Configurar deteções inteligentes na gestão de riscos internos

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

Observação

As definições de exclusões globais incluídas anteriormente na definição Deteções inteligentes estão agora incluídas na definição Exclusões globais (pré-visualização).

A utilização pode utilizar a definição Deteções inteligentes no Gerenciamento de Risco Interno do Microsoft Purview para:

  • Aumente a classificação para atividades de transferência de ficheiros invulgares ao introduzir um número mínimo de eventos diários.
  • Aumente ou diminua o volume e a distribuição de alertas altos, médios e baixos.
  • Importe e filtre alertas do Defender para Endpoint para atividades utilizadas em políticas criadas a partir de modelos de gestão de risco interno.
  • Especifique domínios não permitidos para aumentar a classificação de risco para atividades potencialmente arriscadas.
  • Especifique domínios de terceiros para gerar alertas para atividades de transferência potencialmente arriscadas.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Deteção de atividade de ficheiros

Pode utilizar esta secção para especificar o número de eventos diários necessários para aumentar a classificação de risco da atividade de transferência que é considerada invulgar para um utilizador. Por exemplo, se introduzir "25", se um utilizador transferir 10 ficheiros em média nos últimos 30 dias, mas uma política detetar que transferiu 20 ficheiros num dia, a classificação dessa atividade não será aumentada, mesmo que seja invulgar para esse utilizador, porque o número de ficheiros transferidos nesse dia foi inferior a 25.

Volume de alerta

As atividades potencialmente arriscadas detetadas por políticas de risco interno recebem uma classificação de risco específica, que, por sua vez, determina a gravidade do alerta (baixa, média, alta). Por predefinição, a gestão de riscos internos gera uma determinada quantidade de alertas de gravidade baixa, média e alta, mas pode aumentar ou diminuir o volume de um nível específico de alertas de acordo com as suas necessidades.

Para ajustar o volume de alertas para todas as políticas de gestão de riscos internos, escolha uma das seguintes definições:

  • Menos alertas: verá todos os alertas de alta gravidade, menos alertas de gravidade média e nenhum alerta de gravidade baixa. Pode perder alguns verdadeiros positivos se escolher este nível de definição.
  • Volume predefinido: verá todos os alertas de alta gravidade e uma quantidade equilibrada de alertas de gravidade média e de baixa gravidade.
  • Mais alertas: verá todos os alertas de gravidade média e alta gravidade e a maioria dos alertas de gravidade baixa. Este nível de definição pode resultar em mais falsos positivos.

Microsoft Defender para Ponto de Extremidade estados de alerta

Importante

Para importar alertas de violação de segurança, tem de configurar Microsoft Defender para Ponto de Extremidade na sua organização e ativar o Defender para Endpoint para integração de gestão de riscos internos no Centro de Segurança do Defender. Para mais informações sobre a configuração do Defender para Ponto de extremidade para integração do gerenciamento de risco interno, consulte Configurar recursos avançados no Defender para Ponto de extremidade.

Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto final empresarial concebida para ajudar as redes empresariais a impedir, detetar, investigar e responder a ameaças avançadas. Para ter uma melhor visibilidade das violações de segurança na sua organização, pode importar e filtrar alertas do Defender para Endpoint para atividades utilizadas em políticas criadas a partir de modelos de políticas de violação de segurança de gestão de riscos internos.

Consoante os tipos de sinais em que está interessado, pode optar por importar alertas para a gestão de riscos internos com base na triagem de alertas do Defender para Endpoint status. Pode definir um ou mais dos seguintes estados de triagem de alertas nas definições globais a importar:

  • Desconhecido
  • Novo
  • Em andamento
  • Resolvido

Os alertas do Defender para Endpoint são importados diariamente. Dependendo da triagem status escolher, poderá ver várias atividades de utilizador para o mesmo alerta que a triagem status alterações no Defender para Endpoint.

Por exemplo, se selecionar Novo, Em curso e Resolvido para esta definição, quando é gerado um alerta de Microsoft Defender para Ponto de Extremidade e o status é Novo, é importada uma atividade de alerta inicial para o utilizador na gestão de riscos internos. Quando a triagem do Defender para Endpoint status muda para Em curso, é importada uma segunda atividade para este alerta. Quando a triagem final do Defender para Endpoint status de Resolvido estiver definida, é importada uma terceira atividade para este alerta. Esta funcionalidade permite que os investigadores sigam a progressão dos alertas do Defender para Endpoint e escolham o nível de visibilidade necessário para a investigação.

Domínios

Pode especificar domínios não permitidos e de terceiros para aumentar as suas deteções:

  • Domínios não permitidos: Quando especificar um domínio não permitido, a atividade de gestão de riscos que ocorre com esse domínio terá uma classificação de risco mais elevada. Por exemplo, poderá querer especificar atividades que envolvam a partilha de conteúdos com alguém (como enviar e-mails a alguém com um endereço gmail.com) ou atividades que envolvam utilizadores a transferir conteúdos para um dispositivo a partir de um domínio não permitido. Pode adicionar até 500 domínios não permitidos.
  • Domínios de terceiros: Se a sua organização utilizar domínios de terceiros para fins empresariais (como o armazenamento na cloud), inclua-os na secção Domínios de terceiros para receber alertas de atividade potencialmente arriscada relacionada com o indicador de dispositivo Utilizar um browser para transferir conteúdos de um site de terceiros. Pode adicionar até 500 domínios de terceiros.

Adicionar um domínio não permitido

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

  2. Selecione Definições no canto superior direito da página e, em seguida, selecione Gestão de Riscos Internos para aceder às definições de gestão de riscos internos.

  3. Em Definições de risco interno, selecione Deteções inteligentes.

  4. Desloque-se para baixo até à secção Domínios não permitidos e, em seguida, selecione Adicionar domínios.

  5. Introduza um domínio.

    Dica

    Se não quiser introduzir domínios um de cada vez, pode importá-los como um ficheiro CSV ao selecionar Importar domínios do ficheiro CSV na página anterior.

  6. Se quiser incluir todos os subdomínios no domínio que introduziu, selecione a caixa de verificação Incluir subdomínios de vários níveis .

    [! NOTA Pode utilizar carateres universais para ajudar a corresponder as variações de domínios de raiz ou subdomínios. Por exemplo, para especificar sales.wingtiptoys.com e support.wingtiptoys.com, utilize a entrada de caráter universal "*.wingtiptoys.com" para corresponder a estes subdomínios (e qualquer outro subdomínio no mesmo nível). Para especificar subdomínios de vários níveis para um domínio de raiz, tem de selecionar a caixa de verificação Incluir subdomínios de vários níveis .

  7. Pressione Enter. Repita este processo para cada domínio que pretende adicionar.

  8. Selecione Adicionar domínios.

Adicionar um domínio de terceiros

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.

  2. Selecione Definições no canto superior direito da página e, em seguida, selecione Gestão de Riscos Internos para aceder às definições de gestão de riscos internos.

  3. Em Definições de risco interno, selecione Deteções inteligentes.

  4. Desloque-se para baixo até à secção Domínios de terceiros e, em seguida, selecione Adicionar domínios.

  5. Introduza um domínio.

    Dica

    Se não quiser introduzir domínios um de cada vez, pode importá-los como um ficheiro CSV ao selecionar Importar domínios do ficheiro CSV na página anterior.

  6. Se quiser incluir todos os subdomínios no domínio que introduziu, selecione a caixa de verificação Incluir subdomínios de vários níveis .

    [! NOTA Pode utilizar carateres universais para ajudar a corresponder as variações de domínios de raiz ou subdomínios. Por exemplo, para especificar sales.wingtiptoys.com e support.wingtiptoys.com, utilize a entrada de caráter universal "*.wingtiptoys.com" para corresponder a estes subdomínios (e qualquer outro subdomínio no mesmo nível). Para especificar subdomínios de vários níveis para um domínio de raiz, tem de selecionar a caixa de verificação Incluir subdomínios de vários níveis .

  7. Pressione Enter. Repita este processo para cada domínio que pretende adicionar.

  8. Selecione Adicionar domínios.