Procedimientos recomendados para administrar el volumen de alertas en la administración de riesgos internos

Importante

Microsoft Purview Insider Risk Management correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Revisar, investigar y actuar sobre alertas internas potencialmente arriesgadas son partes importantes de la minimización de los riesgos internos en su organización. Tomar medidas rápidamente para minimizar el impacto de estos riesgos puede ahorrar tiempo, dinero y ramificaciones normativas o legales para su organización. En este proceso de corrección, el primer paso para revisar las alertas puede parecer la tarea más difícil para muchos analistas e investigadores.

En este artículo se proporcionan procedimientos recomendados para administrar el volumen de alertas de su organización para que no tenga demasiadas o demasiadas alertas. Para obtener una explicación general sobre cómo se generan las alertas y las herramientas para administrar alertas, consulte Investigación de actividades de riesgo internos.

Demasiadas alertas para revisar

Si recibe muy pocas alertas de administración de riesgos internos:

  • Actualice la configuración: Los cambios realizados en la configuración se aplican globalmente en todas las directivas.

    • Habilitar más indicadores: La selección de más indicadores proporciona a las directivas un grupo mayor de actividades para detectar.

      Cómo: Vaya aIndicadores de directiva deconfiguración> y, a continuación, habilite todos los indicadores disponibles y pertinentes.

    • Ajuste el control deslizante Volumen de alertas: Use este control deslizante para ver todas las alertas de gravedad media y alta y las alertas de gravedad más baja. Nota: Ajustar el control deslizante puede dar lugar a más falsos positivos.

      Cómo: Vaya a Configuración Detecciones>inteligentesVolumen dealertas> y, a continuación, mueva el control deslizante a Más alertas.

  • Modifique la directiva: Identifique la directiva que no genera suficientes alertas y, a continuación, considere las siguientes acciones:

    • Aumente la cobertura de usuario en la directiva: Las directivas con pocos usuarios incluidos en el ámbito tienen menos probabilidades de generar alertas. Si procede, considere la posibilidad de aumentar el número de usuarios en el ámbito de la directiva.

      Cómo: Seleccione una directiva específica en la página Directivas , seleccione Editar directiva y, a continuación, vaya a la página Usuarios y grupos para aumentar el número de usuarios dentro del ámbito.

    • Reduzca los umbrales del desencadenador: Las directivas basadas en las plantillas De pérdida de datos y Uso de explorador de riesgo (versión preliminar) permiten personalizar algunos umbrales de desencadenador. Estos umbrales definen cuándo comenzará a detectar las actividades del usuario. Si se reducen los umbrales de desencadenador, se reducen los criterios para que un usuario empiece a evaluarse para la actividad de riesgo. Nota: Si un usuario no aparece en la página Usuarios y grupos , significa que aún no se han cumplido los criterios de desencadenamiento de eventos.

      Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Desencadenar umbrales , seleccione la opción Usar umbrales personalizados y, a continuación, ajuste los umbrales.

    • Agregue más indicadores: Los indicadores son las actividades que un usuario debe realizar para considerarse de riesgo. Si no tiene muchos indicadores (actividades consideradas de riesgo) seleccionados en la directiva, es menos probable que se generen alertas.

      Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Indicadores y, a continuación, seleccione más indicadores.

    • Umbrales de indicador inferiores: Una vez que los usuarios empiecen a evaluarse (tengan un evento desencadenante), solo se generará una alerta para esos usuarios si realizan actividades por encima de un umbral determinado que pueden indicar que su actividad es de riesgo. Si se reducen los umbrales del indicador, se reducirá el umbral que los usuarios deben superar para generar una alerta.

      Cómo: Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Umbrales de indicador , seleccione la opción Personalizar umbrales y, a continuación, establezca los umbrales. Más información sobre las recomendaciones de umbral de indicador

Demasiadas alertas para revisar

Si recibe demasiadas alertas válidas o tiene demasiadas alertas obsoletas de bajo riesgo, considere la posibilidad de realizar las siguientes acciones:

  • Habilitar análisis: La habilitación del análisis puede ayudarle a identificar rápidamente posibles áreas de riesgo para los usuarios y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que podría querer configurar.

    Cómo: Vaya a Análisis de configuración>.

  • Obtenga información en tiempo real: También puede obtener información en tiempo real de análisis si quiere aprovechar las recomendaciones de umbral. Estas conclusiones pueden ayudarle a ajustar de forma eficaz la selección de indicadores y umbrales de aparición de actividad para que no reciba demasiadas alertas de directiva o demasiadas.

    Cómo: Consulte Uso de análisis en tiempo real para ayudar a administrar el volumen de alertas.

  • Ajuste las directivas: Seleccionar y configurar la directiva de riesgo interno correcta es el método más básico para abordar el tipo y el volumen de alertas. A partir de la plantilla de directiva adecuada, se centran los tipos de actividades y alertas de riesgo que se ven. Otros factores que pueden afectar al volumen de alertas son el tamaño del usuario y los grupos dentro del ámbito y el contenido y los canales que se priorizan. Considere la posibilidad de ajustar las directivas para ajustar estas áreas a lo que es más importante para su organización.

    Cómo: Seleccione una directiva específica en la página Directivas y, a continuación, seleccione Editar directiva.

  • Modifique la configuración de riesgo interno: La configuración de riesgo interno incluye una amplia variedad de opciones de configuración que pueden afectar al volumen y los tipos de alertas que recibe. Asegúrese de revisar y comprender la siguiente configuración para filtrar el ruido de las alertas:

  • Habilitar la personalización de alertas insertadas: La habilitación de la personalización de alertas insertadas permite a los analistas e investigadores editar rápidamente las directivas al revisar las alertas. Pueden actualizar umbrales para la detección de actividad con recomendaciones de Microsoft, configurar umbrales personalizados o omitir el tipo de actividad que creó la alerta. Si no está habilitado, solo los usuarios asignados al grupo de roles Insider Risk Management pueden usar la personalización de alertas en línea.

    Cómo: Vaya a Configuración Personalización> dealertas insertadas.

  • Alertas de eliminación masiva, si procede: Puede ayudar a ahorrar tiempo de evaluación para que los analistas e investigadores descarten inmediatamente varias alertas de forma masiva. Puede seleccionar hasta 400 alertas para descartarlas a la vez.

Administración de restricciones de recursos en la organización

Los usuarios modernos del área de trabajo a menudo tienen una amplia variedad de responsabilidades y demandas en su tiempo. Hay varias acciones que puede realizar para ayudar a abordar las restricciones de recursos:

Vea también

Investigación de actividades de administración de riesgos internos