Configuración de detecciones inteligentes en la administración de riesgos internos

Importante

Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están en su lugar para ayudar a garantizar la privacidad del nivel de usuario.

Puede usar la configuración Detecciones inteligentes en Administración de riesgos internos de Microsoft Purview para configurar exclusiones globales. Por ejemplo, es posible que quiera excluir determinados tipos de archivo o dominios de que se puntúe por riesgo. También puede usar la configuración Detecciones inteligentes para ajustar el volumen de alertas o importar Microsoft Defender para punto de conexión alertas.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Omitir datos adjuntos de firma de correo electrónico (versión preliminar)

Una de las principales fuentes de "ruido" en las directivas de administración de riesgos internos son las imágenes en las firmas de correo electrónico, que a menudo se detectan como datos adjuntos en los correos electrónicos. Esto puede dar lugar a falsos positivos de los usuarios que envían archivos potencialmente confidenciales por correo electrónico. Si se selecciona el indicador Envío de correo electrónico con datos adjuntos a destinatarios fuera de la organización , los datos adjuntos se puntuan como cualquier otro archivo adjunto de correo electrónico enviado fuera de la organización, incluso si lo único que aparece en los datos adjuntos es la firma de correo electrónico. Puede excluir que los datos adjuntos de firma de correo electrónico se puntúen en esta situación activando la opción Omitir datos adjuntos de firma de correo electrónico .

Al activar esta configuración, se elimina significativamente el ruido de los datos adjuntos de firma de correo electrónico, pero no se elimina por completo todo el ruido. Esto se debe a que solo se excluyen de la puntuación los datos adjuntos de firma de correo electrónico del remitente del correo electrónico (la persona que inicia el correo electrónico o las respuestas al correo electrónico). Se seguirá puntuando un archivo adjunto de firma para cualquier usuario de la línea To, CC o BCC. Además, si alguien cambia su firma de correo electrónico, se debe generar un perfil de la nueva firma, lo que puede provocar ruido de alerta durante un breve período de tiempo.

Nota:

La opción Omitir datos adjuntos de firma de correo electrónico está desactivada de forma predeterminada.

Detección de actividad de archivos

Para excluir tipos de archivo específicos de todas las coincidencias de directivas de administración de riesgos internos, escriba extensiones de tipo de archivo separadas por comas. Por ejemplo, para excluir determinados tipos de archivos de música de las coincidencias de directiva, escriba aac,mp3,wav,wma en el campo Exclusiones de tipo de archivo . Todas las directivas de administración de riesgos internos omitirán los archivos con estas extensiones.

Volumen de alertas

A las actividades potencialmente de riesgo detectadas por las directivas de riesgo internos se les asigna una puntuación de riesgo específica, que a su vez determina la gravedad de la alerta (baja, media, alta). De forma predeterminada, la administración de riesgos internos genera una cierta cantidad de alertas de gravedad baja, media y alta, pero puede aumentar o reducir el volumen para satisfacer sus necesidades.

Para ajustar el volumen de alertas para todas las directivas de administración de riesgos internos, elija una de las siguientes opciones:

• Menos alertas: verá todas las alertas de gravedad alta, menos alertas de gravedad media y ninguna alerta de gravedad baja. Podría perder algunos verdaderos positivos si elige este nivel de configuración.
• Volumen predeterminado: verá todas las alertas de gravedad alta y una cantidad equilibrada de alertas de gravedad media y baja.
• Más alertas: verá todas las alertas de gravedad media y alta y la mayoría de las alertas de gravedad baja. Este nivel de configuración podría dar lugar a más falsos positivos.

estados de alerta de Microsoft Defender para punto de conexión

Importante

Debe configurar Microsoft Defender para punto de conexión en su organización y habilitar Defender para punto de conexión para la integración de administración de riesgos internos en El Centro de seguridad de Defender para importar alertas de infracción de seguridad. Para obtener más información sobre cómo configurar Defender para punto de conexión para la integración de la administración de riesgos internos, vea Configurar las características avanzadas de Defender para punto de conexión.

Microsoft Defender para punto de conexión es una plataforma de seguridad de punto de conexión empresarial diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. Para tener una mejor visibilidad de las infracciones de seguridad en su organización, puede importar y filtrar alertas de Defender para punto de conexión para las actividades que se usan en las directivas creadas a partir de plantillas de directivas de infracción de seguridad de administración de riesgos internos.

En función de los tipos de señales que le interesen, puede optar por importar alertas a la administración de riesgos internos en función del estado de evaluación de prioridades de alertas de Defender para punto de conexión. Puede definir uno o varios de los siguientes estados de evaluación de prioridad de alertas en la configuración global que se va a importar:

• Unknown
• Nuevo
• En curso
• Resuelto

Las alertas de Defender para punto de conexión se importan diariamente. En función del estado de evaluación de prioridades que elija, es posible que vea varias actividades de usuario para la misma alerta que cambia el estado de evaluación de prioridades en Defender para punto de conexión.

Por ejemplo, si selecciona Nuevo, En curso y Resuelto para esta configuración, cuando se genera una alerta de Microsoft Defender para punto de conexión y el estado es Nuevo, se importa una actividad de alerta inicial para el usuario en la administración de riesgos internos. Cuando el estado de evaluación de prioridades de Defender para punto de conexión cambia a En curso, se importa una segunda actividad para esta alerta. Cuando se establece el estado final de evaluación de prioridades de Defender para punto de conexión de Resuelto , se importa una tercera actividad para esta alerta. Esta funcionalidad permite a los investigadores seguir la progresión de las alertas de Defender para punto de conexión y elegir el nivel de visibilidad que requiere su investigación.

Dominios

La configuración del dominio le ayuda a definir los niveles de riesgo para las actividades de administración de riesgos para dominios específicos. Estas actividades incluyen el uso compartido de archivos, el envío de mensajes de correo electrónico, la descarga de contenido o la carga de contenido. Al especificar dominios en esta configuración, puede aumentar o reducir la puntuación de riesgo para la actividad de administración de riesgos que tiene lugar con estos dominios.

Use Agregar dominio para definir un dominio para cada uno de los valores de dominio. Además, puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel). Para especificar subdominios de varios niveles para un dominio raíz, debe activar la casilla Incluir subdominios de varios niveles .

Para cada una de las siguientes configuraciones de dominio, puede escribir hasta 500 dominios:

• Dominios no permitidos: Cuando se especifica un dominio no permitido, la actividad de administración de riesgos que tiene lugar con esos dominios tendrá una puntuación de riesgo mayor . Por ejemplo, es posible que desee especificar actividades que impliquen compartir contenido con alguien (como enviar correo electrónico a alguien con una dirección de gmail.com) o actividades que impliquen que los usuarios descarguen contenido en un dispositivo desde un dominio no permitido.

• Dominios permitidos: Las directivas omitirán la actividad de administración de riesgos relacionada con un dominio especificado en Dominios permitidos y no generará alertas. Estas actividades incluyen:

  • Email enviar a dominios externos
  • Archivos, carpetas y sitios compartidos con dominios externos
  • Archivos cargados en dominios externos (con el explorador Microsoft Edge)

  Cuando se especifica un dominio permitido, la actividad de administración de riesgos con ese dominio se trata de forma similar a cómo se trata la actividad de la organización interna. Por ejemplo, un dominio agregado en Dominios permitidos podría incluir una actividad que implica compartir contenido con alguien fuera de su organización (por ejemplo, enviar correo electrónico a alguien con una dirección de gmail.com).

• Dominios de terceros: Si su organización usa dominios de terceros con fines empresariales (como el almacenamiento en la nube), insclúyelos aquí para que pueda recibir alertas por actividades potencialmente de riesgo relacionadas con el indicador de dispositivo Use un explorador para descargar contenido de un sitio de terceros.

Exclusiones de ruta de archivo

Al especificar las rutas de acceso de archivo que se van a excluir, las actividades del usuario que se asignan a indicadores específicos y que se producen en esas ubicaciones de ruta de acceso de archivo no generarán alertas de directiva. Algunos ejemplos son copiar o mover archivos a una carpeta del sistema o a una ruta de acceso de recurso compartido de red. Puede escribir hasta 500 rutas de acceso de archivo para su exclusión.

Agregar rutas de acceso de archivo para excluir

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Seleccione el botón Configuración en la esquina superior derecha de la página.
3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
4. En Configuración de riesgos internos, seleccione Detecciones inteligentes.
5. En la sección Exclusiones de ruta de acceso de archivo, seleccione Agregar rutas de acceso de archivo para excluir.
6. En el panel Agregar una ruta de acceso de archivo , escriba un recurso compartido de red exacto o una ruta de acceso del dispositivo que se excluirá de la puntuación de riesgo.

También puede usar * y *([0-9]) para indicar carpetas y subcarpetas específicas y con caracteres comodín que se van a excluir. Para obtener más información, consulte los ejemplos siguientes.

Ejemplo	Descripción
\\ms.temp\LocalFolder\ o C:\temp	Excluye los archivos directamente en la carpeta y todas las subcarpetas de cada ruta de acceso de archivo a partir del prefijo especificado.
\public\local\	Excluye los archivos de todas las rutas de acceso de archivo que contienen el valor especificado. Coincide con "C:\Users\Public\local\", "C:\Users\User1\Public\local" y "\\ms.temp\Public\local".
C:\Users\*\Desktop	Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Desktop".
C:\Users\*(2)\Desktop	Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Shared\Desktop".

7. Seleccione Agregar rutas de acceso de archivo.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuración Detecciones>inteligentes.
4. En la sección Exclusión de ruta de acceso de archivo, seleccione Agregar rutas de acceso de archivo para excluir.
5. En el panel Agregar una ruta de acceso de archivo , escriba un recurso compartido de red exacto o una ruta de acceso del dispositivo que se excluirá de la puntuación de riesgo.

También puede usar * y *([0-9]) para indicar carpetas y subcarpetas específicas y con caracteres comodín que se van a excluir. Para obtener más información, consulte los ejemplos siguientes.

Ejemplo	Descripción
\\ms.temp\LocalFolder\ o C:\temp	Excluye los archivos directamente en la carpeta y todas las subcarpetas de cada ruta de acceso de archivo a partir del prefijo especificado.
\public\local\	Excluye los archivos de todas las rutas de acceso de archivo que contienen el valor especificado. Coincide con "C:\Users\Public\local\", "C:\Users\User1\Public\local" y "\\ms.temp\Public\local".
C:\Users\*\Desktop	Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Desktop".
C:\Users\*(2)\Desktop	Coincide con "C:\Users\user1\Desktop" y "C:\Users\user2\Shared\Desktop".

6. Seleccione Agregar rutas de acceso de archivo.

Nota:

Para eliminar una exclusión de ruta de acceso de archivo, seleccione la exclusión de ruta de acceso de archivo y, a continuación, seleccione Eliminar.

Exclusiones de ruta de acceso de archivo predeterminadas

De forma predeterminada, varias rutas de acceso de archivo se excluyen automáticamente de la generación de alertas de directiva. Las actividades de estas rutas de acceso de archivo suelen ser benignas y podrían aumentar el volumen de alertas que no requieren acción. Si es necesario, puede cancelar la selección de estas exclusiones de ruta de acceso de archivo predeterminadas para habilitar la puntuación de riesgo para las actividades de estas ubicaciones.

Las exclusiones de ruta de acceso de archivo predeterminadas son:

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

Los caracteres comodín de estas rutas de acceso indican que todos los niveles de carpeta entre \Users y \AppData se incluyen en la exclusión. Por ejemplo, las actividades de C:\Users\Test1\AppData\Local y C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (etc.) se incluirán y no se puntuarán como riesgo como parte de la selección de exclusión \Users\*\AppData\Local .

Exclusiones de tipos de información confidencial (versión preliminar)

Los tipos de información confidencial excluidos se asignan a indicadores y desencadenadores que implican actividades relacionadas con archivos para Endpoint, SharePoint, Teams, OneDrive y Exchange. Estos tipos excluidos se tratan como tipos de información no confidenciales. Si un archivo contiene cualquier tipo de información confidencial identificada en esta sección, el archivo se puntuará como riesgo, pero no se mostrará como actividades relacionadas con el contenido relacionado con tipos de información confidencial. Para obtener una lista completa de tipos de información confidencial, consulte Definiciones de entidades de tipo de información confidencial.

Puede seleccionar los tipos de información confidencial que se van a excluir de la lista de todos los tipos disponibles (integrados y personalizados) disponibles en el inquilino. Puede elegir hasta 500 tipos de información confidencial que se van a excluir.

Nota:

La lista de exclusión de tipos de información confidencial tiene prioridad sobre la lista de contenido de prioridad .

Excluir tipos de información confidencial

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Seleccione el botón Configuración en la esquina superior derecha de la página.
3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
4. En Configuración de riesgos internos, seleccione Detecciones inteligentes.
5. En la sección Tipos de información confidencial , seleccione Agregar tipos de información confidencial para excluir.
6. En el panel Agregar o editar tipo de información confidencial , seleccione los tipos que desea excluir.
7. Seleccione Agregar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuración Detecciones>inteligentes.
4. En la sección Tipos de información confidencial , seleccione Agregar tipos de información confidencial para excluir.
5. En el panel Agregar o editar tipo de información confidencial , seleccione los tipos que desea excluir.
6. Seleccione Agregar.

Nota:

Para eliminar una exclusión de tipo de información confidencial, seleccione la exclusión y, a continuación, seleccione Eliminar.

Exclusión del clasificador entrenable (versión preliminar)

Los clasificadores entrenables excluidos se asignan a indicadores y desencadenadores que implican actividades relacionadas con archivos para SharePoint, Teams, OneDrive y Exchange. Si algún archivo contiene cualquier clasificador que se pueda entrenar identificado en esta sección, se puntuará el riesgo del archivo, pero no se mostrará como actividad que implique contenido relacionado con clasificadores entrenables. Para obtener una lista completa de clasificadores previamente entrenados, consulte Definiciones de clasificadores entrenables.

Puede seleccionar los clasificadores entrenables que se van a excluir de la lista de todos los tipos disponibles (de fábrica y personalizados) disponibles en el inquilino. La administración de riesgos internos excluye algunos clasificadores entrenables de forma predeterminada, como Amenazas, Profanidad, Acoso dirigido, Lenguaje ofensivo y Discriminación. Puede elegir hasta 500 clasificadores entrenables que se excluirán.

Nota:

Opcionalmente, puede elegir clasificadores entrenables para que se incluyan en la lista de contenido de prioridad .

Exclusión de clasificadores entrenables

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Seleccione el botón Configuración en la esquina superior derecha de la página.
3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
4. En Configuración de riesgos internos, seleccione Detecciones inteligentes.
5. En la sección Clasificadores entrenables , seleccione Agregar clasificadores entrenables para excluir.
6. En el panel Agregar o editar clasificadores entrenables , seleccione los clasificadores que desea excluir.
7. Seleccione Agregar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuración Detecciones>inteligentes.
4. En la sección Clasificadores entrenables , seleccione Agregar clasificadores entrenables para excluir.
5. En el panel Agregar o editar clasificadores entrenables , seleccione los clasificadores que desea excluir.
6. Seleccione Agregar.

Nota:

Para eliminar una exclusión de clasificadores entrenables, seleccione la exclusión y, a continuación, seleccione Eliminar.

Exclusiones de sitios

Configure exclusiones de direcciones URL del sitio para evitar que las posibles actividades de riesgo que se producen en SharePoint (y sitios de SharePoint asociados a sitios de canal de Teams) generen alertas de directiva. Es posible que desee considerar la posibilidad de excluir sitios y canales que contengan archivos y datos no confidenciales que se puedan compartir con las partes interesadas o el público. Puede escribir hasta 500 rutas de acceso de dirección URL de sitio para excluir.

Agregar rutas de acceso de dirección URL del sitio para excluir

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Seleccione el botón Configuración en la esquina superior derecha de la página.
3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
4. En Configuración de riesgos internos, seleccione Detecciones inteligentes.
5. En la sección Exclusión de direcciones URL del sitio , seleccione Agregar o editar sitios de SharePoint.
6. En el panel Agregar o editar sitios de SharePoint , escriba o busque el sitio de SharePoint que se excluirá de la puntuación de riesgo.
7. Seleccione Agregar.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuración Detecciones>inteligentes.
4. En la sección Exclusión de direcciones URL del sitio , seleccione Agregar o editar sitios de SharePoint.
5. En el panel Agregar o editar sitios de SharePoint , escriba o busque el sitio de SharePoint que se excluirá de la puntuación de riesgo.
6. Seleccione Agregar.

Nota:

• Para editar una ruta de acceso de dirección URL del sitio que se va a excluir, seleccione Editar en el panel Agregar o editar sitios de SharePoint .
• Para eliminar una exclusión de dirección URL del sitio, seleccione la exclusión de la dirección URL del sitio y, a continuación, seleccione Eliminar.

Exclusión de palabras clave

Configure exclusiones para palabras clave que aparecen en nombres de archivo, rutas de acceso de archivo o líneas de asunto de mensajes de correo electrónico. Esto permite flexibilidad para las organizaciones que necesitan reducir la posible frecuencia de alerta debido al marcado de términos benignos especificados para su organización. Estas actividades relacionadas con archivos o asuntos de correo electrónico que contienen la palabra clave serán ignoradas por las directivas de administración de riesgos internos y no generarán alertas. Puede escribir hasta 500 palabras clave para excluir.

Use Excluir solo si no contiene el campo para definir agrupaciones específicas de términos que se omitirán para su exclusión. Por ejemplo, si desea excluir la palabra clave "training", pero no excluir "compliance training", escriba "compliance" (o "compliance training") en Exclude solo si no contiene campo y "training" en el campo But does contain .

Si solo quiere excluir términos independientes específicos, escriba los términos en el campo Pero contiene solo.

Adición de palabras clave independientes para excluir

Seleccione la pestaña adecuada para el portal que está usando. Para obtener más información sobre el portal de Microsoft Purview, consulte Portal de Microsoft Purview. Para más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.

Portal Microsoft Purview

1. Inicie sesión en el portal de Microsoft Purview con las credenciales de una cuenta de administrador en su organización de Microsoft 365.
2. Seleccione el botón Configuración en la esquina superior derecha de la página.
3. Seleccione Insider Risk Management para ir a la configuración de administración de riesgos internos.
4. En Configuración de riesgos internos, seleccione Detecciones inteligentes.
5. En la sección Exclusión de palabras clave , escriba las palabras clave independientes en el campo Pero contiene .
6. Seleccione Guardar para configurar las exclusiones de palabras clave.

Portal de cumplimiento

1. Inicie sesión en el portal de cumplimiento con las credenciales de una cuenta de administrador en la organización de Microsoft 365.
2. Vaya a la solución Insider Risk Management .
3. Vaya a Configuración Detecciones>inteligentes.
4. En la sección Exclusión de palabras clave , escriba las palabras clave independientes en el campo Pero contiene .
5. Seleccione Guardar para configurar las exclusiones de palabras clave.

Para eliminar una palabra clave independiente que se va a excluir:

1. En la sección Exclusión de palabras clave , seleccione la X para la palabra clave independiente específica en el campo Pero contiene . Repita el procedimiento según sea necesario para quitar varias palabras clave.
2. Haga clic en Guardar.