Investigación de actividades de administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

La investigación de actividades de usuario potencialmente arriesgadas es un primer paso importante para minimizar los riesgos internos para su organización. Estos riesgos pueden ser actividades que generan alertas a partir de directivas de administración de riesgos internos. También pueden ser riesgos de las actividades relacionadas con el cumplimiento que detectan las directivas, pero no crean inmediatamente alertas de administración de riesgos internos para los usuarios. Puede investigar estos tipos de actividades mediante los informes de actividad de usuario (versión preliminar) o con el panel Alerta.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Informes de actividad de usuario

Los informes de actividad de usuario permiten examinar actividades potencialmente de riesgo (para usuarios específicos y durante un período de tiempo definido) sin tener que asignar estas actividades, de forma temporal o explícita, a una directiva de administración de riesgos internos. En la mayoría de los escenarios de administración de riesgos internos, los usuarios se definen explícitamente en las directivas y pueden tener alertas de directiva (en función de los eventos desencadenantes) y puntuaciones de riesgo asociadas a las actividades. Pero en algunos escenarios, es posible que desee examinar las actividades de los usuarios que no se definen explícitamente en una directiva. Estas actividades pueden ser para los usuarios a los que ha recibido una sugerencia sobre el usuario y las actividades potencialmente de riesgo, o para los usuarios que normalmente no necesitan asignarse a una directiva de administración de riesgos internos.

Después de configurar los indicadores en la página Configuración de administración de riesgos internos, se detecta la actividad del usuario para la actividad potencialmente arriesgada asociada a los indicadores seleccionados. Esta configuración significa que toda la actividad detectada para los usuarios está disponible para su revisión, independientemente de si tiene un evento desencadenante o si crea una alerta. Los informes se crean por usuario y pueden incluir todas las actividades durante un período personalizado de 90 días. No se admiten varios informes para el mismo usuario.

Después de examinar actividades potencialmente peligrosas, los investigadores pueden descartar las actividades de un usuario individual como benignas. También pueden compartir o enviar por correo electrónico un vínculo al informe con otros investigadores, o bien optar por asignar usuarios (de forma temporal o explícita) a una directiva de administración de riesgos internos. Los usuarios deben estar asignados al grupo de roles Investigadores de Administración de riesgos internos para ver la página Informes de actividad de usuario .

Para empezar, seleccione Administrar informes en la sección Investigar actividad de usuario de la página Información general sobre la administración de riesgos internos.

Para ver las actividades de un usuario, seleccione primero Crear informe de actividad de usuario y complete los campos siguientes en el panel Nuevo informe de actividad de usuario :

• Usuario: Búsqueda para un usuario por nombre o dirección de correo electrónico.
• Fecha de inicio: use el control de calendario para seleccionar la fecha de inicio de las actividades del usuario.
• Fecha de finalización: use el control de calendario para seleccionar la fecha de finalización de las actividades del usuario. La fecha de finalización seleccionada debe ser mayor que dos días después de la fecha de inicio seleccionada y no superior a 90 días a partir de la fecha de inicio seleccionada.

Nota:

Los datos fuera del intervalo seleccionado se pueden incluir si el usuario se incluyó anteriormente en una alerta.

Los datos de actividad del usuario están disponibles para informar aproximadamente 48 horas después de que se produjo la actividad. Por ejemplo, para revisar los datos de actividad del usuario del 1 de diciembre, deberá asegurarse de que hayan transcurrido al menos 48 horas antes de crear el informe (crearía un informe el 3 de diciembre lo antes posible).

Los informes nuevos suelen tardar hasta 10 horas en estar listos para su revisión. Cuando el informe está listo, el informe listo aparece en la columna Estado de la página Informe de actividad del usuario. Seleccione el usuario para ver el informe detallado:

El informe de actividad de usuario del usuario seleccionado contiene las pestañas Actividad de usuario, Explorador de actividad y Pruebas forenses :

• Actividad del usuario: use esta vista de gráfico para investigar actividades potencialmente de riesgo y ver las actividades potencialmente relacionadas que se producen en secuencias. Esta pestaña está estructurada para permitir la revisión rápida de un caso, incluida una escala de tiempo histórica de todas las actividades, los detalles de la actividad, la puntuación de riesgo actual del usuario en el caso, la secuencia de eventos de riesgo y los controles de filtrado para ayudar con los esfuerzos de investigación.
• Explorador de actividades: esta pestaña proporciona a los investigadores de riesgos una herramienta de análisis completa que proporciona información detallada sobre las actividades. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de la actividad de riesgo detectada e identificar y filtrar todas las actividades potencialmente de riesgo asociadas a alertas. Para más información sobre el uso del Explorador de actividad, consulte la sección Explorador de actividad más adelante en este artículo.

Panel de alertas

Las alertas de administración de riesgos internos se generan automáticamente mediante indicadores de riesgo definidos en las directivas de administración de riesgos internos. Estas alertas proporcionan a los analistas e investigadores de cumplimiento una visión general del estado actual del riesgo y permiten a su organización evaluar y tomar medidas para detectar posibles riesgos. De forma predeterminada, las directivas generan una cierta cantidad de alertas de gravedad baja, media y alta, pero puede aumentar o reducir el volumen de alertas para satisfacer sus necesidades. Además, puede configurar el umbral de alerta para los indicadores de directiva al crear una nueva directiva con la herramienta de creación de directivas.

Nota:

Para las alertas que se generan, la administración de riesgos internos genera una única alerta agregada por usuario. Cualquier nueva información para ese usuario se agrega a la misma alerta.

Consulte el vídeo Experiencia de evaluación de prioridades de Insider Risk Management para obtener información general sobre cómo las alertas proporcionan detalles, contexto y contenido relacionado para la actividad de riesgo y cómo hacer que el proceso de investigación sea más eficaz.

Nota:

Si las directivas tienen como ámbito una o varias unidades administrativas, solo puede ver alertas para los usuarios a los que tiene el ámbito. Por ejemplo, si un ámbito administrativo se aplica solo a los usuarios de Alemania, solo puede ver alertas para los usuarios de Alemania. Los administradores sin restricciones pueden ver todas las alertas de todos los usuarios de la organización.

El panel de alertas de riesgo interno permite ver y actuar sobre las alertas generadas por las directivas de riesgo internos. Cada widget de informe muestra información de los últimos 30 días.

• Total de alertas que necesitan revisión: se muestra el número total de alertas que necesitan revisión y evaluación de prioridades, incluido un desglose por gravedad de alerta.
• Alertas abiertas en los últimos 30 días: el número total de alertas creadas por la directiva coincide en los últimos 30 días, ordenado por niveles de gravedad de alertas altos, medios y bajos.
• Tiempo medio para resolver alertas: un resumen de las estadísticas de alertas útiles:
  • Tiempo medio para resolver alertas de gravedad alta, expresado en horas, días o meses.
  • Tiempo medio para resolver alertas de gravedad media, expresado en horas, días o meses.
  • Tiempo medio para resolver alertas de gravedad baja, expresado en horas, días o meses.

Nota:

La administración de riesgos internos usa la limitación de alertas integrada para ayudar a proteger y optimizar su investigación de riesgos y experiencia de revisión. Esta limitación protege frente a problemas que pueden dar lugar a una sobrecarga de alertas de directiva, como conectores de datos mal configurados o directivas de prevención de pérdida de datos. Como resultado, es posible que haya un retraso al mostrar nuevas alertas para un usuario.

Estado de alerta y gravedad

Puede clasificar las alertas en uno de los siguientes estados:

• Confirmado: una alerta confirmada y asignada a un caso nuevo o existente.
• Descartado: una alerta descartada como benigna en el proceso de triaje. Puede proporcionar un motivo para el despido de la alerta e incluir notas que estén disponibles en el historial de alertas del usuario para proporcionar contexto adicional para futuras referencias o para otros revisores. Los motivos pueden variar entre las actividades esperadas, los eventos no prácticos, simplemente reducir el número de actividades de alerta para el usuario o un motivo relacionado con las notas de alerta. Las opciones de clasificación de motivos incluyen actividad que se espera para este usuario, la actividad es lo suficientemente impactante como para que yo investigue más y las alertas para este usuario contienen demasiada actividad.
• Revisión de necesidades: una nueva alerta en la que aún no se han realizado acciones de evaluación de prioridades.
• Resuelto: alerta que forma parte de un caso cerrado y resuelto.

Las puntuaciones de riesgo de alerta se calculan automáticamente a partir de varios indicadores de actividad de riesgo. Estos indicadores incluyen el tipo de actividad de riesgo, el número y la frecuencia de la aparición de la actividad, el historial de la actividad de riesgo de los usuarios y la adición de riesgos de actividad que pueden aumentar la gravedad de la actividad potencialmente riesgosa. La puntuación de riesgo de alerta controla la asignación mediante programación de un nivel de gravedad de riesgo para cada alerta y no se puede personalizar. Si las alertas siguen sin administrarse y las actividades de riesgo continúan acumulando en la alerta, el nivel de gravedad del riesgo puede aumentar. Los analistas e investigadores de riesgos pueden usar la gravedad del riesgo de alertas para ayudar a evaluar las alertas de acuerdo con las directivas y estándares de riesgo de su organización.

Los niveles de gravedad del riesgo de alerta son:

• Gravedad alta: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo significativo. Las actividades de riesgo asociadas son graves, repetitivas y se relacionan fuertemente con otros factores de riesgo significativos.
• Gravedad media: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo moderado. Las actividades de riesgo asociadas son moderados, frecuentes y tienen cierta correlación con otros factores de riesgo.
• Gravedad baja: las actividades y los indicadores potencialmente peligrosos de la alerta suponen un riesgo menor. Las actividades de riesgo asociadas son menores, más poco frecuentes y no se relacionan con otros factores de riesgo significativos.

Uso del botón Copilot para resumir una alerta

Puede usar el botón Copilot para resumir rápidamente una alerta sin siquiera abrir la alerta. Al resumir una alerta con Microsoft Copilot en Purview (versión preliminar), aparece un panel de Copilot en el lado derecho de la pantalla con un resumen de alertas.

El resumen de la alerta incluye todos los detalles esenciales sobre la alerta, como la directiva que se desencadenó, la actividad que generó la alerta, el evento desencadenante, el usuario implicado, su última fecha de trabajo (si procede), los atributos de usuario clave y los principales factores de riesgo del usuario. Copilot en Purview (versión preliminar) consolida la información sobre el usuario de todas sus alertas y directivas en el ámbito y enfatiza los principales factores de riesgo del usuario.

Use el botón Copilot para resumir rápidamente cada alerta de la cola alertas y priorizar las alertas que necesitan una investigación adicional. En el caso de los falsos positivos, puede seleccionar varias alertas y descartarlas de forma masiva seleccionando Descartar alertas.

Sugerencia

También puede usar la versión independiente de Microsoft Copilot para seguridad para investigar la administración de riesgos internos, la prevención de pérdida de datos (DLP) de Microsoft Purview y las alertas de Microsoft Defender XDR.

Filtrar alertas, guardar una vista de un conjunto de filtros, personalizar columnas o buscar alertas

Según el número y el tipo de directivas activas de administración de riesgos internos de su organización, revisar una larga cola de alertas puede ser todo un reto. Para ayudarle a realizar un seguimiento de las alertas, puede hacer lo siguiente:

• Filtrar alertas por varios atributos.
• Guarde una vista de un conjunto de filtros para reutilizarlo más adelante.
• Mostrar u ocultar columnas.
• Búsqueda para una alerta.

Filtrar alertas

1. Seleccione Agregar filtro.

2. Seleccione uno o varios de los atributos siguientes:

   Atributo	Description
   Actividad que generó la alerta	Muestra la principal coincidencia de directivas y actividades potencialmente de riesgo durante el período de evaluación de la actividad que condujo a la generación de la alerta. Este valor se puede actualizar con el tiempo.
   Motivo del despido de alerta	Motivo para descartar la alerta.
   Asignado a	El administrador al que se asigna la alerta para la triaging (si está asignada).
   Directiva	El nombre de la directiva.
   Factores de riesgo	Factores de riesgo que ayudan a determinar el riesgo que puede tener la actividad de un usuario. Los valores posibles son Actividades de filtración acumulativas, Actividades que incluyen contenido prioritario, Actividades de secuencia, Actividades que incluyen dominios no permitidos, Miembro de un grupo de usuarios prioritario y Posible usuario de alto impacto.
   Gravedad	Nivel de gravedad de riesgo del usuario. Las opciones son Alta, Media, y Baja.
   Estado	Estado de la alerta. Las opciones son Confirmada, Descartada, Falta por revisar, y Resuelta.
   Hora detectada (UTC)	Las fechas de inicio y finalización para cuando se creó la alerta. El filtro busca alertas entre UTC 00:00 en la fecha de inicio y UTC 00:00 en la fecha de finalización.
   Desencadenamiento de eventos	Evento que puso al usuario en el ámbito de la directiva. El evento desencadenante puede cambiar con el tiempo.

   Los atributos que seleccione se agregan a la barra de filtros.

3. Seleccione un atributo en la barra de filtros y, a continuación, seleccione un valor por el que filtrar. Por ejemplo, seleccione el atributo Hora detectada (UTC ), escriba o seleccione las fechas en los campos Fecha de inicio y Fecha de finalización y, a continuación, seleccione Aplicar.

   Sugerencia

   Si desea empezar de nuevo en cualquier momento, seleccione Restablecer todo en la barra de filtros.

Guardar una vista de un conjunto de filtros para reutilizarlo más adelante

1. Después de aplicar los filtros como se describe en el procedimiento anterior, seleccione Guardar encima de la barra de filtros, escriba un nombre para el conjunto de filtros y, a continuación, seleccione Guardar.

   El conjunto de filtros se agrega como una tarjeta encima de la barra de filtros. Incluye un número que muestra el recuento de alertas que cumplen los criterios del conjunto de filtros.

   Nota:

   Puede guardar hasta cinco conjuntos de filtros. Si necesita eliminar un conjunto de filtros, seleccione el botón de puntos suspensivos (tres puntos) en la esquina superior derecha de la tarjeta y, a continuación, seleccione Eliminar.

2. Para volver a aplicar un conjunto de filtros guardado, simplemente seleccione la tarjeta del conjunto de filtros.

Mostrar u ocultar columnas

1. En el lado derecho de la página, seleccione Personalizar columnas.

2. Seleccione o desactive las casillas de las columnas que desea mostrar u ocultar.

La configuración de columna se guarda entre sesiones y entre exploradores.

Búsqueda para alertas

Use el control Búsqueda para buscar un nombre principal de usuario (UPN), un nombre de administrador asignado o un identificador de alerta.

Descartar varias alertas (versión preliminar)

Puede ayudar a ahorrar tiempo de evaluación para que los analistas e investigadores descarten inmediatamente varias alertas a la vez. La opción Descartar alertas de la barra de comandos le permite seleccionar una o varias alertas con un estado De necesidad de revisión en el panel y descartar rápidamente estas alertas como benignas según corresponda en el proceso de evaluación de prioridades. Puede seleccionar hasta 400 alertas para descartarlas a la vez.

Descartar una alerta de riesgo interno

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. En el panel Alertas, seleccione la alerta (o alertas) que tenga el estado Necesita revisión .
5. En la barra de comandos Alertas, seleccione Descartar alertas.
6. En el panel Descartar detalles de alertas , revise los detalles de usuario y directiva asociados a las alertas seleccionadas.
7. Seleccione Descartar alertas para resolver las alertas como benignas.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. En el panel Alertas, seleccione la alerta (o alertas) que tenga el estado Necesita revisión .
5. En la barra de comandos Alertas, seleccione Descartar alertas.
6. En el panel Descartar detalles de alertas , revise los detalles de usuario y directiva asociados a las alertas seleccionadas.
7. Seleccione Descartar alertas para resolver las alertas como benignas.

Asignación de una alerta

Si es administrador y es miembro del grupo de roles Insider Risk Management, Insider Risk Management Analysts o Insider Risk Management Investigators , puede asignar la propiedad de una alerta a usted mismo o a un usuario de administración de riesgos internos con uno de los mismos roles. Una vez asignada una alerta, también puede reasignarla a un usuario con cualquiera de los mismos roles. Solo puede asignar una alerta a un administrador a la vez.

Nota:

Si las directivas tienen como ámbito una o varias unidades administrativas, la propiedad de una alerta solo se puede conceder a los usuarios de administración de riesgos internos con los permisos de grupo de roles adecuados y el usuario resaltado en la alerta debe estar en el ámbito de la unidad de administración. Por ejemplo, si un ámbito administrativo se aplica solo a los usuarios de Alemania, el usuario de administración de riesgos internos solo puede ver alertas para los usuarios de Alemania. Los administradores sin restricciones pueden ver todas las alertas de todos los usuarios de la organización.

Una vez asignado un administrador, puede buscar por administrador.

Nota:

Los administradores contenidos en un grupo de seguridad de Microsoft Entra no se admiten para la asignación de alertas. Los administradores deben asignarse directamente a uno de los roles necesarios.

Asignación de una alerta desde el panel Alertas

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. En el panel Alertas, seleccione las alertas que desea asignar.
5. En la barra de botones situada encima de la cola de alertas, seleccione Asignar.
6. En el panel Asignar propietario del lado derecho de la pantalla, busque un administrador con los permisos adecuados y, a continuación, active la casilla para ese administrador.
7. Seleccione Asignar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. En el panel Alertas, seleccione las alertas que desea asignar.
5. En la barra de botones situada encima de la cola de alertas, seleccione Asignar.
6. En el panel Asignar propietario del lado derecho de la pantalla, busque un administrador con los permisos adecuados y, a continuación, active la casilla para ese administrador.
7. Seleccione Asignar.

Asignación de una alerta desde la página de detalles alertas

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. Seleccione una alerta.
5. En el panel de detalles de la alerta, en la esquina superior derecha de la página, seleccione Asignar.
6. En la lista Contactos sugeridos , seleccione el administrador adecuado.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. Seleccione una alerta.
5. En el panel de detalles de la alerta, en la esquina superior derecha de la página, seleccione Asignar.
6. En la lista Contactos sugeridos , seleccione el administrador adecuado.

Evaluación de las alertas

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. En el panel Alertas, seleccione la alerta que desea evaluar.
5. En la página Detalles de la alerta , puede revisar la información sobre la alerta. Puede confirmar la alerta y crear un caso nuevo, confirmar la alerta y agregarla a un caso existente, o descartar la alerta. Esta página también incluye el estado actual de la alerta y el nivel de gravedad del riesgo de alerta, que se muestran como Alto, Medio o Bajo. El nivel de gravedad puede aumentar o disminuir con el tiempo si no se evalúa la alerta.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. En el panel Alertas, seleccione la alerta que desea evaluar.
5. En la página Detalles de la alerta , puede revisar la información sobre la alerta. Puede confirmar la alerta y crear un caso nuevo, confirmar la alerta y agregarla a un caso existente, o descartar la alerta. Esta página también incluye el estado actual de la alerta y el nivel de gravedad del riesgo de alerta, que se muestran como Alto, Medio o Bajo. El nivel de gravedad puede aumentar o disminuir con el tiempo si no se evalúa la alerta.

Sección encabezado/resumen

Esta sección contiene información general sobre el usuario y la alerta. Esta información está disponible para contexto al revisar información detallada sobre la actividad de administración de riesgos detectada incluida en la alerta para el usuario:

• Actividad que generó esta alerta: muestra la principal actividad potencialmente de riesgo y la coincidencia de directivas durante el período de evaluación de la actividad que condujo a la generación de la alerta.
• Evento desencadenante: muestra el evento desencadenante más reciente que solicitó a la directiva que empezara a asignar puntuaciones de riesgo a la actividad del usuario. Si ha configurado la integración con el cumplimiento de comunicaciones para las pérdidas de datos por parte de usuarios de riesgo o infracciones de directivas de seguridad por directivas de usuarios de riesgo , el evento desencadenante de estas alertas se limita a la actividad de cumplimiento de la comunicación.
• Detalles del usuario: muestra información general sobre el usuario asignado a la alerta. Si la anonimización está habilitada, los campos nombre de usuario, dirección de correo electrónico, alias y organización se anonimizan.
• Historial de alertas de usuario: muestra una lista de alertas para el usuario durante los últimos 30 días. Incluye un vínculo para ver el historial de alertas completo del usuario.

Nota:

Cuando se detecta un usuario como un posible usuario de alto impacto, esta información se resalta en el encabezado de alerta de la página Detalles del usuario . Los detalles del usuario también incluyen un resumen con los motivos por los que se ha detectado al usuario como tal. Para obtener más información sobre cómo establecer indicadores de directiva para posibles usuarios de alto impacto, consulte Configuración de administración de riesgos internos.

Las alertas generadas a partir de directivas destinadas solo a actividades que incluyen contenido prioritario incluyen la única actividad con contenido de prioridad puntuada para esta notificación de alerta en esta sección.

Sugerencia

Para obtener información general rápida de una alerta, seleccione el botón Resumir en la página de detalles de la alerta. Al seleccionar el botón Resumir , aparece un panel Copilot en el lado derecho de la página con un resumen de alerta. El resumen de la alerta incluye todos los detalles esenciales sobre la alerta, como la directiva que se desencadenó, la actividad que generó la alerta, el evento desencadenante, el usuario implicado, su última fecha de trabajo (si procede), los atributos de usuario clave y los principales factores de riesgo del usuario. Copilot en Purview (versión preliminar) consolida la información sobre el usuario de todas sus alertas y directivas en el ámbito y enfatiza los principales factores de riesgo del usuario. También puede resumir la alerta de la cola Alertas sin tener que abrirla mediante el botón Copilot. También puede usar la versión independiente de Microsoft Copilot para seguridad para investigar la administración de riesgos internos, la prevención de pérdida de datos (DLP) de Microsoft Purview y las alertas de Microsoft Defender XDR.

Todos los factores de riesgo

Esta pestaña abre el resumen de los factores de riesgo de la actividad de alerta del usuario. Los factores de riesgo pueden ayudarle a determinar el riesgo que supone la actividad de administración de riesgos de este usuario durante la revisión. Los factores de riesgo incluyen resúmenes de:

• Principales actividades de filtración: muestra las actividades de filtración con el número o eventos más altos de la alerta.
• Actividades de filtración acumulativas: muestra eventos asociados a actividades de filtración acumulativas.
• Secuencias de actividades: muestra las actividades potencialmente de riesgo detectadas asociadas a secuencias de riesgo.
• Actividad inusual para este usuario: muestra actividades específicas para el usuario que se consideran potencialmente de riesgo, ya que son inusuales y se apartan de sus actividades típicas.
• Contenido de prioridad: muestra actividades potencialmente de riesgo asociadas con el contenido prioritario.
• Dominios no permitidos: muestra actividades potencialmente de riesgo para eventos asociados a dominios no permitidos.
• Acceso a registros de estado: muestra actividades potencialmente de riesgo para los eventos asociados con el acceso a los registros de estado.
• Uso de exploradores de riesgo: muestra actividades potencialmente arriesgadas para eventos asociados con la navegación a sitios web potencialmente inadecuados.

Con estos filtros, solo verá alertas con los factores de riesgo anteriores, pero es posible que la actividad que generó una alerta no se incluya en ninguna de estas categorías. Por ejemplo, es posible que se haya generado una alerta que contiene actividades de secuencia simplemente porque el usuario copió un archivo en un dispositivo USB.

Contenido detectado

La sección de la pestaña Todos los factores de riesgo incluye contenido asociado a las actividades de riesgo de la alerta y resume los eventos de actividad por áreas clave. Al seleccionar un vínculo de actividad, se abre el Explorador de actividades y se muestran más detalles sobre la actividad.

Explorador de actividad

Esta pestaña abre el Explorador de actividad. Para obtener más información, consulte la sección Explorador de actividad de este artículo.

Actividad de usuario

El gráfico de actividad De usuario es una de las herramientas más eficaces para el análisis de riesgos internos y la investigación de alertas y casos en la solución de administración de riesgos internos. Esta pestaña está estructurada para permitir la revisión rápida de todas las actividades de un usuario, incluida una escala de tiempo histórica de todas las alertas, detalles de alerta, la puntuación de riesgo actual del usuario y la secuencia de eventos de riesgo.

1. Acciones de caso: las opciones para resolver el caso se encuentran en la barra de herramientas de acciones de casos. Al ver un caso, puede resolver un caso, enviar un aviso de correo electrónico al usuario o escalar el caso para una investigación de datos o usuario.

2. Cronología de la actividad de riesgo: se muestra la cronología completa de todas las alertas de riesgo asociadas al caso, incluidos todos los detalles disponibles en la burbuja de alerta correspondiente.

3. Filtros y ordenación (versión preliminar):

   • Categoría de riesgo: Filtre las actividades por las siguientes categorías de riesgo: actividades con puntuaciones > de riesgo 15 (a menos que en una secuencia) y actividades de secuencia.
   • Tipo de actividad: Filtre las actividades por los siguientes tipos: Access, Deletion, Collection, Exfiltration, Infiltration, Ofusscation y Security.
   • Ordenar por: enumere la escala de tiempo de las actividades potencialmente de riesgo por Fecha ocurrida o Puntuación de riesgo.

4. Filtros de tiempo: de forma predeterminada, los últimos tres meses de actividades potencialmente arriesgadas se muestran en el gráfico Actividad del usuario. Puede filtrar fácilmente la vista de gráfico seleccionando las pestañas 6 Meses, 3 Meses o 1 Mes en el gráfico de burbujas.

5. Secuencia de riesgo: el orden cronológico de las actividades potencialmente arriesgadas es un aspecto importante de la investigación de riesgos y la identificación de estas actividades relacionadas es una parte importante de la evaluación del riesgo general para su organización. Las actividades de alerta relacionadas se muestran con líneas de conexión para resaltar que estas actividades están asociadas a un área de riesgo mayor. Las secuencias también se identifican en esta vista mediante un icono situado encima de las actividades de secuencia en relación con la puntuación de riesgo de la secuencia. Mantenga el puntero sobre el icono para ver la fecha y hora de la actividad de riesgo asociada a esta secuencia. Esta visión de las actividades puede ayudar a los investigadores literalmente a "conectar los puntos" para las actividades de riesgo que podrían haberse visto como eventos aislados o puntuales. Seleccione el icono o cualquier burbuja de la secuencia para mostrar los detalles de todas las actividades de riesgo asociadas. Los detalles incluyen:

   • Nombre de la secuencia.
   • Intervalo de fechas o fechas de la secuencia.
   • Puntuación de riesgo para la secuencia. Esta puntuación es la puntuación numérica de la secuencia de los niveles de gravedad de riesgo de alerta combinados para cada actividad relacionada de la secuencia.
   • Número de eventos asociados a cada alerta de la secuencia. También están disponibles vínculos a cada archivo o correo electrónico asociado a cada actividad potencialmente arriesgada.
   • Mostrar actividades en secuencia. Muestra la secuencia como una línea de resaltado en el gráfico de burbujas y expande los detalles de la alerta para mostrar todas las alertas relacionadas en la secuencia.

6. Actividad y detalles de alertas de riesgo: las actividades potencialmente de riesgo se muestran visualmente como burbujas de color en el gráfico Actividad del usuario. Las burbujas se crean para diferentes categorías de riesgo. Seleccione una burbuja para mostrar los detalles de cada actividad potencialmente de riesgo. Los detalles incluyen:

   • Fecha de la actividad de riesgo.
   • Categoría de actividad de riesgo. Por ejemplo, Email con datos adjuntos enviados fuera de la organización o archivos descargados de SharePoint Online.
   • Nivel de riesgo de la alerta. Esta puntuación es la puntuación numérica para el nivel de gravedad del riesgo de alerta.
   • Número de eventos asociada a la alerta. También están disponibles vínculos a cada archivo o correo electrónico asociado a la actividad de riesgo.

7. Actividades de filtración acumulativas: seleccione este botón para ver un gráfico visual de cómo se está creando la actividad a lo largo del tiempo para el usuario.

8. Leyenda de actividad de riesgo: en la parte inferior del gráfico de actividad del usuario, una leyenda codificada por colores le ayuda a determinar rápidamente la categoría de riesgo para cada alerta.

Explorador de actividad

Nota:

El Explorador de actividad está disponible en el área de administración de alertas para los usuarios con eventos desencadenantes después de que esta característica esté disponible en su organización.

El Explorador de actividades proporciona a los investigadores y analistas de riesgos una herramienta de análisis completa que proporciona información detallada sobre las alertas. Con el Explorador de actividades, los revisores pueden revisar rápidamente una escala de tiempo de actividad potencialmente riesgosa detectada e identificar y filtrar todas las actividades de riesgo asociadas a alertas.

Uso del explorador de actividad

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. En el panel Alertas, seleccione la alerta que desea evaluar.
5. En el panel Detalles de alertas, seleccione Abrir vista expandida.
6. En la página de la alerta seleccionada, seleccione la pestaña Explorador de actividad .

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. En el panel Alertas, seleccione la alerta que desea evaluar.
5. En el panel Detalles de alertas, seleccione Abrir vista expandida.
6. En la página de la alerta seleccionada, seleccione la pestaña Explorador de actividad .

Al revisar las actividades en el Explorador de actividades, los investigadores y analistas pueden seleccionar una actividad específica y abrir el panel de detalles de la actividad. En el panel se muestra información detallada sobre la actividad que los investigadores y analistas pueden usar durante el proceso de evaluación de prioridades de alertas. La información detallada puede proporcionar contexto para la alerta y ayudar a identificar el ámbito completo de la actividad de riesgo que desencadenó la alerta.

Al seleccionar los eventos de una actividad de la escala de tiempo de actividad, es posible que el número de actividades que se muestran en el explorador no coincida con el número de eventos de actividad enumerados en la escala de tiempo. Ejemplos de por qué puede producirse esta diferencia:

• Detección de filtración acumulativa: la detección acumulativa de filtración analiza los registros de eventos, pero aplica un modelo que incluye la desduplicación de actividades similares al riesgo de filtración acumulativa de proceso. Además, también puede haber una diferencia en el número de actividades potencialmente arriesgadas que se muestran en el Explorador de actividades si ha realizado cambios en la directiva o la configuración existentes. Por ejemplo, si modifica dominios permitidos o no permitidos o agrega nuevas exclusiones de tipos de archivo una vez creada una directiva y se han producido coincidencias de actividad potencialmente de riesgo, las actividades de detección de filtración acumulativa diferirán de los resultados antes de que cambie la directiva o la configuración. Los totales de actividad de detección de filtración acumulativa se basan en la configuración de directiva y configuración en el momento del cálculo y no incluyen actividades antes de los cambios de directiva y configuración.
• Correos electrónicos a destinatarios externos: a la actividad potencialmente arriesgada de los correos electrónicos enviados a destinatarios externos se le asigna una puntuación de riesgo en función del número de correos electrónicos enviados, que pueden no coincidir con los registros de eventos de actividad.

Secuencias que contienen eventos excluidos de la puntuación de riesgo

Una secuencia puede contener uno o varios eventos que se excluyen de la puntuación de riesgo en función de la configuración de configuración. Por ejemplo, su organización podría usar la configuración Detecciones inteligentes para excluir .png archivos de la puntuación de riesgo, ya que .png archivos normalmente no son de riesgo. Pero un archivo .png podría usarse para ofuscar una actividad malintencionada. Por este motivo, si un evento que se excluye de la puntuación de riesgo forma parte de una secuencia debido a una actividad de ofuscación, el evento se incluye en la secuencia, ya que puede ser interesante en el contexto de la secuencia.

El Explorador de actividad muestra la siguiente información para los eventos excluidos en secuencias:

• Si una secuencia contiene un paso donde se excluyen todos los eventos, la información incluye solo el nombre y la fecha de la actividad. Seleccione el vínculo Ver los eventos excluidos para filtrar los eventos excluidos en el Explorador de actividad. El icono Gráfico de dispersión de actividad de usuario tiene una puntuación de riesgo de 0 si se excluyen todos los eventos.
• Si una secuencia tiene una información en la que se excluyen algunos eventos, se muestra la información de eventos de los eventos no aislados, pero el recuento de eventos no incluye los eventos excluidos. Seleccione el vínculo Ver los eventos excluidos para filtrar los eventos excluidos en el Explorador de actividad.
• Si selecciona un vínculo de secuencia para una información, puede explorar en profundidad la secuencia de eventos en el panel de detalles de la actividad, incluidos los eventos que se excluyeron de la puntuación. Un evento excluido de la puntuación se marca como Excluido.

Filtrar alertas en el explorador de actividad

Para filtrar alertas en el Explorador de actividad para obtener información de columna, seleccione Filtros. Puede filtrar las alertas por uno o varios atributos enumerados en el panel de detalles de la alerta. El explorador de actividades también admite columnas personalizables para ayudar a los investigadores y analistas a centrar el panel en la información más importante para ellos.

Use los filtros Ámbito de actividad, Factor de riesgo y Revisar estado para mostrar y ordenar actividades e información para las áreas siguientes.

• Ámbito de actividad: filtra todas las actividades puntuadas para el usuario.

  • Toda la actividad puntuada para este usuario
  • Solo actividad puntuada en esta alerta

• Factor de riesgo: filtros para la actividad del factor de riesgo aplicable a todas las directivas que asignan puntuaciones de riesgo Esto incluye toda la actividad de todas las directivas para los usuarios dentro del ámbito.

  • Actividad inusual
  • Incluye eventos con contenido prioritario
  • Incluye eventos con dominio no permitido
  • Actividades de secuencia
  • Actividades de filtración acumulativas
  • Actividades de acceso a registros de estado
  • Uso de explorador de riesgo

• Estado de revisión: filtra el estado de revisión de la actividad.

  • todas
  • Aún no revisado (filtra cualquier actividad que formaba parte de una alerta descartada o resuelta)

Guardar una vista de un filtro para reutilizarla más adelante

Si crea un filtro y personaliza columnas para el filtro, puede guardar una vista de los cambios para que usted u otros usuarios puedan filtrar rápidamente los mismos cambios más adelante. Al guardar una vista, guarda los filtros y las columnas. Al cargar la vista, carga tanto filtros como columnas guardados.

1. Cree un filtro y personalice las columnas.

   Sugerencia

   Si desea empezar de nuevo en cualquier momento, seleccione Restablecer. Para cambiar las columnas que ha personalizado, seleccione Restablecer columnas.

2. Cuando tenga el filtro como quiera, seleccione Guardar esta vista, escriba un nombre para la vista y, a continuación, seleccione Guardar.

   Nota:

   La longitud máxima de un nombre de vista es de 40 caracteres y no se pueden usar caracteres especiales.

3. Para volver a usar la vista del filtro más adelante, seleccione Vistas y, a continuación, seleccione la vista que desea abrir en la pestaña Vistas recomendadas (muestra las vistas más usadas) o la pestaña Vistas personalizadas (los filtros usados con más frecuencia se muestran en la parte superior de la lista).

Al seleccionar una vista de esta manera, restablece todos los filtros existentes y los reemplaza por la vista que seleccionó.

Creación de un caso para una alerta

Puede crear un caso para una alerta si desea investigar aún más la actividad potencialmente de riesgo.

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione Alertas en el panel de navegación izquierdo.
4. En el panel Alertas, seleccione la alerta para la que desea confirmar y cree un nuevo caso.
5. En el panel Detalles de alertas, seleccione Acciones>Confirmar alertas & crear caso.
6. En el cuadro de diálogo Confirmar alerta y crear caso de riesgo interno , escriba un nombre para el caso, seleccione los usuarios que desea agregar como colaboradores y agregue comentarios según corresponda. Los comentarios se agregan automáticamente al caso como nota de caso.
7. Seleccione Crear caso para crear un caso nuevo.

Una vez creado el caso, los investigadores y analistas pueden administrar y actuar sobre el caso. Para obtener más información, consulte el artículo sobre el caso de administración de riesgos de Insider .

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Seleccione la pestaña Alertas .
4. En el panel Alertas, seleccione la alerta para la que desea confirmar y cree un nuevo caso.
5. En el panel Detalles de alertas, seleccione Acciones>Confirmar alertas & crear caso.
6. En el cuadro de diálogo Confirmar alerta y crear caso de riesgo interno , escriba un nombre para el caso, seleccione los usuarios que desea agregar como colaboradores y agregue comentarios según corresponda. Los comentarios se agregan automáticamente al caso como nota de caso.
7. Seleccione Crear caso para crear un caso nuevo.

Una vez creado el caso, los investigadores y analistas pueden administrar y actuar sobre el caso. Para obtener más información, consulte el artículo sobre el caso de administración de riesgos de Insider .

Límites de retención y elementos

A medida que la administración de riesgos internos alerta de la antigüedad, su valor para minimizar la actividad potencialmente riesgosa disminuye para la mayoría de las organizaciones. Por el contrario, los casos activos y los artefactos asociados (alertas, información, actividades) siempre son útiles para las organizaciones y no deben tener una fecha de expiración automática. Esto incluye todas las alertas y artefactos futuros en un estado activo para cualquier usuario asociado a un caso activo.

Para ayudar a minimizar el número de elementos anteriores que proporcionan un valor actual limitado, se aplican los siguientes límites y retención para alertas de administración de riesgos internos, casos e informes de usuario:

Elemento	Retención/límite
Alertas con estado de revisión de necesidades	120 días desde la creación de alertas y, a continuación, se elimina automáticamente
Casos activos (y artefactos asociados)	Retención indefinida, nunca expirar
Casos resueltos (y artefactos asociados)	120 días a partir de la resolución de casos y, a continuación, se elimina automáticamente
Número máximo de casos activos	100
Informes de actividades de usuario	120 días desde la creación del informe y, a continuación, se elimina automáticamente

Obtener ayuda para administrar la cola de alertas de riesgo internos

Revisar, investigar y actuar sobre alertas internas potencialmente arriesgadas son partes importantes de la minimización de los riesgos internos en su organización. Tomar medidas rápidamente para minimizar el impacto de estos riesgos puede ahorrar tiempo, dinero y ramificaciones normativas o legales para su organización. En este proceso de corrección, el primer paso para revisar las alertas puede parecer la tarea más difícil para muchos analistas e investigadores. Dependiendo de sus circunstancias, es posible que se enfrente a algunos obstáculos menores al actuar sobre alertas internas potencialmente arriesgadas. Revise las siguientes recomendaciones y obtenga información sobre cómo optimizar el proceso de revisión de alertas.

Demasiadas alertas para revisar

Si recibe muy pocas alertas:

• Actualice la configuración. Los cambios realizados en la configuración se aplican globalmente en todas las directivas.

  • Habilite más indicadores. La selección de más indicadores proporciona a las directivas un grupo mayor de actividades para detectar.

    Vaya aIndicadores de directiva deconfiguración> y, a continuación, habilite todos los indicadores disponibles y pertinentes.

  • Genere más alertas ajustando el control deslizante Volumen de alertas . Use este control deslizante para ver todas las alertas de gravedad media y alta y las alertas de gravedad más baja. Nota: Ajustar el control deslizante puede dar lugar a más falsos positivos.

    Vaya a Configuración Detecciones>inteligentesVolumen dealertas> y mueva el control deslizante a Más alertas.

• Identifique la directiva que no genera suficientes alertas:

  • Aumente la cobertura de usuario en la directiva. Las directivas con pocos usuarios incluidos en el ámbito tienen menos probabilidades de generar alertas. Si procede, considere la posibilidad de aumentar el número de usuarios en el ámbito de la directiva.

    Seleccione una directiva específica en la página Directivas , seleccione Editar directiva y, a continuación, vaya a la página Usuarios y grupos para aumentar el número de usuarios dentro del ámbito.

  • Reduzca los umbrales del desencadenador en la directiva. Las directivas basadas en las plantillas De pérdida de datos y Uso de explorador de riesgo (versión preliminar) permiten personalizar algunos umbrales de desencadenador. Estos umbrales definen cuándo comenzará a detectar las actividades del usuario. Si se reducen los umbrales de desencadenador, se reducen los criterios para que un usuario empiece a evaluarse para la actividad de riesgo. Nota: Si un usuario no aparece en la página Usuarios y grupos , significa que aún no se han cumplido los criterios de desencadenamiento de eventos.

    Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Desencadenar umbrales , seleccione la opción Usar umbrales personalizados y, a continuación, establezca los umbrales.

  • Editar indicadores en la directiva. Los indicadores son las actividades que un usuario debe realizar para considerarse de riesgo. Si no tiene muchos indicadores (actividades consideradas de riesgo) seleccionados en la directiva, es menos probable que se generen alertas.

    Vaya a la directiva específica en la página Directivas , seleccione Editar directiva y, a continuación, vaya a la página Indicadores .

  • Umbrales de indicador inferiores en la directiva. Una vez que los usuarios empiecen a evaluarse (tengan un evento desencadenante), solo se generará una alerta para esos usuarios si realizan actividades por encima de un umbral determinado que pueden indicar que su actividad es de riesgo. Si se reducen los umbrales del indicador, se reducirá el umbral que los usuarios deben superar para generar una alerta.

    Vaya a la directiva específica en la página Directivas , seleccione Editar directiva, vaya a la página Umbrales de indicador , seleccione la opción Personalizar umbrales y, a continuación, establezca los umbrales.

Demasiadas alertas para revisar

Si recibe demasiadas alertas válidas o tiene demasiadas alertas obsoletas de bajo riesgo, considere la posibilidad de realizar las siguientes acciones:

• Habilitar análisis: habilitar el análisis puede ayudarle a identificar rápidamente posibles áreas de riesgo para los usuarios y ayudar a determinar el tipo y el ámbito de las directivas de administración de riesgos internos que podría querer configurar. Para obtener más información sobre la información de análisis, consulte Configuración de administración de riesgos internos: Análisis. También puede obtener información en tiempo real del análisis si desea aprovechar una experiencia de configuración guiada (controlada por datos) para ayudarle a configurar los umbrales adecuados al crear una nueva directiva o ajustar una existente. Estas conclusiones pueden ayudarle a ajustar de forma eficaz la selección de indicadores y umbrales de aparición de actividad para que no reciba demasiadas alertas de directiva o demasiadas. Para obtener más información, consulte Uso de análisis en tiempo real para ayudar a administrar el volumen de alertas.

• Ajustar las directivas de riesgo internos: seleccionar y configurar la directiva de riesgo interno correcta es el método más básico para abordar el tipo y el volumen de alertas. A partir de la plantilla de directiva adecuada, se centran los tipos de actividades y alertas de riesgo que se ven. Otros factores que pueden afectar al volumen de alertas son el tamaño del usuario y los grupos dentro del ámbito y el contenido y los canales que se priorizan. Considere la posibilidad de ajustar las directivas para ajustar estas áreas a lo que es más importante para su organización.

• Modificar la configuración de riesgo interno: la configuración de riesgo de Insider incluye una amplia variedad de opciones de configuración que pueden afectar al volumen y los tipos de alertas que recibe. Asegúrese de revisar y comprender la siguiente configuración para filtrar el ruido de las alertas:

  • Indicadores de directiva y umbrales de indicadores
  • Detecciones inteligentes
  • Grupos de detección
  • Variantes de indicadores integrados
  • Períodos de tiempo de las directivas

• Habilitar la personalización de alertas insertadas: habilitar la personalización de alertas insertadas permite a analistas e investigadores editar directivas rápidamente al revisar alertas. Pueden actualizar umbrales para la detección de actividad con recomendaciones de Microsoft, configurar umbrales personalizados o omitir el tipo de actividad que creó la alerta. Si no está habilitado, solo los usuarios asignados al grupo de roles Insider Risk Management pueden usar la personalización de alertas en línea.

• Eliminación masiva de alertas cuando corresponda: puede ayudar a ahorrar tiempo de evaluación de la evaluación para que los analistas e investigadores descarten inmediatamente varias alertas a la vez. Puede seleccionar hasta 400 alertas para descartarlas a la vez.

No está familiarizado con el proceso de evaluación de prioridades de alertas

Investigar y actuar sobre alertas en la administración de riesgos internos es sencillo:

1. Revise el panel Alertas para ver las alertas con el estado Necesita revisar. Filtre por estado de alerta si es necesario para ayudar a localizar estos tipos de alertas.
2. Comience con las alertas con la gravedad más alta. Filtre por gravedad de alerta si es necesario para ayudar a localizar estos tipos de alertas.
3. Seleccione una alerta para detectar más información y revisar los detalles de la alerta. Si es necesario, use el Explorador de actividad para revisar una escala de tiempo del comportamiento potencialmente peligroso asociado e identificar todas las actividades de riesgo de la alerta.
4. Actuar sobre la alerta. Puede confirmar y crear un caso para la alerta o descartar y resolver la alerta.

Restricciones de recursos en mi organización

Los usuarios modernos del área de trabajo a menudo tienen una amplia variedad de responsabilidades y demandas en su tiempo. Hay varias acciones que puede realizar para ayudar a abordar las restricciones de recursos:

• Céntrese primero en los esfuerzos de analistas e investigadores en las alertas de mayor riesgo. En función de las directivas, es posible que esté capturando actividades del usuario y generando alertas con distintos grados de impacto potencial en los esfuerzos de mitigación de riesgos. Filtre las alertas por gravedad y dé prioridad a las alertas de gravedad alta .
• Asigne usuarios como analistas e investigadores. Tener al usuario adecuado asignado a los roles adecuados es una parte importante del proceso de revisión de alertas de riesgo internos. Asegúrese de que ha asignado los usuarios adecuados a los grupos de roles Insider Risk Management Analysts y Insider Risk Management Investigators .
• Use características de riesgo internos automatizadas para ayudar a descubrir las actividades de mayor riesgo.
  • Use la detección de secuencias de administración de riesgos internos y la detección de filtración acumulativa para detectar rápidamente riesgos más difíciles de encontrar en su organización.
  • Considere la posibilidad de ajustar los refuerzos de puntuación de riesgo y usar detecciones inteligentes, grupos de detección y variantes.
  • Ajuste la configuración mínima del umbral del indicador para las directivas.