Políticas de gerenciamento de risco do insiderInsider risk management policies

As políticas de gerenciamento de risco do insider determinam quais usuários estão no escopo e quais tipos de indicadores de risco estão configurados para alertas.Insider risk management policies determine which users are in-scope and which types of risk indicators are configured for alerts. Você pode criar rapidamente uma política que se aplica a todos os usuários em sua organização ou definir usuários individuais ou grupos para gerenciamento em uma política.You can quickly create a policy that applies to all users in your organization or define individual users or groups for management in a policy. As políticas dão suporte a prioridades de conteúdo para concentrar as condições de política em várias ou em Microsoft Teams, sites do SharePoint, tipos de confidencialidade de dados e rótulos de dados.Policies support content priorities to focus policy conditions on multiple or specific Microsoft Teams, SharePoint sites, data sensitivity types, and data labels. Usando modelos, você pode selecionar indicadores de risco específicos e personalizar os limites de eventos para os indicadores de política, personalizando efetivamente as pontuações de risco e o nível e a frequência dos alertas.Using templates, you can select specific risk indicators and customize event thresholds for policy indicators, effectively customizing risk scores and level and frequency of alerts. Além disso, os aceleradores de Pontuação de risco e as detecções de anomalias ajudam a identificar as atividades do usuário que têm maior importância ou mais comuns.Additionally, risk score boosters and anomaly detections help identify user activity that is of higher importance or more unusual. Políticas o Windows permite que você defina o intervalo de tempo para aplicar a política às atividades de alerta e é usado para determinar a duração da política após a ativação.Policies windows allow you to define the time frame to apply the policy to alert activities and are used to determine the duration of the policy once activated.

Painel de políticasPolicy dashboard

O painel de políticas permite ver rapidamente as políticas em sua organização e o status atual dos alertas associados a cada política.The Policy dashboard allows you to quickly see the policies in your organization and the current status of alerts associated with each policy.

  • Nome da política : o nome atribuído à política no assistente de política.Policy name : The name assigned to the policy in the policy wizard.
  • Alertas ativos : o número de alertas ativos para cada política.Active alerts : The number of active alerts for each policy.
  • Alertas confirmados : o número total de alertas que resultaram em casos da política nos últimos 365 dias.Confirmed alerts : The total number of alerts the resulted in cases from the policy in the last 365 days.
  • Ações executadas em alertas : o número total de alertas que foram confirmados ou descartados pelos últimos 365 dias.Actions taken on alerts : The total number of alerts that were confirmed or dismissed for the last 365 days.
  • Eficácia da política : a porcentagem determinada pelo total de alertas confirmados dividido pelo total de ações realizadas em alertas (que é a soma dos alertas que foram confirmados ou ignorados no último ano).Policy effectiveness : The percentage determined by total confirmed alerts divided by total actions taken on alerts (which is the sum of alerts that were confirmed or dismissed over the past year).
  • Ativo : o status da ocorrência, Sim ou não.Active : The status of the case, either Yes or No.

Painel de política de gerenciamento de risco do insider

Modelos de políticaPolicy templates

Os modelos de gerenciamento de risco do insider são condições de política predefinidas que definem os tipos de indicadores de risco e o modelo de Pontuação de risco usados pela política.Insider risk management templates are pre-defined policy conditions that define the types of risk indicators and risk scoring model used by the policy. Cada política deve ter um modelo atribuído no assistente de criação de política antes que a política seja criada.Each policy must have a template assigned in the policy creation wizard before the policy is created. O gerenciamento de risco do insider oferece suporte a até cinco políticas para cada modelo de política.Insider risk management supports up to five policies for each policy template. Ao criar uma nova política de risco de insider com o assistente de política, você escolherá um dos seguintes modelos de política:When you create a new insider risk policy with the policy wizard, you'll choose from one of the following policy templates:

Roubo de dados por parte de usuáriosData theft by departing users

Quando os usuários saem da sua organização, há indicadores de risco específicos geralmente associados ao roubo de dados, que fazem parte dos usuários.When users leave your organization, there are specific risk indicators typically associated with data theft by departing users. Este modelo de política usa indicadores para a pontuação de risco e focaliza a detecção e os alertas nessa área de risco.This policy template uses indicators for risk scoring and focuses detection and alerts to this risk area. O roubo de dados de parte dos usuários pode incluir o download de arquivos do SharePoint Online, a impressão de arquivos e a cópia de dados para serviços de armazenamento e mensagens na nuvem pessoal, perto de suas datas de demissão e término de emprego.Data theft for departing users may include downloading files from SharePoint Online, printing files, and copying data to personal cloud messaging and storage services near their employment resignation and end dates. Este modelo inicia a pontuação de indicadores de risco relacionados a essas atividades e como elas se relacionam com o status de emprego do usuário.This template starts scoring for risk indicators relating to these activities and how they correlate with user employment status.

Importante

Ao usar esse modelo, você deve configurar um conector de RH da Microsoft 365 para importar periodicamente informações de data de demissão e de término para usuários em sua organização.When using this template, you must configure a Microsoft 365 HR connector to periodically import resignation and termination date information for users in your organization. Consulte o artigo importar dados com o conector de RH para obter orientações passo a passo para configurar o Microsoft 365 HR Connector para sua organização.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Vazamentos de dados geraisGeneral data leaks

A proteção de dados e a prevenção de vazamentos de dados é um desafio constante para a maioria das organizações, especialmente com o rápido aumento de novos dados criados por usuários, dispositivos e serviços.Protecting data and preventing data leaks is a constant challenge for most organizations, particularly with the rapid grow of new data created by users, devices, and services. Os usuários são capacitados a criar, armazenar e compartilhar informações entre serviços e dispositivos que tornam o gerenciamento de vazamentos de dados cada vez mais complexo e difícil.Users are empowered to create, store, and share information across services and devices that make managing data leaks increasingly more complex and difficult. Os vazamentos de dados podem incluir o compartilhamento acidental de informações fora de sua organização ou roubo de dados com más intenções.Data leaks can include accidental oversharing of information outside your organization or data theft with malicious intent. Em conjunto com uma política de prevenção de perda de dados (DLP) atribuída, este modelo inicia a pontuação de detecções em tempo real de downloads suspeitos de dados do SharePoint Online, compartilhamento de arquivos e pastas, impressão de arquivos e cópia de dados para serviços de armazenamento e mensagens na nuvem pessoal.In conjunction with an assigned Data Loss Prevention (DLP) policy, this template starts scoring real-time detections of suspicious SharePoint Online data downloads, file and folder sharing, printing files, and copying data to personal cloud messaging and storage services.

Ao usar um modelo de vazamentos de dados , você deve atribuir uma política de DLP para acionar indicadores na política de risco do insider para alertas de alta gravidade em sua organização.When using a Data leaks template, you must assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. Sempre que um alerta de alta gravidade é gerado por uma regra de política de DLP é adicionada ao log de auditoria do Office 365, as políticas de risco do insider criadas com esse modelo examinam automaticamente o alerta de DLP de alta gravidade.Whenever a high severity alert is generated by a DLP policy rule is added to the Office 365 audit log, insider risk policies created with this template automatically examine the high severity DLP alert. Se o alerta contiver um usuário de escopo definido na política de risco Insider, o alerta será processado pela política de risco Insider como um novo alerta e receberá uma severidade de risco e uma pontuação de risco do insider.If the alert contains an in-scope user defined in the insider risk policy, the alert is processed by the insider risk policy as a new alert and assigned an insider risk severity and risk score. Essa política permite avaliar esse alerta em contexto com outras atividades incluídas no caso.This policy allows you to evaluate this alert in context with other activities included in the case.

Diretrizes de política de vazamentos de dadosData leaks policy guidelines

Ao criar ou modificar políticas de DLP para uso com políticas de gerenciamento de risco do Insider, considere as seguintes diretrizes:When creating or modifying DLP policies for use with insider risk management policies, consider the following guidelines:

  • Priorizar eventos de exfiltration de dados e ser seletivo ao atribuir configurações de relatórios de incidentes como alto ao configurar regras em suas políticas de DLP.Prioritize data exfiltration events and be selective when assigning Incident reports settings to High when configuring rules in your DLP policies. Por exemplo, o envio de documentos confidenciais por email para um concorrente conhecido deve ser um evento de nível de alerta exfiltration.For example, emailing sensitive documents to a known competitor should be a High alert level exfiltration event. A atribuição de excesso no nível alto nas configurações de relatórios de incidentes em outras regras de política de DLP pode aumentar o ruído no fluxo de trabalho de alerta de gerenciamento de risco do insider e dificultar a avaliação adequada desses alertas.Over-assigning the High level in the Incident reports settings in other DLP policy rules can increase the noise in the insider risk management alert workflow and make it more difficult for your data investigators and analysts to properly evaluate these alerts. Por exemplo, a atribuição de altos níveis de alerta às atividades de negação de acesso nas políticas de DLP torna mais desafiador avaliar o comportamento e as atividades do usuário verdadeiramente arriscados.For example, assigning High alert levels to access denial activities in DLP policies makes it more challenging to evaluate truly risky user behavior and activities.

  • Verifique se você entendeu e configurou corretamente os usuários no escopo nas políticas de gerenciamento de risco do DLP e do insider.Make sure you understand and properly configure the in-scope users in both the DLP and insider risk management policies. Somente os usuários definidos como dentro do escopo para políticas de gerenciamento de risco do insider usando o modelo de vazamentos de dados terão alertas de política de DLP de alta gravidade processados.Only users defined as in-scope for insider risk management policies using the Data leaks template will have high severity DLP policy alerts processed. Além disso, somente usuários definidos como dentro do escopo em uma regra para um alerta de DLP de alta gravidade serão examinados pela política de gerenciamento de risco do insider para fins de avaliação.Additionally, only users defined as in-scope in a rule for a high severity DLP alert will be examined by the insider risk management policy for consideration. É importante que você não configure de forma desconhecida os usuários no escopo em suas políticas de risco do DLP e do insider de uma maneira conflitante.It is important that you don't unknowingly configure in-scope users in both your DLP and insider risk policies in a conflicting manner.

    Por exemplo, se suas regras de política de DLP têm o escopo para apenas os usuários da equipe de vendas e a política de risco do insider criada a partir do modelo de vazamentos de dados tiver definido todos os usuários como dentro do escopo, a política de risco do insider só processará alertas de DLP de alta gravidade para os usuários da equipe de vendas.For example, if your DLP policy rules are scoped to only users on the Sales Team and the insider risk policy created from the Data leaks template has defined all users as in-scope, the insider risk policy will only actually process high severity DLP alerts for the users on the Sales Team. A política de risco Insider não receberá alertas de DLP de alta prioridade para que os usuários processem que não estejam definidos nas regras de DLP neste exemplo.The insider risk policy won't receive any high priority DLP alerts for users to process that aren't defined in the DLP rules in this example. Por outro lado, se sua política de gerenciamento de risco do insider criada a partir de modelos de vazamentos de dados tiver o escopo de todos os usuários da equipe de vendas e a política de DLP atribuída estiver delimitada a todos os usuários, a política de riscos Insider só processará alertas de DLP de alta gravidade para membros da equipe de vendas.Conversely, if your insider risk management policy created from Data leaks templates is scoped to only users on the Sales Team and the assigned DLP policy is scoped to all users, the insider risk policy will only process high severity DLP alerts for members of the Sales Team. A política de gerenciamento de risco do insider ignorará alertas de DLP de alta gravidade para todos os usuários que não estão na equipe de vendas.The insider risk management policy will ignore high severity DLP alerts for all users not on the Sales Team.

  • Certifique-se de que a configuração de regra relatórios de incidentes na política de DLP usada para este modelo de gerenciamento de risco do insider está configurada para alertas de alto nívelMake sure the Incident reports rule setting in the DLP policy used for this insider risk management template is configured for High severity level alerts. O alto nível de severidade é o disparo de eventos e os alertas de gerenciamento de risco do insider não serão gerados de regras nas políticas de DLP com o conjunto de campos relatórios de incidentes em baixo ou médio.The High severity level is the triggering events and insider risk management alerts won't be generated from rules in DLP policies with the Incident reports field set at Low or Medium.

    Configuração de alerta de política DLP

    Observação

    Ao criar uma nova política de DLP usando os modelos internos, você precisará selecionar a opção criar ou personalizar regras de DLP avançadas para definir a configuração de relatórios de incidentes para o nível de severidade alto .When creating a new DLP policy using the built-in templates, you'll need to select the Create or customize advanced DLP rules option to configure the Incident reports setting for the High severity level.

Cada política de gerenciamento de risco do insider criada a partir do modelo de vazamentos de dados pode ter apenas uma política de DLP atribuída.Each insider risk management policy created from the Data leaks template can only have one DLP policy assigned. Considere a criação de uma política de DLP dedicada que combine as diferentes atividades que você deseja detectar e atue como eventos de acionamento para políticas de risco de insider que usam o modelo de vazamento de dados .Consider creating a dedicated DLP policy that combines the different activities you want to detect and act as triggering events for insider risk policies that use the Data leaks template.

Consulte o artigo criar, testar e ajustar uma política de DLP para obter orientações passo a passo para configurar as políticas de DLP para sua organização.See the Create, test, and tune a DLP policy article for step-by-step guidance to configure DLP policies for your organization.

Vazamentos de dados por usuários de prioridade (visualização)Data leaks by priority users (preview)

A proteção de dados e a prevenção de vazamentos de dados para usuários em sua organização podem depender de sua posição, nível de acesso a informações confidenciais ou histórico de riscos.Protecting data and preventing data leaks for users in your organization may depend on their position, level of access to sensitive information, or risk history. Os vazamentos de dados podem incluir o supercompartilhamento acidental de informações altamente confidenciais fora de sua organização ou roubo de dados com más intenções.Data leaks can include accidental oversharing of highly sensitive information outside your organization or data theft with malicious intent. Em conjunto com uma política de prevenção de perda de dados (DLP) atribuída, este modelo inicia a pontuação de detecções em tempo real de atividades suspeitas e resulta em uma maior probabilidade de alertas de risco e alertas do insider com níveis de severidade mais altos.In conjunction with an assigned Data Loss Prevention (DLP) policy, this template starts scoring real-time detections of suspicious activity and result in an increased likelihood of insider risk alerts and alerts with higher severity levels. Prioridade os usuários são definidos em grupos de usuários de prioridade configurados na área configurações de gerenciamento de risco do insider.Priority users are defined in priority user groups configured in the insider risk management settings area.

Assim como com o modelo vazamentos de dados gerais , você deve atribuir uma política de DLP para acionar indicadores na política de risco do insider para alertas de alta gravidade em sua organização.As with the General data leaks template , you must assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. Siga as diretrizes de política de vazamento de dados acima ao criar uma política usando esse modelo.Follow the Data leaks policy guidelines above when creating a policy using this template. Além disso, você precisará atribuir grupos de usuários de prioridade criados nos grupos de usuários de prioridade de Gerenciamento de risco do insider > Settings > Priority user groups à política.Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

Vazamentos de dados por usuários descontentes (visualização)Data leaks by disgruntled users (preview)

Quando os usuários experimentam os aeroestresse de emprego, eles podem se tornar insatisfeitos, o que pode aumentar as chances de atividade de risco do insider.When users experience employment stressors, they may become disgruntled which may increase the chances of insider risk activity. Este modelo inicia a pontuação da atividade do usuário quando um indicador associado a desconter é identificado.This template starts scoring user activity when an indicator associated with disgruntlement is identified. Os exemplos incluem notificações de melhoria do desempenho, revisões de desempenho ruins ou alterações no status do nível de trabalho.Examples include performance improvement notifications, poor performance reviews, or changes to job level status. Vazamentos de dados para usuários insatisfeitos podem incluir o download de arquivos do SharePoint Online e a cópia de dados para serviços de serviço de mensagens de nuvem pessoal e serviços de armazenamento próximos a eventos de estresse de emprego.Data leaks for disgruntled users may include downloading files from SharePoint Online and copying data to personal cloud messaging and storage services near employment stressor events.

Ao usar esse modelo, você também deve configurar um conector de RH da Microsoft 365 para importar periodicamente notificações de melhoria de desempenho, status de análise de desempenho ruim ou informações de alteração de nível de trabalho para usuários em sua organização.When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. Consulte o artigo importar dados com o conector de RH para obter orientações passo a passo para configurar o Microsoft 365 HR Connector para sua organização.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Violações de política de segurança geral (versão prévia)General security policy violations (preview)

Em muitas organizações, os usuários têm permissões para instalar o software em seus dispositivos ou para modificar as configurações do dispositivo para ajudar com suas tarefas.In many organizations, users have permissions to install software on their devices or to modify device settings to help with their tasks. Inadvertidamente ou com más intenções, os usuários podem instalar malware ou desabilitar recursos de segurança importantes que ajudam a proteger informações em seus dispositivos ou em seus recursos de rede.Either inadvertently or with malicious intent, users may install malware or disable important security features that help protect information on their device or on your network resources. Este modelo de política usa alertas de segurança do Microsoft defender para o ponto de extremidade para começar a pontuação dessas atividades e detecção de foco e alertas para esta área de risco.This policy template uses security alerts from Microsoft Defender for Endpoint to start scoring these activities and focus detection and alerts to this risk area. Use este modelo para fornecer informações sobre violações de política de segurança em cenários quando os usuários podem ter um histórico de violações de política de segurança que podem ser um indicador de risco de insider.Use this template to provide insights for security policy violations in scenarios when users may have a history of security policy violations that may be an indicator of insider risk.

Você precisará ter o Microsoft defender para ponto de extremidade configurado em sua organização e habilitar o defender for Endpoint para integração de gerenciamento de risco do insider na central de segurança do defender para importar alertas de violação de segurança.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Para obter mais informações sobre como configurar o defender for Endpoint para integração do gerenciamento de risco do Insider, consulte Configure Advanced Features in defender for Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Violações de política de segurança por parte dos usuários (visualização)Security policy violations by departing users (preview)

A desativação de usuários, independentemente de termos positivos ou negativos, pode ser um risco maior para violações de política de segurança.Departing users, whether leaving on positive or negative terms, may be higher risks for security policy violations. Para ajudar a proteger contra violações de segurança inadvertidas ou mal-intencionadas para a parte dos usuários, este modelo de política usa o defender para alertas de ponto de extremidade para fornecer informações sobre atividades relacionadas à segurança.To help protect against inadvertent or malicious security violations for departing users, this policy template uses Defender for Endpoint alerts to provide insights into security-related activities. Essas atividades incluem o usuário que está instalando malware ou outros aplicativos potencialmente prejudiciais e desativando os recursos de segurança em seus dispositivos.These activities include the user installing malware or other potentially harmful applications and disabling security features on their devices. Os indicadores de política são ativados depois que os usuários têm uma data de demissão ou de término importada do Microsoft 365 HR Connector como um evento de acionamento.Policy indicators are activated after users have a resignation or termination date imported from the Microsoft 365 HR Connector as a triggering event.

Ao usar esse modelo, você deve configurar um conector de RH da Microsoft 365 para importar periodicamente informações de data de demissão e de término para usuários em sua organização.When using this template, you must configure a Microsoft 365 HR connector to periodically import resignation and termination date information for users in your organization. Consulte o artigo importar dados com o conector de RH para obter orientações passo a passo para configurar o Microsoft 365 HR Connector para sua organização.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Você precisará ter o Microsoft defender para ponto de extremidade configurado em sua organização e habilitar o defender for Endpoint para integração de gerenciamento de risco do insider na central de segurança do defender para importar alertas de violação de segurança.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Para obter mais informações sobre como configurar o defender for Endpoint para integração do gerenciamento de risco do Insider, consulte Configure Advanced Features in defender for Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Violações de política de segurança por usuários de prioridade (prévia)Security policy violations by priority users (preview)

A proteção contra violações de segurança para usuários em sua organização pode depender de sua posição, nível de acesso a informações confidenciais ou histórico de riscos.Protecting against security violations for users in your organization may depend on their position, level of access to sensitive information, or risk history. Como as violações de segurança por usuários prioritários podem ter um impacto de baixo tamanho nas áreas críticas da sua organização, esse modelo de política inicia a pontuação nesses indicadores e usa o Microsoft defender para alertas de ponto de extremidade para fornecer informações sobre atividades relacionadas à segurança para esses usuários.Because security violations by priority users may have an outsized impact on your organization's critical areas, this policy template starts scoring on these indicators and uses Microsoft Defender for Endpoint alerts to provide insights into security-related activities for these users. Podem incluir a prioridade dos usuários que instalam malware ou outros aplicativos potencialmente prejudiciais e desabilitando recursos de segurança em seus dispositivos.These may include the priority users installing malware or other potentially harmful applications and disabling security features on their devices. Prioridade os usuários são definidos em grupos de usuários de prioridade configurados na área configurações de gerenciamento de risco do insider.Priority users are defined in priority user groups configured in the insider risk management settings area.

Você precisará ter o Microsoft defender para ponto de extremidade configurado em sua organização e habilitar o defender for Endpoint para integração de gerenciamento de risco do insider na central de segurança do defender para importar alertas de violação de segurança.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Para obter mais informações sobre como configurar o defender for Endpoint para integração do gerenciamento de risco do Insider, consulte Configure Advanced Features in defender for Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint. Além disso, você precisará atribuir grupos de usuários de prioridade criados nos grupos de usuários de prioridade de Gerenciamento de risco do insider > Settings > Priority user groups à política.Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

Violações de política de segurança por usuários descontentes (visualização)Security policy violations by disgruntled users (preview)

Os usuários que experimentarem os aeroestresse podem ser um risco maior para violações de política de segurança inadvertidas ou mal-intencionadas.Users that experience employment stressors may be at a higher risk for inadvertent or malicious security policy violations. Esses encargos podem incluir o usuário que está sendo colocado em um plano de melhoria de desempenho, um status de análise de desempenho ruim ou ser rebaixado de sua posição atual.These stressors may include the user being placed on a performance improvement plan, poor performance review status, or being demoted from their current position. Este modelo de política inicia a pontuação de risco com base nesses indicadores e atividades associados a esses eventos para esses usuários.This policy template starts risk scoring based these indicators and activities associated with these events for these users.

Ao usar esse modelo, você também deve configurar um conector de RH da Microsoft 365 para importar periodicamente notificações de melhoria de desempenho, status de análise de desempenho ruim ou informações de alteração de nível de trabalho para usuários em sua organização.When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. Consulte o artigo importar dados com o conector de RH para obter orientações passo a passo para configurar o Microsoft 365 HR Connector para sua organização.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Você também precisará ter o Microsoft defender para ponto de extremidade configurado em sua organização e habilitar o defender for Endpoint para integração de gerenciamento de risco do insider na central de segurança do defender para importar alertas de violação de segurança.You'll also need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Para obter mais informações sobre como configurar o defender for Endpoint para integração do gerenciamento de risco do Insider, consulte Configure Advanced Features in defender for Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Idioma ofensivo no emailOffensive language in email

Importante

A partir de 16 de outubro de 2020, você não poderá mais criar políticas usando esse modelo.Starting October 16, 2020, you will no longer be able to create policies using this template. As políticas ativas que usam esse modelo funcionarão até que sejam permanentemente removidas em janeiro de 2021.Any active policies that use this template will work until they're permanently removed in January 2021. Estamos preterindo o classificador interno de idioma ofensivo que oferece suporte a esse modelo, pois ele está produzindo um grande número de falsos positivos.We are deprecating the Offensive Language built-in classifier that supports this template because it has been producing a high number of false positives. Para resolver problemas de risco para linguagem ofensiva, recomendamos o uso de políticas de conformidade de Comunicação do Microsoft 365.To address risk issues for offensive language, we recommend using Microsoft 365 communication compliance policies. Para obter mais informações sobre classificadores internos, confira introdução aos classificadores estagiários.For more information about built-in classifiers, see Getting started with trainable classifiers.

Detectar e realizar ações para impedir o comportamento ofensivo e abusivo é um componente essencial da prevenção de riscos.Detecting and taking action to prevent offensive and abusive behavior is a critical component of preventing risk. Classificadores internos no Microsoft 365 Scan mensagens de email de caixas de correio do Exchange Online em sua organização para diferentes tipos de problemas de conformidade.Built-in classifiers in Microsoft 365 scan sent email messages from Exchange Online mailboxes in your organization for different types of compliance issues. Esses classificadores usam uma combinação de inteligência artificial e palavras-chave para identificar o idioma em que o email provavelmente viola as políticas antiassédio.These classifiers use a combination of artificial intelligence and keywords to identify language in email likely to violate anti-harassment policies. Use este modelo para criar rapidamente uma política que use esses classificadores para detectar automaticamente o conteúdo de mensagens de email que pode ser considerado abusivo ou ofensivo.Use this template to quickly create a policy that uses these classifiers to automatically detect email message content that may be considered abusive or offensive. O gerenciamento de risco do insider usa classificadores que verificam as mensagens de email enviadas para termos do idioma inglês e uma inversão para linguagem ofensiva.Insider risk management uses classifiers that scan sent email messages for English language terms and sentiment for offensive language.

Pré-requisitos de modelo de política e eventos de disparoPolicy template prerequisites and triggering events

Dependendo do modelo escolhido para uma política de gerenciamento de risco do Insider, os eventos de acionamento e os pré-requisitos de política variam.Depending on the template you choose for an insider risk management policy, the triggering events and policy prerequisites vary. Eventos de acionamento são pré-requisitos que determinam se um usuário está ativo para uma política de gerenciamento de risco do insider.Triggering events are prerequisites that determine if a user is active for an insider risk management policy. Se um usuário for adicionado a uma política de gerenciamento de risco do Insider, mas não tiver um evento de disparo, a atividade do usuário não será avaliada pela política, a menos que sejam adicionadas manualmente no painel usuários.If a user is added to an insider risk management policy but does not have a triggering event, the user activity is not evaluated by the policy unless they are manually added in the Users dashboard. Os pré-requisitos de política são itens obrigatórios para que a política receba os sinais ou as atividades necessárias para avaliar o risco.Policy prerequisites are required items so that the policy receives the signals or activities necessary to evaluate risk.

A tabela a seguir lista os eventos de acionamento e os pré-requisitos para políticas criadas a partir de cada modelo de política de gerenciamento de risco do insider:The following table lists the triggering events and prerequisites for policies created from each insider risk management policy template:

Modelo de políticaPolicy template Disparando eventos para políticasTriggering events for policies Pré-requisitosPrerequisites
Roubo de dados por parte de usuáriosData theft by departing users Indicador de data de demissão ou demissão do conector de RHResignation or termination date indicator from HR connector Conector de RH da Microsoft 365 configurado para indicadores de data de término e demissãoMicrosoft 365 HR connector configured for termination and resignation date indicators
Vazamentos de dados geraisGeneral data leaks Atividade de política de perda de dados que cria um alerta de alta gravidadeData leak policy activity that creates a High severity alert Política de DLP configurada para alertas de alta gravidadeDLP policy configured for High severity alerts
Vazamentos de dados por usuários de prioridadeData leaks by priority users Atividade de política de perda de dados que cria um alerta de alta gravidadeData leak policy activity that creates a High severity alert Política de DLP configurada para alertas de alta gravidadeDLP policy configured for High severity alerts

Grupos de usuários de prioridade definidos nas configurações de risco do insiderPriority user groups configured in insider risk settings
Vazamentos de dados por usuários descontentesData leaks by disgruntled users Melhoria do desempenho, desempenho ruim ou indicadores de alteração no nível do trabalho do conector de RHPerformance improvement, poor performance, or job level change indicators from HR connector Conector de RH da Microsoft 365 configurado para indicadores de insatisfeitoMicrosoft 365 HR connector configured for disgruntlement indicators
Violações de política de segurança geralGeneral security policy violations Evasion defensiva de controles de segurança ou softwares indesejados detectados pelo Microsoft defender para ponto de extremidadeDefensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Assinatura ativa do Microsoft defender para ponto de extremidadeActive Microsoft Defender for Endpoint subscription

Integração do Microsoft defender for Endpoint com o centro de conformidade da Microsoft 365 configuradoMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured
Violações de política de segurança por parte dos usuáriosSecurity policy violations by departing users Indicadores de data de demissão ou demissão do conector de RHResignation or termination date indicators from HR connector Conector de RH da Microsoft 365 configurado para indicadores de data de término e demissãoMicrosoft 365 HR connector configured for termination and resignation date indicators

Assinatura ativa do Microsoft defender para ponto de extremidadeActive Microsoft Defender for Endpoint subscription

Integração do Microsoft defender for Endpoint com o centro de conformidade da Microsoft 365 configuradoMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured
Violações de política de segurança por usuários de prioridadeSecurity policy violations by priority users Evasion defensiva de controles de segurança ou softwares indesejados detectados pelo Microsoft defender para ponto de extremidadeDefensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Assinatura ativa do Microsoft defender para ponto de extremidadeActive Microsoft Defender for Endpoint subscription

Integração do Microsoft defender for Endpoint com o centro de conformidade da Microsoft 365 configuradoMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured

Grupos de usuários de prioridade definidos nas configurações de risco do insiderPriority user groups configured in insider risk settings
Violações de política de segurança por usuário descontenteSecurity policy violations by disgruntled user Melhoria do desempenho, desempenho ruim ou indicadores de alteração no nível do trabalho do conector de RHPerformance improvement, poor performance, or job level change indicators from HR connector Conector de RH da Microsoft 365 configurado para indicadores de insatisfeitoMicrosoft 365 HR connector configured for disgruntlement indicators

Assinatura ativa do Microsoft defender para ponto de extremidadeActive Microsoft Defender for Endpoint subscription

Integração do Microsoft defender for Endpoint com o centro de conformidade da Microsoft 365 configuradoMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured
Idioma ofensivo no emailOffensive language in email Profanação, ameaças ou idioma assédio em mensagens de emailProfanity, threats, or harassing language in email messages Assinatura ativa do Exchange OnlineActive Exchange Online subscription

Priorizar o conteúdo nas políticasPrioritize content in policies

As políticas de gerenciamento de risco do insider oferecem suporte à especificação de uma prioridade mais alta para o conteúdo, dependendo de onde estejam armazenadas ou como são classificadas.Insider risk management policies support specifying a higher priority for content depending where it is stored or how it is classified. A especificação de conteúdo como prioridade aumenta a pontuação de risco para qualquer atividade associada, o que, por sua vez, aumenta a chance de gerar um alerta de alta gravidade.Specifying content as a priority increases the risk score for any associated activity, which in turn increases the chance of generating a high severity alert. No entanto, algumas atividades não gerarão nenhum alerta, a menos que o conteúdo relacionado contenha tipos de informações confidenciais internas ou personalizadas ou tenha sido especificado como uma prioridade na política.However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority in the policy.

Por exemplo, sua organização tem um site dedicado do SharePoint para um projeto altamente confidencial.For example, your organization has a dedicated SharePoint site for a highly confidential project. Os vazamentos de dados para informações neste site do SharePoint podem comprometer o projeto e ter um impacto significativo em seu sucesso.Data leaks for information in this SharePoint site could compromise the project and would have a significant impact on its success. Ao priorizar esse site do SharePoint em uma política de vazamento de dados, a pontuação de risco para atividades de qualificação é aumentada automaticamente.By prioritizing this SharePoint site in a Data leaks policy, risk scores for qualifying activities are automatically increased. Essa priorização aumenta a probabilidade de que essas atividades gerem um alerta de risco Insider e aumentam o nível de severidade para o alerta.This prioritization increases the likelihood that these activities generate an insider risk alert and raises the severity level for the alert.

Ao criar uma política de gerenciamento de risco do insider no assistente de política, você pode escolher entre as seguintes prioridades:When you create an insider risk management policy in the policy wizard, you can choose from the following priorities:

  • Sites do SharePoint : qualquer atividade associada a todos os tipos de arquivo em sites do SharePoint definidos é atribuída uma pontuação de risco maior.SharePoint sites : Any activity associated with all file types in defined SharePoint sites is assigned a higher risk score.
  • Tipos de informações confidenciais : qualquer atividade associada ao conteúdo que contenha tipos de informações confidenciais é atribuída uma pontuação de risco maior.Sensitive information types : Any activity associated with content that contains sensitive information types are assigned a higher risk score.
  • Rótulos de sensibilidade : qualquer atividade associada ao conteúdo que tenha Rótulos de confidencialidade específicos aplicados recebe uma pontuação de risco mais alta.Sensitivity labels : Any activity associated with content that has specific sensitivity labels applied are assigned a higher risk score.

Criar uma nova políticaCreate a new policy

Para criar uma nova política de gerenciamento de risco do Insider, você usará o assistente de política na solução de Gerenciamento de risco do insider no centro de conformidade da Microsoft 365.To create a new insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

Conclua as seguintes etapas para criar uma nova política:Complete the following steps to create a new policy:

  1. No centro de conformidade da Microsoft 365, vá para gerenciamento de risco do insider e selecione a guia políticas .In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. Selecione criar política para abrir o assistente de políticaSelect Create policy to open the policy wizard

  3. Na página nova política de riscos de insider , preencha os seguintes campos:On the New insider risk policy page, complete the following fields:

    • Nome (obrigatório) : Insira um nome amigável para a política.Name (required) : Enter a friendly name for the policy.
    • Descrição (opcional) : Insira uma descrição para a política.Description (optional) : Enter a description for the policy.
    • Escolher modelo de política (obrigatório) : selecione um dos modelos de política para definir os tipos de indicadores de risco são monitorados pela política.Choose policy template (required) : Select one of the policy templates to define the types of risk indicators are monitored by the policy.

    Importante

    A maioria dos modelos de política tem pré-requisitos que devem ser configurados para que a política Gere alertas relevantes.Most policy templates have prerequisites that must be configured for the policy to generate relevant alerts. Se você não tiver configurado os pré-requisitos de política aplicáveis, confira introdução ao gerenciamento de riscos do insider.If you haven't configured the applicable policy prerequisites, see Get started with insider risk management.

  4. Selecione Avançar para continuar.Select Next to continue.

  5. Na página usuários , selecione Adicionar usuário ou grupo ou escolha prioridade grupos de usuários para definir quais usuários ou grupos de usuários de prioridade estão incluídos na política, dependendo do modelo de política que você selecionou.On the Users page, select Add user or group or Choose Priority user groups to define which users or priority user groups are included in the policy, depending on the policy template you've selected. Marque a caixa de seleção todos os usuários e grupos habilitados para email, se aplicável (se você não tiver selecionado um modelo com prioridade de usuário).Select All users and mail-enabled groups checkbox if applicable (if you haven't selected a priority user-based template). Selecione Avançar para continuar.Select Next to continue.

  6. Na página especificar qual conteúdo priorizar (opcional) , você pode atribuir as fontes a serem priorizadas para maiores pontuações de risco.On the Specify what content to prioritize (optional) page, you can assign the sources to prioritize for increased risk scores. No entanto, algumas atividades não gerarão nenhum alerta, a menos que o conteúdo relacionado contenha tipos de informações confidenciais internas ou personalizadas ou tenha sido especificado como uma prioridade nesta página:However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority on this page:

    • Sites do SharePoint : selecione Adicionar site do SharePoint e selecione as organizações do SharePoint que você deseja priorizar.SharePoint sites : Select Add SharePoint site and select the SharePoint organizations you want to prioritize. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".For example, "group1@contoso.sharepoint.com/sites/group1".
    • Tipo de informação confidencial : selecione Adicionar tipo de informações confidenciais e selecione os tipos de sensibilidade que você deseja priorizar.Sensitive info type : Select Add sensitive info type and select the sensitivity types you want to prioritize. Por exemplo, "número de conta bancária dos EUA" e "número do cartão de crédito".For example, "U.S. Bank Account Number" and "Credit Card Number".
    • Rótulos de sensibilidade : selecione Adicionar rótulo de confidencialidade e selecione os rótulos que você deseja priorizar.Sensitivity labels : Select Add sensitivity label and select the labels you want to prioritize. Por exemplo, "confidencial" e "segredo".For example, "Confidential" and "Secret".
  7. Selecione Avançar para continuar.Select Next to continue.

  8. Na página selecionar indicadores de política , você verá os indicadores definidos como disponíveis na página indicadores de configurações de risco do insider > Indicators .On the Select policy indicators page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. Se você selecionou um modelo de vazamentos de dados no início do assistente, deverá selecionar uma política de DLP na lista suspensa política de DLP para habilitar os indicadores de disparo para a política.If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy. Selecione os indicadores que você deseja aplicar à política.Select the indicators you want to apply to the policy. Se preferir não usar as configurações de limite de política padrão para esses indicadores, desabilite o uso de limiares padrão recomendados pela Microsoft e insira os valores de limite para cada indicador selecionado.If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator. Se você tiver selecionado pelo menos um indicador do Office ou dispositivo , selecione os aceleradores de Pontuação de risco conforme apropriado.If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. Os aumentos de Pontuação de risco só se aplicam aos indicadores selecionados.Risk score boosters are only applicable for selected indicators.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas na página de indicadores de política de configurações de Gerenciamento de risco do insider > Settings > Policy indicators .If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies on the Insider risk management > Settings > Policy indicators page.

  9. Selecione Avançar para continuar.Select Next to continue.

  10. Na página políticas de tempo de política , você verá as condições da janela de ativação para a política que na página períodos de tempo da política de configurações de risco do Insider > Policy timeframes .On the Policy timeframes page, you'll see the activation window conditions for the policy that on the Insider risk settings > Policy timeframes page.

  11. Selecione Avançar para continuar.Select Next to continue.

  12. Na página revisão , revise as configurações escolhidas para a política.On the Review page, review the settings you've chosen for the policy. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para criar e ativar a política.Select Edit to change any of the policy values or select Submit to create and activate the policy.

Atualizar uma políticaUpdate a policy

Para atualizar uma política de gerenciamento de risco do insider existente, você usará o assistente de política na solução de Gerenciamento de risco do insider no centro de conformidade da Microsoft 365.To update an existing insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

Conclua as seguintes etapas para gerenciar uma política existente:Complete the following steps to manage an existing policy:

  1. No centro de conformidade da Microsoft 365, vá para gerenciamento de risco do insider e selecione a guia políticas .In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. No painel de políticas, selecione a política que você deseja gerenciar.On the policy dashboard, select the policy you want to manage.

  3. Na página detalhes da política, selecione Editar políticaOn the policy details page, select Edit policy

  4. No assistente de política, não é possível editar os seguintes campos:In the policy wizard, you cannot edit the following fields:

    • Nome : o nome amigável da políticaName : The friendly name for the policy
    • Escolha modelo de política : o modelo usado para definir os tipos de indicadores de risco monitorados pela política.Choose policy template : The template used to define the types of risk indicators monitored by the policy.
  5. Insira uma nova descrição para a política no campo Descrição .Enter a new description for the policy in the Description field.

  6. Selecione Avançar para continuar.Select Next to continue.

  7. Na página usuários , selecione Adicionar usuário ou grupo ou escolha prioridade grupos de usuários para definir quais usuários ou grupos de usuários de prioridade estão incluídos na política, dependendo do modelo de política que você selecionou.On the Users page, select Add user or group or Choose Priority user groups to define which users or priority user groups are included in the policy, depending on the policy template you've selected. Marque a caixa de seleção todos os usuários e grupos habilitados para email, se aplicável (se você não tiver selecionado um modelo com prioridade de usuário).Select All users and mail-enabled groups checkbox if applicable (if you haven't selected a priority user-based template). Selecione Avançar para continuar.Select Next to continue.

  8. Na página especificar qual conteúdo priorizar (opcional) , você pode atribuir as fontes a serem priorizadas para maiores pontuações de risco.On the Specify what content to prioritize (optional) page, you can assign the sources to prioritize for increased risk scores. No entanto, algumas atividades não gerarão nenhum alerta, a menos que o conteúdo relacionado contenha tipos de informações confidenciais internas ou personalizadas ou tenha sido especificado como uma prioridade nesta página:However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority on this page:

    • Sites do SharePoint : selecione Adicionar site do SharePoint e selecione as organizações do SharePoint que você deseja priorizar.SharePoint sites : Select Add SharePoint site and select the SharePoint organizations you want to prioritize. Por exemplo, "group1@contoso.sharepoint.com/sites/group1".For example, "group1@contoso.sharepoint.com/sites/group1".
    • Tipo de informação confidencial : selecione Adicionar tipo de informações confidenciais e selecione os tipos de sensibilidade que você deseja priorizar.Sensitive info type : Select Add sensitive info type and select the sensitivity types you want to prioritize. Por exemplo, "número de conta bancária dos EUA" e "número do cartão de crédito".For example, "U.S. Bank Account Number" and "Credit Card Number".
    • Rótulos de sensibilidade : selecione Adicionar rótulo de confidencialidade e selecione os rótulos que você deseja priorizar.Sensitivity labels : Select Add sensitivity label and select the labels you want to prioritize. Por exemplo, "confidencial" e "segredo".For example, "Confidential" and "Secret".
  9. Selecione Avançar para continuar.Select Next to continue.

  10. Na página selecionar indicadores de política , você verá os indicadores definidos como disponíveis na página indicadores de configurações de risco do insider > Indicators .On the Select policy indicators page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. Se você selecionou um modelo de vazamentos de dados no início do assistente, deverá selecionar uma política de DLP na lista suspensa política de DLP para habilitar os indicadores de disparo para a política.If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy. Selecione os indicadores que você deseja aplicar à política.Select the indicators you want to apply to the policy. Se preferir não usar as configurações de limite de política padrão para esses indicadores, desabilite o uso de limiares padrão recomendados pela Microsoft e insira os valores de limite para cada indicador selecionado.If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator. Se você tiver selecionado pelo menos um indicador do Office ou dispositivo , selecione os aceleradores de Pontuação de risco conforme apropriado.If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. Os aumentos de Pontuação de risco só se aplicam aos indicadores selecionados.Risk score boosters are only applicable for selected indicators.

    Importante

    Se os indicadores nesta página não puderem ser selecionados, você precisará selecionar os indicadores que deseja habilitar para todas as políticas na página de indicadores de política de configurações de Gerenciamento de risco do insider > Settings > Policy indicators .If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies on the Insider risk management > Settings > Policy indicators page.

  11. Selecione Avançar para continuar.Select Next to continue.

  12. Na página políticas de tempo de política , você verá as condições da janela de ativação para a política que na página períodos de tempo da política de configurações de risco do Insider > Policy timeframes .On the Policy timeframes page, you'll see the activation window conditions for the policy that on the Insider risk settings > Policy timeframes page.

  13. Selecione Avançar para continuar.Select Next to continue.

  14. Na página revisão , revise as configurações que você atualizou para a política.On the Review page, review the settings you've updated for the policy. Selecione Editar para alterar qualquer um dos valores da política ou selecione Enviar para atualizar e ativar a política.Select Edit to change any of the policy values or select Submit to update and activate the policy.

Excluir uma políticaDelete a policy

Observação

A exclusão de uma política não exclui alertas ativos ou arquivados gerados da política.Deleting a policy does not delete active or archived alerts generated from the policy.

Para excluir uma política de gerenciamento de risco do insider existente, conclua as seguintes etapas:To delete an existing insider risk management policy, complete the following steps:

  1. No centro de conformidade da Microsoft 365, vá para gerenciamento de risco do insider e selecione a guia políticas .In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.
  2. No painel de políticas, selecione a política que deseja excluir.On the policy dashboard, select the policy you want to delete.
  3. Selecione excluir na barra de ferramentas do painel.Select Delete on the dashboard toolbar.
  4. Na caixa de diálogo excluir , selecione Sim para excluir a política ou selecione Cancelar para fechar a caixa de diálogo.On the Delete dialog, Select Yes to delete the policy, or select Cancel to close the dialog.