Saiba mais sobre provas forenses de gestão de riscos internos

Importante

As provas forenses são uma funcionalidade de suplemento opt-in na Gestão de Riscos Internos que fornece às equipas de segurança informações visuais sobre potenciais incidentes de segurança de dados internos, com a privacidade dos utilizadores incorporada. As provas forenses incluem acionadores de eventos personalizáveis e controlos de proteção de privacidade de utilizadores incorporados, permitindo que as equipas de segurança investiguem, compreendam e respondam melhor a potenciais riscos de dados internos, como a transferência não autorizada de dados confidenciais.

As organizações definem as políticas certas para si mesmas, incluindo que eventos de risco são a prioridade mais alta para capturar provas forenses e quais os dados mais sensíveis. As provas forenses estão desativadas por predefinição, a criação de políticas requer autorização dupla e os nomes de utilizador podem ser mascarados com pseudonimização (que está ativada por predefinição para a Gestão de Riscos Internos). A configuração de políticas e a revisão de alertas de segurança na Gestão de Riscos Internos tira partido de controlos de acesso baseados em funções fortes (RBAC), garantindo que as pessoas designadas na organização estão a tomar as ações certas com capacidades de auditoria adicionais.

Importante

A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Ter contexto visual é crucial para as equipas de segurança durante as investigações forenses obterem melhores informações sobre atividades de utilizador potencialmente arriscadas relacionadas com a segurança. Com acionadores de eventos personalizáveis e controlos de proteção de privacidade de utilizadores incorporados, as provas forenses permitem a captura de atividade visual personalizável em todos os dispositivos para ajudar a sua organização a mitigar, compreender e responder a potenciais riscos de dados, como a transferência de dados não autorizados de dados confidenciais. Definiu as políticas certas para a sua organização, incluindo os eventos de risco que são a prioridade mais alta para capturar provas forenses, quais os dados mais confidenciais e se os utilizadores são notificados quando a captura forense é ativada. A captura de provas forenses está desativada por predefinição e a criação de políticas requer autorização dupla.

Dica

Comece a utilizar o Microsoft Copilot for Security para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre o Microsoft Copilot for Security no Microsoft Purview.

Capacidades de funcionalidades

  • A captura visual permite que as organizações capturem clips das principais atividades de utilizador relacionadas com a segurança, permitindo uma visibilidade mais segura ou compatível e satisfazem as necessidades organizacionais.
  • Inclua ou exclua aplicações de ambiente de trabalho e/ou sites para configurar uma política de gravação focada nas aplicações e sites que apresentam mais riscos. Isto preserva o espaço de armazenamento e a privacidade do utilizador. Por exemplo, exclua e-mails pessoais e contas de redes sociais.
  • A proteção de phishing melhorada (pré-visualização) permite que as organizações capturem clips relacionados com a Proteção De Phishing Avançada no Microsoft Defender SmartScreen. Por exemplo, pode capturar quando um utilizador introduz a palavra-passe da Microsoft que utilizou para iniciar sessão no respetivo dispositivo Windows 11 num site de phishing ou numa aplicação que se liga a um site de phishing. Saiba mais sobre a Proteção Avançada contra Phishing no Microsoft Defender SmartScreen
  • Protegia a privacidade dos utilizadores através de vários níveis de aprovação para a ativação da funcionalidade de captura.
  • Os acionadores personalizáveis e as opções de captura significam que as equipas de segurança podem configurar provas forenses para satisfazer as suas necessidades, quer se baseiem em incidentes (por exemplo, Capturar 5 minutos antes e 10 minutos depois de um utilizador transferir 'SecretResearchPlans.docx') ou com base em necessidades de captura contínuas.
  • A filtragem de políticas centrada no utilizador significa que as equipas de segurança e conformidade podem concentrar-se na atividade por utilizador e não por dispositivo, para obter melhores informações contextuais.
  • Controlos de acesso baseados em funções fortes (RBAC) significam que a capacidade de configurar e rever clips forenses é controlada rigorosamente e só está disponível para indivíduos na organização com as permissões certas.
  • Integração profunda com as funcionalidades atuais de gestão de riscos internos, facilitando a integração e fluxos de trabalho mais familiares para administradores de gestão de riscos internos e uma abordagem de plataforma única fidedigna.
  • Capacidade de avaliação (até 20 GB) para clips capturados, com acesso rápido à utilização da capacidade e capacidade de comprar capacidade adicional.

Requisitos de dispositivo e configuração

As tabelas seguintes incluem os requisitos mínimos suportados para a utilização de provas forenses de gestão de risco interno.

Plataformas compatíveis

Sistema operacional SKU Processador
Windows 10 (incluindo o Windows 365) Empresa 64 bits (Intel ou AMD)
Windows 11 (incluindo o Windows 365) Empresa 64 bits (Intel ou AMD)

Dispositivos físicos

Hardware Requisitos mínimos
RAM Mínimo de 8 GB (deve estar disponível, pelo menos, 2 GB para utilização do cliente)
Processador da CPU Intel i5 ou superior e AMD Ryzen 5 ou superior
Placa gráfica Compatível com o DirectX 11 ou posterior, com um controlador WDDM 1.0 ou posterior (atualmente apenas placas gráficas integradas suportadas)
Espaço em disco Mínimo de 10 GB de armazenamento em disco
Exibir Resolução mínima do ecrã de 1920 x 1080

Hyper-V e máquinas virtuais

Hardware Requisitos mínimos
RAM Mínimo de 16 GB (pelo menos, 2 GB devem estar disponíveis para utilização do cliente)
Processador da CPU Mínimo de oito processadores vCPU ou equivalente
Espaço em disco Mínimo de 10 GB de armazenamento em disco
Exibir Resolução mínima do ecrã de 1920 x 1080

Importante

Se os requisitos mínimos não forem cumpridos, é provável que os utilizadores se detetem com problemas de cliente do Microsoft Purview e a qualidade das capturas forenses poderá não ser fiável.

Opções de captura

O acionamento de eventos, indicadores globais e indicadores de política desempenha um papel importante em todas as políticas de gestão de riscos internos, incluindo políticas de provas forenses. Acionar eventos são ações do utilizador que determinam se os utilizadores são colocados no âmbito da avaliação em políticas de gestão de risco interno. Os indicadores de definições globais são utilizados para determinar que atividades são recolhidas pela gestão de riscos internos. Os indicadores de política são utilizados para determinar uma classificação de risco para um utilizador no âmbito.

Consoante a forma como a sua organização decide configurar as provas forenses, existem duas opções de captura:

  • Atividades específicas: esta opção de política captura a atividade apenas quando um evento de acionamento trouxe um utilizador aprovado para o âmbito da política de provas forenses e quando as condições de um indicador de política são detetadas para o utilizador. Por exemplo, um utilizador aprovado para captura de provas forenses é colocado no âmbito da política de provas forenses e o utilizador copia dados para serviços pessoais de armazenamento na cloud ou dispositivos de armazenamento portáteis. A captura está confinada apenas ao período de tempo configurado quando o utilizador está a copiar os dados para o serviço de armazenamento na cloud pessoal ou para o dispositivo de armazenamento portátil. As capturas para esta opção estarão disponíveis para revisão no separador Provas forenses no dashboard Alertas .
  • Todas as atividades: esta opção de política captura qualquer atividade realizada pelos utilizadores. Por exemplo, a sua organização tem uma necessidade sensível ao tempo para capturar atividades para um utilizador aprovado que está ativamente envolvido em atividades potencialmente arriscadas que podem levar a um incidente de segurança. Os indicadores de política podem não ter atingido o limiar de um alerta a ser gerado pela política e a atividade potencialmente arriscada pode não estar documentada. A captura contínua ajuda a impedir que a atividade potencialmente arriscada seja perdida ou que não seja detetada. As capturas para esta opção estarão disponíveis para revisão no separador Provas forenses no dashboard Relatórios de atividade do utilizador (pré-visualização ).

Importante

Os clips de provas forenses são eliminados 120 dias depois de serem capturados ou no final do período de pré-visualização, o que for mais cedo. Pode transferir ou transferir clips de provas forenses antes de serem eliminados.

Fluxo de trabalho

O fluxo de trabalho geral para detetar, investigar e remediar alertas que contêm captura de clipes segue os mesmos passos básicos que outras políticas de gestão de riscos internos. No entanto, existem algumas diferenças notáveis para provas forenses quando configuradas na sua organização:

  • Os utilizadores sujeitos à captura têm de ter pedidos e aprovações de captura explícitos: este é um processo adicional não incluído como parte da configuração de outras políticas de gestão de riscos internos. Os utilizadores atribuídos aos grupos de funções Gestão de RiscosInternos ou Administradores de Gestão de Riscos Internos têm de submeter um pedido aos utilizadores atribuídos ao grupo de funções Aprovadores de Gestão de Riscos Internos antes de qualquer utilizador na sua organização ser elegível para quaisquer opções de captura de clipes. Por exemplo, este requisito ajuda a suportar cenários organizacionais em que os administradores de gestão de riscos internos têm de obter a aprovação explícita do seu pessoal de recursos legais ou humanos designados antes de a captura para qualquer utilizador ser ativada.
  • Os dispositivos têm de estar integrados e ter o cliente do Microsoft Purview instalado: antes de as provas forenses poderem recolher e armazenar clips capturados para utilizadores elegíveis, os respetivos dispositivos têm de ser integrados no portal de conformidade do Microsoft Purview. Além disso, cada dispositivo tem de ter o Cliente Do Microsoft Purview instalado. Estes pré-requisitos permitem o suporte para a captura de dispositivos online e offline.

Pronto para começar?