Introducción a la administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Use directivas de administración de riesgos internos para identificar las actividades de riesgo y las herramientas de administración para actuar sobre alertas de riesgo en su organización. Complete los pasos siguientes para configurar los requisitos previos y configurar una directiva de administración de riesgos internos.

Importante

La solución de administración de riesgos internos proporciona una opción de nivel de inquilino para ayudar a los clientes a facilitar la gobernanza interna en el nivel de usuario. Los administradores de nivel de inquilino pueden configurar permisos para proporcionar acceso a esta solución a los miembros de la organización y configurar conectores de datos en el portal de cumplimiento Microsoft Purview importar datos pertinentes para admitir la identificación a nivel de usuario de actividad potencialmente arriesgada. Los clientes reconocen que el administrador puede calcular información relacionada con el comportamiento, el carácter o el rendimiento del usuario individual relacionada materialmente con el empleo y ponerla a disposición de otros usuarios de la organización. Además, los clientes reconocen que deben llevar a cabo su propia investigación completa relacionada con el comportamiento, el carácter o el rendimiento del usuario individual materialmente relacionados con el empleo, y no solo confiar en información del servicio de administración de riesgos internos. Los clientes son los únicos responsables de usar el servicio de administración de riesgos internos y cualquier característica o servicio asociado de conformidad con todas las leyes aplicables, incluidas las leyes relacionadas con la identificación individual del usuario y las acciones de corrección.

Para obtener más información sobre cómo las directivas de riesgo internos pueden ayudarle a administrar los riesgos en su organización, consulte Información sobre la administración de riesgos internos.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Suscripciones y licencias

Antes de empezar a trabajar con la administración de riesgos internos, debe confirmar su suscripción a Microsoft 365 y cualquier complemento. Para acceder y usar la administración de riesgos internos, los dministrators deben comprobar que su organización tiene una suscripción compatible y que las licencias adecuadas se asignan a los usuarios. Para obtener más información sobre las suscripciones y las licencias, consulte los requisitos de suscripción para la administración de riesgos internos.

Importante

La administración de riesgos internos está disponible actualmente en inquilinos hospedados en regiones geográficas y países compatibles con las dependencias del servicio de Azure. Para comprobar que la administración de riesgos internos es compatible con su organización, consulte Disponibilidad de dependencias de Azure por país o región.

Si no tiene un plan E5 Microsoft 365 Enterprise existente y quiere probar la administración de riesgos internos, puede agregar Microsoft 365 a su suscripción existente o registrarse para obtener una prueba de Microsoft 365 Enterprise E5.

Las acciones recomendadas pueden ayudar a su organización a obtener rápidamente la administración de riesgos internos. Las acciones recomendadas, que se incluyen en la página Información general , le ayudarán a seguir los pasos para configurar e implementar directivas.

Acciones recomendadas para la administración de riesgos internos.

Las siguientes recomendaciones están disponibles para ayudarle a empezar a trabajar con o maximizar la configuración de administración de riesgos internos:

  • Activar auditoría: cuando está activada, la actividad de usuario y administrador de su organización se registra en el registro de auditoría de Microsoft 365. Los exámenes de análisis y directivas de riesgo internos usan este registro para detectar actividades de riesgo.
  • Obtener permisos para usar la administración de riesgos internos: el nivel de acceso que tiene para las características de administración de riesgos internos depende del grupo de roles que se le haya asignado. Para acceder a las acciones recomendadas y configurarlas, los usuarios deben estar asignados a los grupos de roles Insider Risk Management o Insider Risk Management Admins .
  • Elegir indicadores de directiva: los indicadores son esencialmente las actividades de gestión de riesgos que desea detectar e investigar. Puede elegir indicadores para detectar la actividad en varias ubicaciones y servicios de Microsoft 365.
  • Buscar posibles riesgos internos: ejecute un análisis para detectar posibles riesgos internos que se produzcan en su organización. Después de evaluar los resultados, revise las directivas recomendadas para configurar.
  • Asignar permisos a otros usuarios: si hay miembros de equipo adicionales que serán responsables de administrar las características de riesgo interno, debe asignarlas a los grupos de roles adecuados.
  • Crear la primera directiva: para recibir alertas sobre actividades potencialmente de riesgo, debe configurar directivas basadas en plantillas predefinidas que definan las actividades de usuario que desea detectar e investigar.

Cada acción recomendada incluida en esta experiencia tiene cuatro atributos:

  • Acción: nombre y descripción de la acción recomendada.
  • Estado: estado de la acción recomendada. Los valores no se inician, En curso, Guardado para más adelante o Completado.
  • Obligatorio u opcional: si la acción recomendada es necesaria u opcional para que las características de administración de riesgos internos funcionen según lo esperado.
  • Tiempo estimado para completar: tiempo estimado para completar la acción recomendada en minutos.

Seleccione una recomendación de la lista para empezar a configurar la administración de riesgos internos. Cada acción recomendada le guía por la acción necesaria para la recomendación, incluidos los requisitos, lo que debe esperar y el impacto de configurar la característica en su organización. Cada acción recomendada se marca automáticamente como completa cuando se configura o tendrá que seleccionar manualmente la acción como completada cuando se haya configurado.

Paso 1 (obligatorio): Habilitar permisos para la administración de riesgos internos

Importante

Después de configurar los grupos de roles, los permisos del grupo de roles pueden tardar hasta 30 minutos en aplicarse a los usuarios asignados en toda la organización.

Hay seis grupos de roles que se usan para configurar las características de administración de riesgos internos. Para que la administración de riesgos de Insider esté disponible como opción de menú en Microsoft Purview y para continuar con estos pasos de configuración, debe estar asignado a uno de los siguientes roles o grupos de roles:

En función de cómo desee administrar las directivas y alertas de administración de riesgos internos, deberá asignar usuarios a grupos de roles específicos para administrar diferentes conjuntos de características de administración de riesgos internos. Puede asignar usuarios con diferentes responsabilidades de cumplimiento a grupos de roles específicos para administrar distintas áreas de las características de administración de riesgos internos. O bien, puede decidir asignar todas las cuentas de usuario para administradores, analistas, investigadores y visores designados al grupo de roles Administración de riesgos internos. Use un único grupo de roles o varios grupos de roles para adaptarse mejor a los requisitos de administración de cumplimiento.

Elija entre estas opciones de grupo de roles y acciones de solución al trabajar con la administración de riesgos internos:

Acciones Administración de riesgos internos Administradores de administración de riesgos internos Analistas de administración de riesgos internos Investigadores de administración de riesgos internos Auditores de administración de riesgos internos Aprobadores de administración de riesgos internos
Configuración de directivas y opciones No No No No
Información de análisis de acceso No No No
Acceso & investigar alertas No No No
Acceso & investigar casos No No No
Acceso & ver el Explorador de contenido No No No No
Configuración de plantillas de aviso No No No
Ver & exportar registros de auditoría No No No No
Acceso & ver capturas de pruebas forenses No No No No
Creación de una solicitud de captura de pruebas forenses No No No No
Aprobación de solicitudes de captura de pruebas forenses No No No No
Configuración de la protección adaptable No No No No
Pestaña Ver usuarios de protección adaptable No No No

Importante

Asegúrese de que siempre tiene al menos un usuario en los grupos de roles integrados Insider Risk Management o Insider Risk Management Admins (dependiendo de la opción que elija) para que la configuración de administración de riesgos internos no se incluya en un escenario de "administrador cero" si determinados usuarios abandonan la organización.

Los miembros de los siguientes roles pueden asignar usuarios a grupos de roles de administración de riesgos internos y tener los mismos permisos de solución incluidos en el grupo de roles Administradores de Administración de riesgos internos:

  • administrador global de Microsoft Entra ID
  • Administrador de cumplimiento de Microsoft Entra ID
  • Administración de la organización de Microsoft Purview
  • Administrador de cumplimiento de Microsoft Purview

Agregar usuarios al grupo de roles Insider Risk Management

Complete los pasos siguientes para agregar usuarios a este grupo de roles:

  1. Inicie sesión en Microsoft Purview con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
  2. Seleccione Permisos en el panel de navegación izquierdo y seleccione Roles en la lista Soluciones de Microsoft Purview .
  3. Seleccione el grupo de roles Administración de riesgos internos y, a continuación, seleccione Editar.
  4. Seleccione la pestaña Elegir usuarios y, a continuación, active la casilla para todos los usuarios que quiera agregar al grupo de roles.
  5. Elija Seleccionar y, a continuación, Siguiente.
  6. Seleccione Guardar para agregar los usuarios al grupo de roles. Seleccione Listo para completar los pasos.

Considere la posibilidad de usar unidades administrativas si desea limitar los permisos de usuario a una región o departamento.

Puede usar unidades administrativas en la administración de riesgos internos (versión preliminar) para limitar los permisos de usuario a un departamento o geografía determinados. Por ejemplo, una empresa global que tiene subsidiarias en todo el mundo podría querer crear una unidad de administración que proporcione un ámbito alemán para los investigadores para que solo vean la actividad del usuario para los usuarios alemanes.

Para usar unidades de administración en la administración de riesgos internos, primero debe crear las unidades de administración (si aún no se han creado) y, a continuación, asignar las unidades de administración a los miembros de los grupos de roles. Después de asignar unidades de administración a miembros de grupos de roles, esos miembros se convierten en administradores restringidos y tienen acceso limitado a la configuración de administración de riesgos internos, las directivas y los datos de usuario de la organización. Los miembros que no tienen asignadas unidades administrativas son administradores sin restricciones y tienen acceso a toda la configuración, directivas y datos de usuario.

Efecto del ámbito de la unidad de administración en los roles de administración de riesgos internos

En la tabla siguiente se muestra cómo las unidades de administración, cuando se aplican, afectan a cada combinación de tareas o roles de administración de riesgos internos.

Nota:

El ámbito, en la tabla siguiente, significa que las acciones de administrador para ese rol están limitadas por su unidad de administración asignada.

Tarea Administración de riesgos internos con ámbito Administración de administración de riesgos internos con ámbito Analistas de administración de riesgos internos de ámbito Investigadores de administración de riesgos internos de ámbito Aprobadores de administración de riesgos internos con ámbito
Configuración global Irrestricto Irrestricto Nunca permitido Nunca permitido Nunca permitido
Configurar directivas Ámbito Ámbito Nunca permitido Nunca permitido Nunca permitido
Iniciar la actividad de puntuación para los usuarios Ámbito Ámbito Ámbito Ámbito Nunca permitido
Información de análisis de acceso No permitido, si tiene ámbito No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido
Acceso e investigación de alertas Ámbito Nunca permitido Ámbito Ámbito Nunca permitido
Investigación de la actividad del usuario Ámbito Nunca permitido Nunca permitido Ámbito Nunca permitido
Acceso e investigación de casos Ámbito Nunca permitido Ámbito Ámbito Nunca permitido
Acceso y visualización del explorador de contenido Irrestricto Nunca permitido Nunca permitido Irrestricto Nunca permitido
Configuración de plantillas de aviso Irrestricto Nunca permitido Irrestricto Irrestricto Nunca permitido
Acceso y visualización de capturas de pruebas forenses No permitido, si tiene ámbito Nunca permitido Nunca permitido No permitido, si tiene ámbito Nunca permitido
Creación de una solicitud de captura de pruebas forenses No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Aprobación de solicitudes de captura de pruebas forenses No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido No permitido, si tiene ámbito
Configuración de la protección adaptable No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Pestaña Ver usuarios de Adaptive Protection No permitido, si tiene ámbito Nunca permitido No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido
Visualización del informe de estado del dispositivo No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Creación de directivas rápidas No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Configuración de directivas específicas del usuario prioritario No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Configuración de grupos de usuarios prioritarios No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido Nunca permitido Nunca permitido
Asignación o reasignación de alertas No permitido, si tiene ámbito Nunca permitido No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido
Asignar o reasignar casos No permitido, si tiene ámbito Nunca permitido No permitido, si tiene ámbito No permitido, si tiene ámbito Nunca permitido

Paso 2 (obligatorio): Habilitación del registro de auditoría de Microsoft 365

La administración de riesgos internos usa registros de auditoría de Microsoft 365 para la información de usuario y las actividades de administración de riesgos identificadas en las directivas y la información de análisis. Los registros de auditoría de Microsoft 365 son un resumen de todas las actividades de su organización y las directivas de administración de riesgos internos pueden usar estas actividades para generar información sobre directivas.

La auditoría está habilitada para organizaciones de Microsoft 365 de forma predeterminada. Algunas organizaciones pueden haber deshabilitado la auditoría por motivos específicos. Si la auditoría está deshabilitada para su organización, puede deberse a que otro administrador la ha desactivado. Se recomienda confirmar que es correcto volver a activar la auditoría al completar este paso.

Para obtener instrucciones paso a paso para activar la auditoría, consulte Activar o desactivar la búsqueda de registros de auditoría. Después de activar la auditoría, se muestra un mensaje que dice que el registro de auditoría se está preparando y que puede ejecutar una búsqueda en un par de horas después de que se complete la preparación. Solo tiene que realizar esta acción una vez. Para obtener más información sobre el uso del registro de auditoría de Microsoft 365, consulte Buscar en el registro de auditoría.

Paso 3 (opcional): Habilitación y visualización de información de análisis de riesgos internos

Si habilita el análisis de administración de riesgos internos, puede hacer lo siguiente:

  • Busque posibles riesgos internos antes de crear directivas. Puede realizar una evaluación de posibles riesgos internos en su organización sin configurar ninguna directiva de riesgo interno. Esta evaluación puede ayudar a su organización a identificar posibles áreas de mayor riesgo para el usuario y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que podría querer configurar. Esta evaluación también puede ayudarle a determinar las necesidades de licencias adicionales o la optimización futura de las directivas existentes. Los resultados del análisis pueden tardar hasta 48 horas antes de que la información esté disponible como informes para su revisión. Para más información sobre la información de análisis, consulte Configuración de administración de riesgos de Insider: Análisis y consulte el vídeo de Insider Risk Management Analytics para ayudar a comprender cómo el análisis puede ayudar a acelerar la identificación de posibles riesgos internos y ayudarle a tomar medidas rápidamente.
  • Reciba recomendaciones en tiempo real para la configuración del umbral del indicador. El ajuste manual de directivas para reducir el "ruido" puede ser una experiencia muy lenta que requiere que realice una gran cantidad de pruebas y errores para determinar la configuración deseada para las directivas. Si el análisis está activado, la administración de riesgos internos puede proporcionar recomendaciones en tiempo real para los umbrales de indicador. También puede ajustar manualmente las recomendaciones proporcionadas y ver en tiempo real cuántos usuarios se incluirán en el ámbito de la directiva en función de los cambios que realice. Más información sobre las recomendaciones de umbral de indicador en tiempo real

Nota:

Para habilitar el análisis de riesgos internos, debe ser miembro del grupo de roles Administración de riesgos internos, Administración de riesgos internos o Administrador global de Microsoft 365.

Para habilitar el análisis de riesgos internos:

  1. En Microsoft Purview, vaya a Administración de riesgos de Insider.
  2. Seleccione Ejecutar examen en la tarjeta Buscar riesgos internos en la tarjeta de la organización en la pestaña Información general sobre la administración de riesgos internos. Esta acción activa el análisis de la organización. También puede activar el examen en su organización; para ello, vaya a Configuración > de riesgo de InsiderAnalytics y habilite Examinar la actividad de usuario del inquilino para identificar posibles riesgos internos.
  3. En el panel Detalles de Analytics , seleccione Ejecutar examen para iniciar el examen de su organización. Los resultados del análisis pueden tardar hasta 48 horas antes de que la información esté disponible como informes para su revisión.

Después de revisar la información de análisis, elija las directivas de riesgo internos y configure los requisitos previos asociados que mejor cumplan la estrategia de mitigación de riesgos internos de su organización.

La mayoría de las directivas de administración de riesgos internos tienen requisitos previos que deben configurarse para que los indicadores de directiva generen alertas de actividad pertinentes. Configure los requisitos previos adecuados en función de las directivas que planee configurar para su organización.

Configuración del conector de indicador de riesgo interno (versión preliminar)

Puede ampliar la administración de riesgos internos mediante la importación de detecciones para cargas de trabajo que no son de Microsoft (terceros). Por ejemplo, es posible que quiera ampliar las detecciones para incluir actividades de Salesforce y Dropbox y usarlas junto con las detecciones integradas proporcionadas por la solución de administración de riesgos internos, que se centra en servicios de Microsoft como SharePoint Online y Exchange Online.

Para llevar sus propias detecciones a la solución de administración de riesgos internos, importe detecciones preprocesadas y agregadas de soluciones de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel o Splunk. Para ello, importe un archivo de ejemplo en el Asistente para conectores de indicadores de riesgo internos. El Asistente para conectores analiza el archivo de ejemplo y configura el esquema necesario.

Nota:

Actualmente, no se pueden importar señales de detección "sin procesar" a la administración de riesgos internos. Solo puede importar agregaciones preprocesadas como un archivo.

Puede usar un indicador personalizado como:

  • Desencadenador que se usa para incluir a un usuario en el ámbito de una directiva.
  • Indicador de directiva que se usa para puntuar el riesgo del usuario.

Consulte el artículo sobre el conector De indicadores de riesgo internos para obtener instrucciones paso a paso para configurar el conector de indicadores de riesgo internos para su organización. Una vez configurado el conector, vuelva a estos pasos de configuración.

Configuración del conector de RR. HH. de Microsoft 365

La administración de riesgos internos admite la importación de datos de usuario y registro importados desde plataformas de administración de riesgos de terceros y recursos humanos. El conector de datos de Recursos humanos (RR. HH.) de Microsoft 365 permite extraer datos de recursos humanos de archivos CSV, incluidas las fechas de finalización del usuario, las últimas fechas de empleo, las notificaciones del plan de mejora del rendimiento, las acciones de revisión del rendimiento y el estado de cambio en el nivel de trabajo. Estos datos ayudan a impulsar los indicadores de alerta en las directivas de administración de riesgos internos y es una parte importante de la configuración de cobertura completa de la administración de riesgos en su organización. Si configura más de un conector de RR. HH. para su organización, la administración de riesgos internos extrae automáticamente los indicadores de todos los conectores de RR. HH.

El conector de RR. HH. de Microsoft 365 es necesario cuando se usan las siguientes plantillas de directiva:

  • Pérdidas de datos por parte de usuarios de riesgo
  • Robo de datos de usuario de salida
  • Uso indebido de datos de pacientes
  • Infracciones de la directiva de seguridad por parte de los usuarios que abandonan la organización
  • Infracciones de directivas de seguridad por parte de usuarios de riesgo

Consulte el artículo Configuración de un conector para importar datos de RR. HH . para obtener instrucciones paso a paso para configurar el conector de RR. HH. de Microsoft 365 para su organización. Después de configurar el conector de RR. HH., vuelva a estos pasos de configuración.

Configuración de un conector de datos específico del sector sanitario

La administración de riesgos internos admite la importación de datos de usuario y registro importados de terceros en sistemas de registro médico electrónico (EMR) existentes. Los conectores de datos Microsoft Healthcare y Epic le permiten extraer datos de actividad del sistema EMR con archivos CSV, incluido el acceso inadecuado a registros de pacientes, actividades de volumen sospechosas y actividades de edición y exportación. Estos datos ayudan a impulsar los indicadores de alerta en las directivas de administración de riesgos internos y es una parte importante de la configuración de cobertura completa de la administración de riesgos en su organización.

Si configura más de un conector de Healthcare o Epic para su organización, la administración de riesgos internos admite automáticamente señales de eventos y actividades de todos los conectores healthcare y epic. El conector de Microsoft 365 Healthcare o Epic es necesario cuando se usan las siguientes plantillas de directiva:

  • Uso indebido de datos de pacientes

Consulte el artículo Configuración de un conector para importar datos sanitarios o Configuración de un conector para importar datos de Epic EHR para obtener instrucciones paso a paso para configurar un conector específico de la atención sanitaria para su organización. Después de configurar un conector, vuelva a estos pasos de configuración.

Configuración de directivas de prevención de pérdida de datos (DLP)

La administración de riesgos internos admite el uso de directivas DLP para ayudar a identificar la exposición intencionada o accidental de información confidencial a partes no deseadas para alertas DLP de alto nivel de gravedad. Al configurar una directiva de administración de riesgos internos con cualquiera de las plantillas de pérdida de datos , puede asignar una directiva DLP específica a la directiva para estos tipos de alertas.

Sugerencia

También puede usar la protección adaptable en la administración de riesgos internos para aplicar dinámicamente controles de protección DLP a los usuarios de alto riesgo y mantener la productividad de los usuarios de menor riesgo. Más información sobre la protección adaptable

Las directivas de pérdida de datos ayudan a identificar a los usuarios para activar la puntuación de riesgos en la administración de riesgos internos para alertas DLP de alta gravedad para información confidencial y son una parte importante de la configuración de la cobertura de administración de riesgos completa en su organización. Para obtener más información sobre la administración de riesgos internos y las consideraciones de integración y planeamiento de directivas DLP, consulte Directivas de administración de riesgos internos.

Importante

Asegúrese de que ha completado lo siguiente:

  • Comprende y configura correctamente los usuarios dentro del ámbito en las directivas de administración de riesgos DLP y insider para generar la cobertura de directivas que espera.
  • La configuración informes de incidentes de la directiva DLP para la administración de riesgos internos que se usa con estas plantillas se configura para las alertas de nivel de gravedad alta . Las alertas de administración de riesgos internos no se generarán a partir de directivas DLP con el campo Informes de incidentes establecido en Bajo o Medio.

Una directiva DLP es opcional cuando se usan las siguientes plantillas de directiva:

  • Filtración de datos
  • Filtraciones de datos por parte de usuarios prioritarios

Consulte el artículo Crear e implementar directivas de prevención de pérdida de datos para obtener instrucciones paso a paso para configurar directivas DLP para su organización. Después de configurar una directiva DLP, vuelva a estos pasos de configuración.

Nota:

DLP de punto de conexión ahora admite entornos virtualizados, lo que significa que la solución de administración de riesgos internos admite entornos virtualizados a través de DLP de punto de conexión. Más información sobre la compatibilidad con entornos virtualizados en DLP de punto de conexión

Configuración del uso compartido de los niveles de gravedad de riesgo de usuario con alertas Microsoft Defender y DLP

Puede compartir los niveles de gravedad de riesgo del usuario desde la administración de riesgos internos (versión preliminar) para proporcionar un contexto de usuario único a las alertas de Microsoft Defender y DLP. La administración de riesgos internos analiza las actividades del usuario durante un período de entre 90 y 120 días y busca comportamientos anómalos durante ese período de tiempo. Al agregar estos datos a las alertas Microsoft Defender y DLP, se mejoran los datos disponibles en esas soluciones para ayudar a los analistas a priorizar las alertas. Más información sobre cómo compartir los niveles de gravedad de riesgo del usuario con Microsoft Defender y alertas DLP

Configuración de grupos de usuarios prioritarios

La administración de riesgos internos incluye compatibilidad con la asignación de grupos de usuarios prioritarios a directivas para ayudar a identificar actividades de riesgo únicas para el usuario con posiciones críticas, altos niveles de acceso a datos y redes o un historial pasado de comportamientos de riesgo. Crear un grupo de usuarios prioritario y asignar usuarios a las directivas de ámbito de ayuda del grupo a las circunstancias únicas presentadas por estos usuarios.

Puede crear un grupo de usuarios prioritario y asignar usuarios al grupo para ayudarle a definir el ámbito de las directivas específicas de las circunstancias únicas presentadas por estos usuarios identificados. Para habilitar el refuerzo de puntuación de riesgo de grupos de usuarios prioritarios , vaya a la página de configuración de administración de riesgos de Insider y, a continuación, seleccione Indicadores de directiva y Refuerzos de puntuación de riesgo. Es más probable que estos usuarios identificados reciban alertas, por lo que los analistas e investigadores pueden revisar y priorizar la gravedad del riesgo de estos usuarios para ayudar a evaluar las alertas de acuerdo con las directivas y estándares de riesgo de su organización.

Se requiere un grupo de usuarios prioritario cuando se usan las siguientes plantillas de directiva:

  • Infracciones de la directiva de seguridad por parte de los usuarios prioritarios
  • Filtraciones de datos por parte de usuarios prioritarios

Consulte el artículo Introducción a la configuración de administración de riesgos internos para obtener instrucciones paso a paso sobre la configuración.

Configuración del conector de badging físico

La administración de riesgos internos admite la importación de datos de usuario y registro desde plataformas de control físico y acceso. El conector de badging físico permite extraer datos de acceso de archivos JSON, incluidos los identificadores de usuario, los identificadores de punto de acceso, la hora y las fechas de acceso y el estado de acceso. Estos datos ayudan a impulsar los indicadores de alerta en las directivas de administración de riesgos internos y es una parte importante de la configuración de cobertura completa de la administración de riesgos en su organización. Si configura más de un conector de badging físico para su organización, la administración de riesgos internos extrae automáticamente los indicadores de todos los conectores de badging físicos. La información del conector de badging físico complementa otras señales de riesgo internos cuando se usan todas las plantillas de directivas de riesgo internos.

Importante

Para que las directivas de administración de riesgos internos usen y correlacionen los datos de señal relacionados con los usuarios que salen y finalizan con datos de eventos de las plataformas de control físico y acceso, también debe configurar el conector de RR. HH. de Microsoft 365. Si habilita el conector de badging físico sin habilitar el conector de RR. HH. de Microsoft 365, las directivas de administración de riesgos internos solo procesarán eventos para el acceso físico no autorizado para los usuarios de su organización.

Consulte el artículo Configuración de un conector para importar datos físicos incorrectos para obtener instrucciones paso a paso para configurar el conector de badging físico para su organización. Una vez configurado el conector, vuelva a estos pasos de configuración.

Configuración de Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión es una plataforma de seguridad de punto de conexión empresarial diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. Para tener una mejor visibilidad de las infracciones de seguridad en su organización, puede importar y filtrar alertas de Defender para punto de conexión para las actividades que se usan en las directivas creadas a partir de plantillas de directivas de infracción de seguridad de administración de riesgos internos.

Si crea directivas de infracción de seguridad, debe tener Microsoft Defender para punto de conexión configuradas en su organización y habilitar Defender para punto de conexión para la integración de administración de riesgos internos en el Centro de seguridad de Defender para importar alertas de infracción de seguridad. Para obtener más información sobre los requisitos, consulte el artículo Requisitos mínimos para Microsoft Defender para punto de conexión.

Consulte el artículo Configuración de características avanzadas en Defender para punto de conexión para obtener instrucciones paso a paso para configurar Defender para punto de conexión para la integración de administración de riesgos internos. Después de configurar el Microsoft Defender para punto de conexión, vuelva a estos pasos de configuración.

Configuración de pruebas forenses

Tener contexto visual es fundamental para que los equipos de seguridad durante las investigaciones forenses obtengan mejor información sobre las actividades de usuario de riesgo que pueden provocar un incidente de seguridad. Con desencadenadores de eventos personalizables y controles integrados de protección de la privacidad de los usuarios, la evidencia forense permite la captura personalizable entre dispositivos para ayudar a su organización a mitigar, comprender y responder mejor a posibles riesgos de datos, como la filtración de datos no autorizados de datos confidenciales.

Consulte el artículo Introducción a la evidencia forense de administración de riesgos internos para obtener instrucciones paso a paso para configurar pruebas forenses para su organización.

Configuración del reconocimiento óptico de caracteres

Microsoft Purview puede buscar contenido confidencial en los documentos para ayudar a proteger esos documentos de la exposición inapropiada. Al habilitar el reconocimiento óptico de caracteres (OCR) en Microsoft Purview, los clasificadores de datos, como los tipos de información confidencial y los clasificadores entrenables, también pueden detectar caracteres en imágenes independientes. Después de configurar los valores de OCR (versión preliminar), las directivas de riesgo internos existentes se aplicarán tanto a imágenes como a documentos.

En la versión preliminar de OCR, la administración de riesgos internos admite el examen en las siguientes ubicaciones: dispositivos de punto de conexión de Windows, SharePoint Online y Teams. Exchange Online y OneDrive no se admiten para la versión preliminar.

La configuración de OCR no se aplica a los clips de evidencia forense en la administración de riesgos internos.

Obtenga más información sobre cómo configurar el examen de OCR y la facturación de pago por uso.

Paso 5 (obligatorio): Configuración de los valores de riesgo internos

La configuración de riesgos internos se aplica a todas las directivas de administración de riesgos internos, independientemente de la plantilla que elija al crear una directiva. La configuración se configura mediante el botón Configuración situado en la parte superior de las páginas de administración de riesgos internos. Estas configuraciones controlan la privacidad, los indicadores, las detecciones inteligentes y mucho más. Obtenga más información sobre la configuración que debe tener en cuenta antes de crear una directiva.

Paso 6 (obligatorio): Creación de una directiva de administración de riesgos internos

Las directivas de administración de riesgos internos incluyen usuarios asignados y definen los tipos de indicadores de riesgo que se configuran para las alertas. Antes de que las actividades potencialmente de riesgo puedan desencadenar alertas, se debe configurar una directiva. Use el asistente para directivas para crear nuevas directivas de administración de riesgos internos.

Nota:

Para crear un desencadenador o indicador personalizado para una carga de trabajo que no es de Microsoft, consulte Indicadores personalizados.

  1. En Microsoft Purview, vaya a Administración de riesgos de Insider y seleccione la pestaña Directivas .

  2. Seleccione Crear directiva para abrir el asistente de directivas.

  3. En la página Plantilla de directiva, elija una categoría de directiva y luego seleccione la plantilla para la nueva directiva. Estas plantillas están compuestas por condiciones y señales que definen las actividades de riesgo que desea detectar e investigar. Revise los requisitos previos de la plantilla, los eventos desencadenantes y las actividades detectadas para confirmar que esta plantilla de directiva se ajusta a sus necesidades.

    Importante

    Algunas plantillas de directivas tienen requisitos previos que deben configurarse para que la directiva genere las alertas relevantes. Si no ha configurado los requisitos previos de directiva aplicables, consulte el paso 4 anterior.

    Seleccione Siguiente para continuar.

  4. En la página Nombre y descripción, siga los siguientes campos:

    • Nombre (obligatorio): escriba un nombre descriptivo para la directiva. Este nombre no se puede cambiar después de crear la directiva.
    • Descripción (opcional): escriba una descripción para la directiva.

    Seleccione Siguiente para continuar.

  5. Si se han creado unidades de administrador para el inquilino, verá la página Administración unidades. De lo contrario, verá la página Usuarios y grupos y puede ir al paso siguiente.

    Si desea limitar la directiva a una o varias unidades de administración, seleccione Agregar unidades de administrador y, a continuación, seleccione las unidades de administración que desea aplicar a la directiva.

    Nota:

    Solo puede ver las unidades de administración que están limitadas a su rol. Si es un administrador sin restricciones, puede ver todas las unidades de administración del inquilino. Para ver un resumen de los grupos de roles y las unidades de administración a las que está asignado, seleccione Ver mis permisos.

    Seleccione Siguiente para continuar.

  6. En la página Usuarios y grupos , seleccione una de las siguientes opciones:

    • Incluya todos los usuarios y grupos. Al seleccionar esta opción, la administración de riesgos internos busca eventos desencadenantes para que todos los usuarios y grupos de la organización empiecen a asignar puntuaciones de riesgo para la directiva.

      Si la directiva tiene como ámbito una o varias unidades de administración, esta opción selecciona todos los usuarios y grupos dentro de las unidades administrativas.

      Nota:

      Para aprovechar las ventajas del análisis en tiempo real (versión preliminar) para la configuración del umbral de indicador, debe establecer el ámbito de la directiva para incluir todos los usuarios y grupos. El análisis en tiempo real permite ver estimaciones del número de usuarios que podrían coincidir potencialmente con un conjunto determinado de condiciones de directiva en tiempo real. Esto le ayuda a ajustar de forma eficaz la selección de indicadores y umbrales de aparición de actividad para que no tenga demasiadas alertas de directiva o demasiadas. El ámbito de la directiva para incluir todos los usuarios y grupos también proporciona una mejor protección general en todo el inquilino. Para obtener más información sobre el análisis en tiempo real para la configuración del umbral de indicador, consulte Configuración del nivel de indicador.

    • Incluya usuarios y grupos específicos. Seleccione esta opción para definir qué usuarios o grupos se incluyen en la directiva.

      Si la directiva tiene como ámbito una o varias unidades de administración, solo puede elegir usuarios dentro del ámbito de la unidad de administración.

      Nota:

      No se admiten las cuentas de invitado.

    • Agregue o edite grupos de usuarios prioritarios. Esta opción solo aparecerá si eligió la plantilla Pérdidas de datos por usuarios prioritarios . Seleccione esta opción y, a continuación, agregue o edite grupos de usuarios prioritarios.

      Nota:

      Si la plantilla de directiva se basa en grupos de usuarios prioritarios, no puede seleccionar una unidad de administración para establecer el ámbito de la directiva. Actualmente no se admiten grupos de usuarios prioritarios para su uso con unidades de administración.

    Seleccione Siguiente para continuar.

  7. En la página Contenido a priorizar, puede asignar (si es necesario) las fuentes a priorizar, lo que aumenta la posibilidad de generar una alerta de alta gravedad para estas fuentes. Seleccione una de las siguientes opciones:

    • Quiero priorizar el contenido. Al seleccionar esta opción, puede priorizar los sitios de SharePoint, las etiquetas de confidencialidad, lostipos de información confidencial y los tipos de contenido de extensiones de archivo. Si elige esta opción, debe seleccionar al menos un tipo de contenido de prioridad.

    • No quiero especificar el contenido de prioridad en este momento. Si selecciona esta opción, se omiten las páginas de detalles de contenido de prioridad del asistente.

    Seleccione Siguiente para continuar.

  8. Si ha seleccionado Quiero priorizar el contenido en el paso anterior, verá las páginas de detalles de los sitios de SharePoint, las etiquetas de confidencialidad, lostipos de información confidencial, las extensiones de archivo y la puntuación. Use estas páginas de detalles para definir sharePoint, tipos de información confidencial, etiquetas de confidencialidad, clasificadores entrenables y extensiones de archivo para priorizar en la directiva. La página Detalles de puntuación permite limitar la directiva para asignar solo puntuaciones de riesgo y generar alertas para las actividades especificadas que incluyen contenido de prioridad.

    • Sitios de SharePoint: seleccione Agregar sitio de SharePoint y seleccione los sitios de SharePoint a los que tiene acceso y desea priorizar. Por ejemplo, "group1@contoso.sharepoint.com/sites/group1".

      Nota:

      Si la directiva tiene como ámbito una o más unidades de administración, seguirá viendo todos los sitios de SharePoint, no solo los sitios de SharePoint con ámbito en las unidades de administración, ya que las unidades de administración no admiten sitios de SharePoint.

    • Tipo de información confidencial: seleccione Agregar tipo de información confidencial y seleccione los tipos de confidencialidad que desea priorizar. Por ejemplo, "Número de cuenta bancaria de EE. UU." y "Número de tarjeta de crédito".

    • Etiquetas de confidencialidad: seleccione Agregar etiquetas de confidencialidad y seleccionar las etiquetas que desea priorizar. Por ejemplo, "Confidencial" y "Secreto".

    • Clasificadores entrenables: seleccione Agregar clasificador entrenable y seleccione los clasificadores que desea priorizar. Por ejemplo, código fuente.

    • Extensiones de archivo: agregue hasta 50 extensiones de archivo. Puede incluir u omitir '.' con la extensión de archivo. Por ejemplo, .py o py priorizarían los archivos de Python.

    • Puntuación: decida si desea asignar puntuaciones de riesgo a todas las actividades de administración de riesgos detectadas por esta directiva o solo para las actividades que incluyan contenido prioritario. Elija Obtener alertas para toda la actividad o Obtener alertas solo para la actividad que incluye contenido prioritario.

    Seleccione Siguiente para continuar.

  9. Si ha seleccionado las plantillas Pérdidas de datos o Pérdidas de datos por parte de usuarios prioritarios , verá opciones en la página Desencadenadores de esta directiva para eventos de activación personalizados e indicadores de directiva. Tiene la opción de seleccionar una directiva DLP o indicadores para desencadenar eventos que lleven a los usuarios asignados a la directiva en el ámbito para la puntuación de actividad. Si selecciona la opción User matches a datas prevention (DLP) policy triggering event (Usuario coincide con una opción de evento desencadenante de la directiva de prevención de pérdida de datos [DLP] ), debe seleccionar una directiva DLP en la lista desplegable directiva DLP para habilitar los indicadores desencadenantes de la directiva DLP para esta directiva de administración de riesgos internos. Si selecciona la opción User performs an exfiltration activity triggering event (El usuario realiza una actividad de filtración desencadenante de eventos ), debe seleccionar uno o varios de los indicadores enumerados para el evento de desencadenamiento de directivas.

    Nota:

    Los grupos de usuarios prioritarios no se admiten actualmente para las unidades de administración. Si va a crear una directiva basada en la plantilla Pérdidas de datos por usuarios prioritarios o en la plantilla Infracciones de directivas de seguridad por usuarios prioritarios , no puede seleccionar unidades de administración para determinar el ámbito de la directiva. Los administradores sin restricciones pueden seleccionar grupos de usuarios prioritarios sin seleccionar unidades de administración, pero los administradores restringidos o con ámbito no pueden crear estas directivas en absoluto.

    Importante

    Si no puede seleccionar un indicador o una secuencia enumerados, es porque no están habilitados actualmente para su organización. Para que estén disponibles para seleccionar y asignar a la directiva, seleccione el símbolo del sistema Activar indicadores .

    Si ha seleccionado otras plantillas de directiva, no se admiten eventos desencadenadores personalizados. Se aplican los eventos de desencadenamiento de directivas integrados. Vaya al paso 15 sin definir atributos de directiva.

  10. Si ha seleccionado las fugas de datos por parte de usuarios de riesgo o infracciones de directivas de seguridad por plantillas de usuarios de riesgo , verá opciones en la página Desencadenadores de esta directiva para la integración con el cumplimiento de la comunicación y los eventos del conector de datos de RR. HH. Tiene la opción de asignar puntuaciones de riesgo cuando los usuarios envíen mensajes que contengan un lenguaje potencialmente amenazante, hostigador o discriminatorio, o bien incluir a los usuarios en el ámbito de la directiva después de que se notifiquen eventos de usuario de riesgo en el sistema de RR. HH. Si selecciona la opción Desencadenadores de riesgo del cumplimiento de comunicaciones (versión preliminar), puede aceptar la directiva de cumplimiento de comunicaciones predeterminada (creada automáticamente), elegir un ámbito de directiva creado anteriormente para este desencadenador o crear otra directiva con ámbito. Si selecciona eventos del conector de datos de RR. HH., debe configurar un conector de datos de RR. HH. para su organización.

    Seleccione Siguiente para continuar.

  11. Si ha seleccionado las plantillas Pérdidas de datos o Pérdidas de datos por parte de usuarios prioritarios y ha seleccionado El usuario realiza una actividad de filtración e indicadores asociados, puede elegir umbrales personalizados o predeterminados para el indicador que desencadena los eventos que ha seleccionado. Elija Usar umbrales predeterminados (recomendados) o Usar umbrales personalizados para los eventos desencadenantes.

    Seleccione Siguiente para continuar.

  12. Si ha seleccionado Usar umbrales personalizados para los eventos desencadenantes, para cada indicador de evento desencadenante que haya seleccionado en el paso 10, elija el nivel adecuado para generar el nivel deseado de alertas de actividad. Puede usar los umbrales recomendados, umbrales personalizados o umbrales basados en actividades anómalas (para determinados indicadores) por encima de la norma diaria para los usuarios.

    Seleccione Siguiente para continuar.

  13. En la página Indicadores de directiva, verá los indicadores que ha definido como disponibles en la páginaIndicadores de configuración> de riesgo interno, que incluirán variantes de indicador si ha definido alguna. Seleccione los indicadores que desea aplicar a la directiva.

    Importante

    Si los indicadores de esta página no se pueden seleccionar, tendrá que seleccionar los indicadores que desea habilitar para todas las directivas. Puede usar el botón Habilitar indicadores del asistente o seleccionar los indicadores en la página Administración de riesgos internos>Configuración>Indicadores de directiva.

    Si ha seleccionado al menos un indicador de Office o Dispositivo, seleccione los Impulsores de la puntuación de riesgo según corresponda. Los impulsores de la puntuación de riesgo solo se aplican a los indicadores seleccionados. Si ha seleccionado una plantilla de directiva de Robo de datos o Filtración de datos, seleccione uno o más métodos de Detección de Secuencia y un método de Detección de filtración acumulada para aplicar a la directiva. Si ha seleccionado la plantilla de directiva de uso de explorador de riesgo , seleccione uno o varios de los indicadores de exploración.

    Seleccione Siguiente para continuar.

  14. En la página Decidir si usar umbrales de indicadores predeterminados o personalizados , elija umbrales personalizados o predeterminados para los indicadores de directiva que ha seleccionado. Elija Usar umbrales predeterminados para todos los indicadores o Especificar umbrales personalizados para los indicadores de directiva seleccionados. Si ha seleccionado Especificar umbrales personalizados, elija el nivel adecuado para generar el nivel deseado de alertas de actividad para cada indicador de directiva.

    Sugerencia

    Seleccione el vínculo Ver impacto en la información debajo de cada conjunto de valores de umbral para ver un gráfico que puede ayudarle a determinar la configuración de umbral adecuada. Obtenga más información sobre la personalización manual de umbrales.

    Seleccione Siguiente para continuar.

  15. En la página Revisión, revise la configuración que ha elegido para la directiva y cualquier sugerencia o advertencia sobre sus selecciones. Seleccione Editar para cambiar cualquiera de los valores de la directiva o seleccione Enviar para crear y activar la directiva.

Pasos siguientes

Después de completar estos pasos para crear la primera directiva de administración de riesgos internos, empezará a recibir alertas de indicadores de actividad después de aproximadamente 24 horas. Configure directivas adicionales según sea necesario mediante las instrucciones del paso 4 de este artículo o los pasos descritos en Creación de una nueva directiva de riesgo interno.

Para más información sobre la investigación de alertas de riesgo internos y el panel Alertas, consulte Actividades de administración de riesgos internos.