dados, tipo de arquivo, tags, conversação e muitos outros atributos.
    • Notas de caso: os revisores podem fornecer notas para um caso na seção Notas de caso. Esta lista consolida todas as notas numa vista central e inclui informações sobre o revisor e a data de envio.

  • Ação - Depois que os casos são investigados, os revisores podem agir rapidamente para resolver o caso ou colaborar com outras partes interessadas no risco na organização. As ações podem ser tão simples quanto enviar uma notificação quando os funcionários acidentalmente ou inadvertidamente violam as condições da política. Em casos mais graves, os revisores podem precisar compartilhar as informações do caso de gerenciamento de risco interno com outros revisores na organização. Escalar um caso para investigação torna possível transferir dados e gerenciamento do caso para a Descoberta Eletrônica no Microsoft Purview.

O gerenciamento de riscos internos pode ajudá-lo a detetar, investigar e tomar medidas para mitigar riscos internos em sua organização em vários cenários comuns. Esses cenários incluem roubo de dados por funcionários, vazamento intencional ou não intencional de informações confidenciais, comportamento ofensivo e muito mais.

Integração com o Microsoft Security Copilot

O Microsoft Purview Insider Risk Management suporta a integração com o Microsoft Security Copilot, através de experiências autónomas e incorporadas.

Para experimentar a integração do Copilot, as organizações devem estar integradas ao Copilot, ter habilitado o Copilot para acessar dados dos serviços do Microsoft 365 e os usuários devem ter as permissões de função apropriadas.

Os recursos do Microsoft Purview, que você pode visualizar na experiência autônoma selecionando o ícone de prompt e selecionando todos os recursos, são prompts internos que você pode usar, mas você também pode inserir seus próprios prompts com base nos recursos suportados.

Captura de tela dos recursos do Microsoft Purview disponíveis Microsoft Security Copilot.

Na experiência incorporada, o Copilot no Microsoft Purview Insider Risk Management suporta o resumo de alertas. Para acessar o Copilot de dentro do Microsoft Purview Insider Risk Management, navegue até a fila de alertas para selecionar o alerta que deseja revisar. São apresentadas informações sobre o alerta e a opção para resumir o alerta. Selecione Resumir para que o Copilot gere o resumo do alerta.