Gerir o fluxo de trabalho com o dashboard de utilizadores da gestão de riscos internos

Importante

A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

O dashboard Utilizadores é uma ferramenta importante no fluxo de trabalho de gestão de riscos internos e ajuda os investigadores e analistas a compreender melhor as atividades de risco. Este dashboard oferece vistas e funcionalidades de gestão para satisfazer as necessidades administrativas entre a criação de políticas de gestão de riscos internos e a gestão de casos de gestão de riscos internos.

Depois de os utilizadores serem adicionados às políticas de gestão de riscos internos, os processos em segundo plano estão a avaliar automaticamente as atividades dos utilizadores para acionar indicadores. Depois de os indicadores acionadores estarem presentes, são atribuídas classificações de risco às atividades do utilizador. Algumas destas atividades podem resultar num alerta de risco interno, mas algumas atividades podem não cumprir um nível mínimo de classificação de risco e não será criado um alerta de risco interno. O dashboard Utilizadores permite-lhe ver utilizadores com estes tipos de indicadores e classificações de risco, bem como utilizadores com alertas de risco interno ativos.

Saiba mais sobre como o dashboard Utilizadores apresenta os utilizadores nos seguintes cenários:

  • Utilizadores com alertas de políticas de risco interno ativos
  • Utilizadores com eventos de acionamento
  • Utilizadores identificados como potenciais utilizadores de alto impacto ou em grupos de utilizadores prioritários
  • Utilizadores adicionados temporariamente às políticas

Dica

Comece a utilizar o Microsoft Copilot for Security para explorar novas formas de trabalhar de forma mais inteligente e rápida com o poder da IA. Saiba mais sobre o Microsoft Copilot for Security no Microsoft Purview.

Utilizadores com alertas de políticas de risco interno ativos

O dashboard Utilizadores apresenta automaticamente todos os utilizadores com alertas de política de risco interno ativos. Estes utilizadores com alertas têm um indicador de acionamento e uma classificação de risco de atividade que cumprem os requisitos para criar um alerta de risco interno. As atividades para estes utilizadores são vistas ao selecionar o utilizador no dashboard Utilizadores e ao navegar para o separador Atividade do utilizador .

Utilizadores com eventos de acionamento

O dashboard Utilizadores apresenta automaticamente todos os utilizadores com eventos acionadores, mas que não têm uma classificação de risco de atividade que crie um alerta de risco interno. Por exemplo, é apresentado um utilizador com uma data de demissão comunicada porque esta atividade é um evento acionador, mas não é uma atividade que tem uma classificação de risco. As atividades para estes utilizadores são vistas ao selecionar o utilizador no dashboard Utilizadores e ao navegar para o separador Atividade do utilizador .

Utilizadores adicionados temporariamente às políticas

O dashboard Utilizadores inclui utilizadores adicionados a políticas de gestão de riscos internos após um evento invulgar fora do fluxo de trabalho de gestão de riscos internos. Adicionar temporariamente utilizadores (a partir do dashboard Políticas) também é uma forma de começar a classificar a atividade do utilizador para uma política de gestão de riscos internos para testar a política, mesmo que não esteja configurado um conector necessário.

Quando um utilizador é adicionado manualmente a uma política, as atividades do utilizador dos 90 dias anteriores são classificadas e adicionadas à linha cronológica da atividade do utilizador . Por exemplo, tem uma pontuação de risco não atribuída atualmente a um utilizador para uma política de risco interno e o utilizador tem atividades de fuga de dados comunicadas ao departamento jurídico da sua organização. O departamento jurídico recomenda que configure novos requisitos de deteção de curto prazo para o utilizador. Pode atribuir temporariamente o utilizador à política Fugas de dados por um período de tempo designado (janela de ativação). Todos os utilizadores adicionados temporariamente são apresentados no dashboard Utilizadores porque os requisitos de acionamento de eventos são dispensados.

Observação

Pode demorar várias horas para que os novos utilizadores adicionados manualmente apareçam no dashboard Utilizadores. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para ver as atividades dos utilizadores adicionados manualmente, selecione o utilizador no dashboard Utilizadores e abra o separador Atividade do utilizador no painel de detalhes.

O utilizador é removido automaticamente do dashboard Utilizadores e a classificação para quando a hora definida na janela ativação expira se:

  • o utilizador não tem quaisquer eventos de acionamento adicionais ou alertas de políticas de risco interno e
  • se a duração da janela de Ativação definida manualmente for superior à duração da janela de Ativação da política global.

A definição da janela Ativação com a duração mais longa substitui sempre a definição da janela Ativação por uma duração mais curta. Por exemplo, configurou a janela Ativação no separador timeframes da Política global nas definições globais de gestão de riscos internos durante 15 dias, que é aplicada automaticamente a todas as políticas de risco interno.

Adiciona temporariamente um utilizador à sua política de risco interno Fugas de dados e define 30 dias como a janela de Ativação para este utilizador. A definição da janela de Ativação global de 15 dias é substituída ao definir a definição da janela ativação de 30 dias para o utilizador temporariamente adicionado. O utilizador adicionado temporariamente permanecerá no dashboard Utilizadores e estará no âmbito da política durante 30 dias.

No cenário oposto em que a definição da janela de Ativação global é maior do que a definição da janela Ativação definida para um utilizador adicionado temporariamente, a definição da janela de Ativação global substituiria a definição da janela Ativação do utilizador temporariamente adicionado. O utilizador adicionado temporariamente permanecerá no dashboard Utilizadores e estará no âmbito da política para o número de dias definido nas definições globais da janela ativação .

Ver informações do utilizador no dashboard Utilizadores

Cada utilizador apresentado no dashboard Utilizadores tem as seguintes informações:

  • Utilizadores: nome de utilizador de um utilizador. Este campo é anonimizado se a definição de anonimização global para a gestão de riscos internos estiver ativada.
  • Nível de gravidade do alerta: nível de risco calculado atual do utilizador. Esta classificação é calculada a cada 24 horas e utiliza as classificações de risco de alerta de todos os alertas ativos associados ao utilizador. Para os utilizadores com apenas indicadores de acionamento, o nível de gravidade do alerta é zero.
  • Alertas ativos: número de alertas ativos para todas as políticas.
  • Violações confirmadas: número de casos resolvidos como violação de política confirmada para o utilizador.
  • Caso: caso ativo atual para o utilizador.

Para localizar rapidamente um utilizador específico, utilize a opção Procurar no canto superior direito do dashboard Utilizadores. Ao procurar utilizadores, tem de utilizar o nome principal de utilizador (UPN). Por exemplo, ao procurar um utilizador com o nome "Tiara Hidayah" que tenha um UPN de "thidayah" na sua organização, introduziria "thidayah" ou parte do UPN em Pesquisa.

Dashboard de utilizadores da gestão de riscos internos

Observação

O número de utilizadores apresentados no dashboard Utilizadores pode ser limitado em algumas instâncias, consoante o volume de alertas ativos e políticas correspondentes. Os utilizadores com alertas ativos são apresentados no dashboard Utilizadores à medida que os alertas são gerados e podem existir casos raros quando o número máximo de utilizadores apresentados é atingido. Se este limite acontecer, os utilizadores com alertas ativos que não são apresentados serão adicionados ao dashboard Utilizadores , uma vez que os alertas de utilizador existentes são triagem.

Ver detalhes do utilizador

Para ver mais detalhes sobre a atividade de risco de um utilizador, abra o painel de detalhes do utilizador ao fazer duplo clique num utilizador no dashboard Utilizadores. No painel de detalhes, pode ver as seguintes informações:

  • Separador Perfil de utilizador

    • Nome e título: nome e cargo do utilizador a partir do ID do Microsoft Entra. Estes campos de utilizador serão anonimizados ou vazios se a definição de anonimização global para a gestão de riscos internos estiver ativada.
    • Detalhes do utilizador: indica se o utilizador foi identificado como um potencial utilizador de alto impacto ou se o utilizador está em grupos de utilizadores prioritários.
    • Resumo de alertas e atividades: lista alertas de utilizadores ativos e casos abertos.
    • E-mail do utilizador: endereço de e-mail do utilizador.
    • Alias: alias de rede para o utilizador.
    • Organização ou departamento: organização ou departamento do utilizador.
    • No âmbito: lista a atribuição no âmbito do utilizador às políticas.
  • Separador Atividade do utilizador

    • Histórico da atividade recente do utilizador: lista os indicadores de acionamento e os indicadores de risco interno para atividades de risco até aos últimos 90 dias. Todas as atividades de risco pertinentes para indicadores de risco interno também são classificadas, embora as atividades possam ou não ter gerado um alerta de risco interno. Acionar exemplos de indicadores pode ser uma data de demissão ou a última data de trabalho agendada para o utilizador. Os indicadores de risco interno são atividades determinadas como estando num elemento de risco, o que pode potencialmente levar a um incidente de segurança e são definidos em políticas nas quais o utilizador está incluído. As atividades de eventos e riscos são listadas com o item mais recente listado em primeiro lugar.

Utilizar o Copilot para resumir as atividades dos utilizadores (pré-visualização)

Pode selecionar Summarize with Copilot (Resumir com o Copilot ) no painel de detalhes do utilizador para resumir rapidamente as atividades dos utilizadores que poderão precisar de uma investigação mais aprofundada. Quando resume as atividades de risco do utilizador com o Microsoft Copilot no Microsoft Purview, é apresentado um painel Copilot no lado direito do ecrã com um resumo do utilizador.

Botão Copilot de gestão de riscos internos

O resumo do utilizador inclui detalhes essenciais, como o nome do utilizador, o título, o nome principal de utilizador, o histórico de alertas e casos e os principais fatores de risco. Os principais fatores de risco fornecem informações cruciais sobre as funções de utilizador, permissões, envolvimento em atividades de exfiltração, padrões sequenciais ou qualquer comportamento invulgar. Esta vista ajuda a identificar os utilizadores que podem representar o maior risco interno para a sua organização.

Os pedidos sugeridos são listados automaticamente para ajudar a refinar ainda mais o seu resumo e para ajudar a fornecer informações adicionais sobre as atividades associadas ao utilizador. Escolha entre os seguintes pedidos sugeridos:

  • Liste todas as atividades de transferência de dados que envolvem este utilizador.
  • Liste todas as atividades sequenciais que envolvem este utilizador.
  • O utilizador teve algum comportamento invulgar?
  • Mostrar as principais ações realizadas pelo utilizador nos últimos 10 dias.
  • Resumir os últimos 30 dias de atividade do utilizador.

Remover utilizadores da atribuição no âmbito para políticas

Podem existir cenários em que tem de parar de atribuir classificações de risco a um utilizador em políticas de gestão de risco interno. Utilize Parar a atividade de classificação para os utilizadores no dashboard Utilizadores para deixar de atribuir classificações de risco a um utilizador de todas as políticas de gestão de riscos internos para as quais estão atualmente no âmbito. Esta ação não remove o utilizador da atribuição de política geral (quando adiciona utilizadores ou grupos a uma configuração de política), mas simplesmente remove o utilizador do processamento ativo por políticas após os eventos acionados atuais. Se o utilizador tiver outro evento de acionamento no futuro, as classificações de risco das políticas começarão automaticamente a ser atribuídas ao utilizador novamente. Quaisquer alertas ou casos existentes para este utilizador não serão removidos.

Remover um utilizador do estado no âmbito em todas as políticas de gestão de riscos internos

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
  2. Aceda à solução Gestão de Riscos Internos.
  3. Selecione Utilizadores no painel de navegação esquerdo.
  4. No dashboard Utilizadores, selecione os utilizadores para os quais pretende parar a atividade de classificação.
  5. Selecione Parar a atividade de classificação para os utilizadores.

Observação

Remover um utilizador do estado no âmbito pode demorar vários minutos. Depois de concluído, o utilizador não será listado no dashboard Utilizadores. Se o utilizador removido tiver alertas ou casos ativos, o utilizador permanecerá no dashboard Utilizadores e os detalhes do utilizador mostrarão que já não estão no âmbito de uma política.

Executar tarefas automatizadas com fluxos do Power Automate para um utilizador

Com os fluxos recomendados do Power Automate, os investigadores e analistas de risco podem tomar medidas rapidamente para notificar os utilizadores quando são adicionados a uma política de risco interno.

Para executar, gerir e criar fluxos do Power Automate para utilizadores de gestão de riscos internos:

  1. Selecione Automatizar na barra de ferramentas de ação do utilizador.
  2. Selecione o fluxo do Power Automate a executar e, em seguida, selecione Executar fluxo.
  3. Após a conclusão do fluxo, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para a gestão de riscos internos, veja Introdução às definições de gestão de riscos internos.