Gerenciar o fluxo de trabalho com os usuários de gerenciamento de risco interno dashboard

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

O Users dashboard é uma ferramenta importante no fluxo de trabalho de gerenciamento de risco interno e ajuda pesquisadores e analistas a ter uma compreensão mais completa das atividades de risco. Esse dashboard oferece exibições e recursos de gerenciamento para atender às necessidades administrativas entre a criação de políticas de gerenciamento de riscos internos e o gerenciamento de casos de gerenciamento de risco interno.

Depois que os usuários são adicionados às políticas de gerenciamento de risco interno, os processos em segundo plano estão avaliando automaticamente as atividades do usuário para disparar indicadores. Depois que os indicadores de gatilho estiverem presentes, as atividades do usuário receberão pontuações de risco. Algumas dessas atividades podem resultar em um alerta de risco interno, mas algumas atividades podem não atender a um nível mínimo de pontuação de risco e um alerta de risco interno não será criado. Os Usuários dashboard permitem exibir usuários com esses tipos de indicadores e pontuações de risco, bem como usuários que têm alertas de risco interno ativos.

Saiba mais sobre como os usuários dashboard exibem os usuários nos seguintes cenários:

• Usuários com alertas de política de risco interno ativos
• Usuários com eventos de gatilho
• Usuários identificados como potenciais usuários de alto impacto ou em grupos de usuários prioritários
• Usuários adicionados temporariamente às políticas

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Usuários com alertas de política de risco interno ativos

Os Usuários dashboard exibem automaticamente todos os usuários com alertas de política de risco interno ativos. Esses usuários com alertas têm um indicador de gatilho e uma pontuação de risco de atividade que atende aos requisitos para criar um alerta de risco interno. As atividades para esses usuários são exibidas selecionando o usuário na dashboard usuários e navegando até a guia Atividade do usuário.

Usuários com eventos de gatilho

Os Usuários dashboard exibem automaticamente todos os usuários com eventos de gatilho, mas que não têm uma pontuação de risco de atividade que criaria um alerta de risco interno. Por exemplo, um usuário com uma data de demissão relatada é exibido porque essa atividade é um evento de gatilho, mas não é uma atividade que tem uma pontuação de risco. As atividades para esses usuários são exibidas selecionando o usuário na dashboard usuários e navegando até a guia Atividade do usuário.

Usuários adicionados temporariamente às políticas

Os usuários dashboard inclui usuários adicionados a políticas de gerenciamento de risco interno após um evento incomum fora do fluxo de trabalho de gerenciamento de risco interno. Adicionar temporariamente usuários (das políticas dashboard) também é uma maneira de iniciar a pontuação da atividade do usuário para uma política de gerenciamento de risco interno para testar a política, mesmo que um conector necessário não esteja configurado.

Quando um usuário é adicionado manualmente a uma política, as atividades do usuário dos últimos 90 dias são pontuadas e adicionadas à atividade do Usuário linha do tempo. Por exemplo, você tem um usuário que não está recebendo pontuações de risco para uma política de risco interno e o usuário tem atividades de vazamento de dados relatadas ao departamento jurídico em sua organização. O departamento jurídico recomenda que você configure novos requisitos de detecção de curto prazo para o usuário. Você pode atribuir temporariamente o usuário à política de vazamentos de dados por um tempo designado (janela de ativação). Todos os usuários adicionados temporariamente são exibidos nos Usuários dashboard porque os requisitos de evento de gatilho são dispensados.

Observação

Pode levar várias horas para que novos usuários adicionados manualmente apareçam no dashboard usuários. As atividades dos últimos 90 dias para esses usuários podem levar até 24 horas para serem exibidas. Para exibir atividades para usuários adicionados manualmente, selecione o usuário na dashboard Usuários e abra a guia Atividade do usuário no painel de detalhes.

O usuário é removido automaticamente dos Usuários dashboard e a pontuação é interrompida quando o tempo definido na janela de ativação expirar se:

• o usuário não tem nenhum evento de gatilho adicional ou alertas de política de risco interno e
• se a duração da janela de ativação definida manualmente for maior do que a duração da janela de ativação da política global.

A configuração da janela de ativação com a duração mais longa sempre substitui a configuração da janela de ativação com uma duração mais curta. Por exemplo, você configurou a janela ativação na guia de prazos política global nas configurações globais de gerenciamento de risco interno por 15 dias, que é aplicada automaticamente a todas as políticas de risco interno.

Você adiciona temporariamente um usuário à política de risco interno de vazamentos de dados e define 30 dias como a janela de ativação desse usuário. A configuração da janela de ativação global de 15 dias é substituída definindo a configuração da janela de ativação de 30 dias para o usuário adicionado temporariamente. O usuário adicionado temporariamente permanecerá no dashboard usuários e ficará no escopo da política por 30 dias.

No cenário oposto em que a configuração da janela de ativação global é maior do que a configuração da janela de ativação definida para um usuário adicionado temporariamente, a configuração da janela de ativação global substituiria a configuração da janela de ativação para o usuário adicionado temporariamente. O usuário adicionado temporariamente permanecerá no dashboard usuários e estará no escopo da política para o número de dias definido nas configurações da janela de ativação global.

Exibir informações do usuário sobre os usuários dashboard

Cada usuário exibido no dashboard de Usuários tem as seguintes informações:

• Usuários: nome de usuário para um usuário. Esse campo será anonimizado se a configuração de anonimização global para gerenciamento de risco interno estiver habilitada.
• Nível de risco: nível de risco calculado atual do usuário. Essa pontuação é calculada a cada 24 horas e usa as pontuações de risco de alerta de todos os alertas ativos associados ao usuário. Para usuários com apenas indicadores de gatilho, o nível de risco é zero.
• Alertas ativos: número de alertas ativos para todas as políticas.
• Violações confirmadas: número de casos resolvidos como violação de política confirmada para o usuário.
• Caso: caso ativo atual para o usuário.

Para localizar rapidamente um usuário específico, use Pesquisa no canto superior direito do dashboard usuários. Ao pesquisar usuários, você deve usar o nome da entidade de usuário (UPN). Por exemplo, ao pesquisar por um usuário chamado 'Tiara Hidayah' que tenha um UPN de 'thidayah' em sua organização, você inseriria 'thidayah' ou alguma parte da UPN no Pesquisa.

Observação

O número de usuários exibidos nos usuários dashboard pode ser limitado em algumas instâncias, dependendo do volume de alertas ativos e políticas correspondentes. Usuários com alertas ativos são exibidos nos usuários dashboard à medida que os alertas são gerados e pode haver casos raros quando o número máximo de usuários exibidos é atingido. Se esse limite acontecer, os usuários com alertas ativos que não forem exibidos serão adicionados aos Usuários dashboard à medida que os alertas de usuário existentes forem triageados.

Exibir detalhes do usuário

Para exibir mais detalhes sobre a atividade de risco para um usuário, abra o painel de detalhes do usuário clicando duas vezes em um usuário no dashboard usuários. No painel de detalhes, você pode exibir as seguintes informações:

• Guia Perfil do usuário

  • Nome e título: nome e título de posição para o usuário de Microsoft Entra ID. Esses campos de usuário serão anonimizados ou vazios se a configuração de anonimização global para gerenciamento de risco interno estiver habilitada.
  • Detalhes do usuário: Listas se o usuário foi identificado como um usuário potencial de alto impacto ou se o usuário está em grupos de usuários prioritários.
  • Resumo de alertas e atividades: Listas alertas de usuário ativos e casos abertos.
  • Email do usuário: Email endereço para o usuário.
  • Alias: alias de rede para o usuário.
  • Organização ou departamento: organização ou departamento para o usuário.
  • No escopo: Listas atribuição no escopo do usuário às políticas.

• Guia atividade do usuário

  • Histórico de atividades recentes do usuário: Listas indicadores de gatilho e indicadores de risco interno para atividades de risco até os últimos 90 dias. Todas as atividades de risco pertinentes a indicadores de risco interno também são pontuadas, embora as atividades possam ou não ter gerado um alerta de risco interno. Disparar exemplos de indicador pode ser uma data de demissão ou a última data de trabalho agendada para o usuário. Indicadores de risco interno são atividades determinadas a ter um elemento de risco, o que pode potencialmente levar a um incidente de segurança e são definidos em políticas nas quais o usuário está incluído. As atividades de evento e risco são listadas com o item mais recente listado primeiro.

Remover usuários da atribuição no escopo para políticas

Pode haver cenários em que você precisa parar de atribuir pontuações de risco a um usuário em políticas de gerenciamento de risco interno. Use Parar a atividade de pontuação para os usuários no Dashboard para parar de atribuir pontuações de risco para um usuário de todas as políticas de gerenciamento de risco interno para as quais eles estão atualmente no escopo. Essa ação não remove o usuário da atribuição geral da política (quando você adiciona usuários ou grupos a uma configuração de política), mas simplesmente remove o usuário do processamento ativo por políticas após eventos de gatilho atuais. Se o usuário tiver outro evento de gatilho no futuro, as pontuações de risco das políticas começarão a ser atribuídas automaticamente ao usuário novamente. Quaisquer alertas ou casos existentes para esse usuário não serão removidos.

Remover um usuário do status no escopo em todas as políticas de gerenciamento de risco interno

Selecione a guia apropriada para o portal que você está usando. Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o portal de conformidade, consulte portal de conformidade do Microsoft Purview.

Portal do Microsoft Purview

1. Entre no portal do Microsoft Purview usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione Usuários na navegação à esquerda.
4. No dashboard Usuários, selecione os usuários para os quais você deseja interromper a atividade de pontuação.
5. Selecione Parar atividade de pontuação para usuários.

Portal de Conformidade

1. Entre no portal de conformidade usando credenciais para uma conta de administrador em sua organização do Microsoft 365.
2. Acesse a solução de Gerenciamento de Riscos Internos .
3. Selecione a guia Usuários.
4. No dashboard Usuários, selecione os usuários para os quais você deseja interromper a atividade de pontuação.
5. Selecione Parar atividade de pontuação para usuários.

Observação

Remover um usuário do status no escopo pode levar vários minutos. Depois de concluído, o usuário não será listado no dashboard Usuários. Se o usuário removido tiver alertas ou casos ativos, o usuário permanecerá na dashboard Usuários e os detalhes do usuário mostrarão que eles não estão mais no escopo de uma política.

Executar tarefas automatizadas com fluxos do Power Automate para um usuário

Usando fluxos recomendados do Power Automate, investigadores de risco e analistas podem agir rapidamente para notificar os usuários quando eles são adicionados a uma política de risco interno.

Para executar, gerenciar e criar fluxos do Power Automate para usuários de gerenciamento de risco interno:

1. Selecione Automatizar na barra de ferramentas de ação do usuário.
2. Escolha o fluxo do Power Automate para ser executado e selecione Executar fluxo.
3. Depois que o fluxo for concluído, selecione Concluído.

Para saber mais sobre os fluxos do Power Automate para gerenciamento de risco interno, consulte Introdução às configurações de gerenciamento de risco interno.