Gerenciamento de risco do insider no Microsoft 365Insider risk management in Microsoft 365

O gerenciamento de riscos do Insider é uma solução de conformidade no Microsoft 365 que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertidas em sua organização.Insider risk management is a compliance solution in Microsoft 365 that helps minimize internal risks by enabling you to detect, investigate, and act on malicious and inadvertent activities in your organization. As políticas de risco do insider permitem que você defina os tipos de riscos para identificar e detectar em sua organização, incluindo a ação em casos e encaminhar casos para a descoberta eletrônica avançada da Microsoft, se necessário.Insider risk policies allow you to define the types of risks to identify and detect in your organization, including acting on cases and escalating cases to Microsoft Advanced eDiscovery if needed. Os analistas de risco em sua organização podem tomar as ações apropriadas rapidamente para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.Risk analysts in your organization can quickly take appropriate actions to make sure users are compliant with your organization's compliance standards.

Assista ao vídeo abaixo para saber como o gerenciamento de riscos do insider pode ajudar sua organização a impedir, detectar e conter riscos enquanto prioriza os valores da organização, cultura e experiência do usuário:Watch the video below to learn how insider risk management can help your organization prevent, detect, and contain risks while prioritizing your organization values, culture, and user experience:

Pontos problemáticos do risco modernoModern risk pain points

O gerenciamento e minimização de riscos na sua organização é iniciado com a compreensão dos tipos de riscos encontrados no local de trabalho moderno.Managing and minimizing risk in your organization starts with understanding the types of risks found in the modern workplace. Alguns riscos são orientados por eventos externos e fatores que estão fora do controle direto.Some risks are driven by external events and factors that are outside of direct control. Outros riscos são orientados por eventos internos e atividades do usuário que podem ser minimizados e evitados.Other risks are driven by internal events and user activities that can be minimized and avoided. Alguns exemplos são riscos de comportamento ilegal, inadequado, não autorizado ou não-ético e ações por usuários em sua organização.Some examples are risks from illegal, inappropriate, unauthorized, or unethical behavior and actions by users in your organization. Estes comportamentos incluem uma ampla variedade de riscos internos de usuários:These behaviors include a broad range of internal risks from users:

  • Vazamentos de dados confidenciais e derramamento de dadosLeaks of sensitive data and data spillage
  • Violações de confidencialidadeConfidentiality violations
  • Roubo de propriedade intelectual (IP)Intellectual property (IP) theft
  • RelacionadasFraud
  • Comercialização de insiderInsider trading
  • Violações de conformidade normativaRegulatory compliance violations

Os usuários no local de trabalho moderno têm acesso para criar, gerenciar e compartilhar dados em um amplo espectro de plataformas e serviços.Users in the modern workplace have access to create, manage, and share data across a broad spectrum of platforms and services. Na maioria dos casos, as organizações têm recursos e ferramentas limitados para identificar e reduzir os riscos da organização e, ao mesmo tempo, atendem aos padrões de privacidade do usuário.In most cases, organizations have limited resources and tools to identify and mitigate organization-wide risks while also meeting user privacy standards.

O gerenciamento de riscos do insider usa toda a amplitude de serviços e indicadores de terceiros para ajudá-lo a identificar, fazer a triagem e agir rapidamente na atividade de riscos.Insider risk management uses the full breadth of service and 3rd-party indicators to help you quickly identify, triage, and act on risk activity. Usando logs do Microsoft 365 e Microsoft Graph, o gerenciamento de riscos do insider permite que você defina políticas específicas para identificar os indicadores de risco.By using logs from Microsoft 365 and Microsoft Graph, insider risk management allows you to define specific policies to identify risk indicators. Essas políticas permitem identificar atividades arriscadas e agir para reduzir esses riscos.These policies allow you to identify risky activities and to act to mitigate these risks.

O gerenciamento de riscos do insider está centralizado em torno dos seguintes princípios:Insider risk management is centered around the following principles:

  • Transparência : Equilibre a privacidade do usuário em relação ao risco da organização com a arquitetura de privacidade de design.Transparency : Balance user privacy versus organization risk with privacy-by-design architecture.
  • Configurável : políticas configuráveis com base em grupos de negócios, geográficos e setores.Configurable : Configurable policies based on industry, geographical, and business groups.
  • Integrado : fluxo de trabalho integrado entre as soluções de conformidade da Microsoft 365.Integrated : Integrated workflow across Microsoft 365 compliance solutions.
  • Acionável : fornece ideias para habilitar notificações de usuário, investigações de dados e investigações de usuários.Actionable : Provides insights to enable user notifications, data investigations, and user investigations.

Fluxo de trabalhoWorkflow

O fluxo de trabalho de gerenciamento de risco do insider ajuda você a identificar, investigar e realizar ações para lidar com riscos internos em sua organização.The insider risk management workflow helps you identify, investigate, and take action to address internal risks in your organization. Com os modelos de política prioritários, a sinalização abrangente de atividades no serviço Microsoft 365 e as ferramentas de gerenciamento de alertas e casos, você pode usar o insights acionáveis para identificar e agir rapidamente sobre o comportamento arriscado.With focused policy templates, comprehensive activity signaling across the Microsoft 365 service, and alert and case management tools, you can use actionable insights to quickly identify and act on risky behavior.

A identificação e a resolução de problemas de conformidade e atividades de riscos internos no Microsoft 365 usa o seguinte fluxo de trabalho:Identifying and resolving internal risk activities and compliance issues with insider risk management in Microsoft 365 uses the following workflow:

Fluxo de trabalho de gerenciamento de risco

PolíticasPolicies

As políticas de gerenciamento de risco do insider são criadas usando modelos predefinidos e condições de política que definem o que os eventos de acionamento e os indicadores de risco são examinados em sua organização.Insider risk management policies are created using pre-defined templates and policy conditions that define what triggering events and risk indicators are examined in your organization. Essas condições incluem como os indicadores de risco são usados para alertas, quais usuários estão incluídos na política, quais serviços são priorizados e o período de tempo de monitoramento.These conditions include how risk indicators are used for alerts, what users are included in the policy, which services are prioritized, and the monitoring time period.

Você pode selecionar um dos seguintes [modelos de política para começar a usar rapidamente o gerenciamento de risco do insider:You can select from the following[policy templates to quickly get started with insider risk management:

Painel de política de gerenciamento de risco do insider

AlertasAlerts

Os alertas são gerados automaticamente pelos indicadores de risco que correspondem às condições da política e são exibidos no painel de alertas.Alerts are automatically generated by risk indicators that match policy conditions and are displayed in the Alerts dashboard. Este painel permite uma visualização rápida de todos os alertas que precisam de revisão, abrir alertas ao longo do tempo e estatísticas de alerta para sua organização.This dashboard enables a quick view of all alerts needing review, open alerts over time, and alert statistics for your organization. Todos os alertas de política são exibidos com as seguintes informações para ajudá-lo a identificar rapidamente o status dos alertas existentes e os novos alertas que precisam de ação:All policy alerts are displayed with the following information to help you quickly identify the status of existing alerts and new alerts that need action:

  • StatusStatus
  • SeveritySeverity
  • Tempo detectadoTime detected
  • CasoCase
  • Status do casoCase status

Painel de alerta de gerenciamento de risco do insider

TriagemTriage

Novas atividades de usuário que precisam de investigação geram automaticamente alertas que são atribuídos a um status de revisão de necessidades .New user activities that need investigation automatically generate alerts that are assigned a Needs review status. Os revisores podem identificar e revisar, avaliar e analisar rapidamente esses alertas.Reviewers can quickly identify and review, evaluate, and triage these alerts.

Os alertas são resolvidos abrindo um novo caso, atribuindo o alerta a um caso existente ou descartando o alerta.Alerts are resolved by opening a new case, assigning the alert to an existing case, or dismissing the alert. Usando filtros de alerta, é fácil identificar rapidamente os alertas por status, severidade ou tempo detectado.Using alert filters, it's easy to quickly identify alerts by status, severity, or time detected. Como parte do processo de triagem, os revisores podem exibir detalhes de alerta para as atividades identificadas pela política, exibir a atividade do usuário associada à correspondência de política, ver a gravidade do alerta e revisar as informações do perfil de usuário.As part of the triage process, reviewers can view alert details for the activities identified by the policy, view user activity associated with the policy match, see the severity of the alert, and review user profile information.

Triagem de gerenciamento de risco do insider

InvestigarInvestigate

Os casos são criados para alertas que exigem análise detalhada e investigação dos detalhes da atividade e das circunstâncias em torno da correspondência da política.Cases are created for alerts that require deeper review and investigation of the activity details and circumstances around the policy match. O painel de casos fornece uma visão de todas as ocorrências ativas, casos abertos ao longo do tempo e estatísticas de caso de sua organização.The Case dashboard provides an all-up view of all active cases, open cases over time, and case statistics for your organization. Os revisores podem filtrar ocorrências rapidamente por status, a data em que o caso foi aberto e a data em que o caso foi atualizado pela última vez.Reviewers can quickly filter cases by status, the date the case was opened, and the date the case was last updated.

Selecionar um caso no painel de casos abre o caso de investigação e análise.Selecting a case on the case dashboard opens the case for investigation and review. Esta etapa é o coração do fluxo de trabalho de gerenciamento de risco do insider.This step is the heart of the insider risk management workflow. Esta área é onde as atividades de risco, as condições da política, os detalhes dos alertas e os detalhes do usuário são sintetizadas em um modo de exibição integrado para revisores.This area is where risk activities, policy conditions, alerts details, and user details are synthesized into an integrated view for reviewers. As ferramentas de investigação principal nessa área são:The primary investigation tools in this area are:

  • Atividade do usuário : a atividade do usuário é exibida automaticamente em um gráfico interativo que plota atividades ao longo do tempo e por nível de risco para atividades de risco atuais ou antigas.User activity : User activity is automatically displayed in an interactive chart that plots activities over time and by risk level for current or past risk activities. Os revisores podem filtrar e exibir rapidamente todo o histórico de riscos para o usuário e analisar atividades específicas para obter mais detalhes.Reviewers can quickly filter and view the entire risk history for the user and drill into specific activities for more details.
  • Gerenciador de conteúdo : todos os arquivos de dados e mensagens de email associados às atividades de alerta são automaticamente capturados e exibidos no Gerenciador de conteúdo.Content Explorer : All data files and email messages associated with alert activities are automatically captured and displayed in the Content Explorer. Os revisores podem filtrar e exibir arquivos e mensagens por fonte de dados, tipo de arquivo, marcas, conversa e muitos outros atributos.Reviewers can filter and view files and messages by data source, file type, tags, conversation, and many more attributes.
  • Anotações de caso : os revisores podem fornecer anotações para uma ocorrência na seção notas de caso.Case notes : Reviewers can provide notes for a case in the Case Notes section. Essa lista consolida todas as anotações em um modo de exibição central e inclui informações de revisor e data de envio.This list consolidates all notes in a central view and include reviewer and date submitted information.

Investigação de gerenciamento de risco do insider

ActionAction

Após os casos serem investigados, os revisores podem agir rapidamente para resolver o caso ou colaborar com outros participantes de risco em sua organização.After cases are investigated, reviewers can quickly act to resolve the case or collaborate with other risk stakeholders in your organization. Se os usuários violarem acidentalmente ou inadvertidamente as condições de política, um aviso de lembrete simples poderá ser enviado ao usuário dos modelos de aviso que você pode personalizar para sua organização.If users accidentally or inadvertently violate policy conditions, a simple reminder notice can be sent to the user from notice templates you can customize for your organization. Esses avisos podem servir como lembretes simples ou podem direcionar o usuário para o treinamento ou orientação para ajudar a evitar um comportamento arriscado futuro.These notices may serve as simple reminders or may direct the user to refresher training or guidance to help prevent future risky behavior. Para obter mais informações, consulte modelos de aviso de gerenciamento de risco do insider.For more information, see Insider risk management notice templates.

Nas situações mais sérias, talvez você precise compartilhar as informações do caso de gerenciamento de risco do insider com outros revisores ou serviços em sua organização.In the more serious situations, you may need to share the insider risk management case information with other reviewers or services in your organization. O gerenciamento de riscos do insider está totalmente integrado a outras soluções de conformidade da Microsoft 365 para ajudá-lo com a resolução de riscos de ponta a ponta.Insider risk management is tightly integrated with other Microsoft 365 compliance solutions to help you with end-to-end risk resolution.

  • Descoberta eletrônica avançada : o escalonamento de um caso para investigação permite transferir dados e gerenciamento do caso para descoberta eletrônica avançada no Microsoft 365.Advanced eDiscovery : Escalating a case for investigation allows you to transfer data and management of the case to Advanced eDiscovery in Microsoft 365. A descoberta eletrônica avançada fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, analisar, analisar e exportar o conteúdo que responde às investigações internas e externas da sua organização.Advanced eDiscovery provides an end-to-end workflow to preserve, collect, review, analyze, and export content that's responsive to your organization's internal and external investigations. Ele permite que as equipes jurídicas gerenciem todo o fluxo de trabalho de notificação de retenção legal.It allows legal teams to manage the entire legal hold notification workflow. Para saber mais sobre casos de descoberta eletrônica avançada, confira visão geral da descoberta eletrônica avançada no Microsoft 365.To learn more about Advanced eDiscovery cases, see Overview of Advanced eDiscovery in Microsoft 365.
  • Servicenow (visualização) : o servicenow é uma plataforma de computação em nuvem popular que ajuda as organizações a gerenciar fluxos de trabalho digitais para operações empresariais.ServiceNow (preview) : ServiceNow is a popular cloud computing platform that helps organizations manage digital workflows for enterprise operations. O gerenciamento de risco do insider oferece suporte ao compartilhamento de alertas de casos com o serviço do ServiceNow e permite que você crie incidentes e altere solicitações relacionadas a casos de risco do insider.Insider risk management supports sharing case alerts with your ServiceNow service and allows you to create incidents and change requests related to individual insider risk cases. Para saber mais sobre como compartilhar informações de alerta com o ServiceNow, confira compartilhar um caso com o servicenow.To learn more about sharing alert information with ServiceNow, see Share a case with ServiceNow.
  • Integração de APIs de gerenciamento do Office 365 (versão prévia) : o gerenciamento de risco do insider oferece suporte à exportação de informações de alerta para serviços de gerenciamento de eventos e informações de segurança por meio das APIs de gerenciamento do Office 365Office 365 Management APIs integration (preview) : Insider risk management supports exporting alert information to security information and event management (SIEM) services via the Office 365 Management APIs. Ter acesso a informações de alerta na plataforma o mais adequado para os processos de risco da sua organização oferece maior flexibilidade na forma de agir em atividades de risco.Having access to alert information in the platform the best fits your organization's risk processes gives you more flexibility in how to act on risk activities. Para saber mais sobre como exportar informações de alerta com as APIs de gerenciamento do Office 365, confira Exportar alertas.To learn more about exporting alert information with Office 365 Management APIs, see Export alerts.

Observação

Obrigado por seus comentários e suporte durante a visualização do conector do ServiceNow.Thank you for your feedback and support during the preview of the ServiceNow connector. Decidimos encerrar a visualização do conector do ServiceNow e o suporte de descontinuação no gerenciamento de risco do insider em 30 de novembro de 2020.We've decided to end the preview of ServiceNow connector and discontinue support in insider risk management on November 30, 2020. Estamos avaliando ativamente métodos alternativos para fornecer aos clientes a integração do ServiceNow no gerenciamento de risco do insider.We are actively evaluating alternative methods to provide customers with ServiceNow integration in insider risk management.

CenáriosScenarios

O gerenciamento de riscos do insider pode ajudá-lo a detectar, investigar e realizar ações para reduzir os riscos internos em sua organização em vários cenários comuns:Insider risk management can help you detect, investigate, and take action to mitigate internal risks in your organization in several common scenarios:

Roubo de dados por parte de usuáriosData theft by departing users

Quando os usuários deixam uma organização, voluntaria ou como resultado da finalização, há muitas vezes legítimas preocupações que a empresa, o cliente e os dados do usuário estão em risco.When users leave an organization, either voluntarily or as the result of termination, there is often legitimate concerns that company, customer, and user data are at risk. Os usuários podem supor inocentemente que os dados do projeto não são proprietários, ou podem estar tentado a obter dados da empresa para obter um ganho pessoal e violar a política e os padrões jurídicos da empresa.Users may innocently assume that project data isn't proprietary, or they may be tempted to take company data for personal gain and in violation of company policy and legal standards. As políticas de gerenciamento de risco do insider que usam o modelo de política de usuários que fazem parte do usuário detectam automaticamente as atividades geralmente associadas a esse tipo de roubo.Insider risk management policies that use the Data theft by departing users policy template automatically detect activities typically associated with this type of theft. Com esta política, você receberá automaticamente alertas de atividades suspeitas associadas ao roubo de dados, fazendo com que os usuários possam realizar ações investigativas apropriadas.With this policy, you'll automatically receive alerts for suspicious activities associated with data theft by departing users so you can take appropriate investigative actions. A configuração de um conector de RH da Microsoft 365 para a sua organização é necessária para este modelo de política.Configuring a Microsoft 365 HR connector for your organization is required for this policy template.

Perda intencional ou involuntária de informações confidenciais ou confidenciaisIntentional or unintentional leak of sensitive or confidential information

Na maioria dos casos, os usuários experimentam o melhor para lidar corretamente com informações confidenciais e confidenciais.In most cases, users try their best to properly handle sensitive or confidential information. Mas ocasionalmente, os usuários podem fazer erros e informações são compartilhados acidentalmente fora da sua organização ou violando suas políticas de proteção de informações.But occasionally users may make mistakes and information is accidentally shared outside your organization or in violation of your information protection policies. Em outras circunstâncias, os usuários podem acidentalmente vazar ou compartilhar informações confidenciais e confidenciais com más intenções e obter um potencial pessoal.In other circumstances, users may intentionally leak or share sensitive and confidential information with malicious intent and for potential personal gain. As políticas de gerenciamento de risco do insider criadas com os seguintes modelos de política de vazamento de dados detectam automaticamente as atividades geralmente associadas ao compartilhamento de informações confidenciais ou confidenciais:Insider risk management policies created using the following Data leaks policy templates automatically detect activities typically associated with sharing sensitive or confidential information:

Comportamento ofensivo que viola as políticas corporativasOffensive behavior that violates corporate policies

As comunicações de usuário para usuário são, em geral, uma fonte de violações inadvertidas ou mal-intencionadas de políticas corporativas.User-to-user communications are often a source of inadvertent or malicious violations of corporate policies. Essas violações podem incluir linguagem ofensiva, ameaças e assédio entre os usuários.These violations can include offensive language, threats, and harassment between users. Esse tipo de atividade contribui para um ambiente de trabalho hostil e pode resultar em ações legais em relação a usuários e à organização de grande porte.This type of activity contributes to a hostile work environment and can result in legal actions against both users and the larger organization. O gerenciamento de riscos do insider usa novos classificadores internos do Microsoft 365 e a linguagem ofensiva no modelo de política de email para ajudar a minimizar esses riscos.Insider risk management uses new built-in Microsoft 365 classifiers and the Offensive language in email policy template to help minimize these risks. Este modelo de política ajuda você a configurar e habilitar rapidamente uma política para detectar e alertar automaticamente esse tipo de comportamento em sua organização.This policy template helps you quickly configure and enable a policy to automatically detect and alert you of this kind of behavior in your organization.

Violações de política de segurança intencional ou não intencional (visualização)Intentional or unintentional security policy violations (preview)

Os usuários normalmente têm um grande grau de controle ao gerenciar seus dispositivos no local de trabalho moderno.Users typically have a large degree of control when managing their devices in the modern workplace. Isso pode incluir permissões para instalar ou desinstalar aplicativos necessários no desempenho de suas tarefas ou a capacidade de desabilitar temporariamente os recursos de segurança de dispositivos.This may include permissions to install or uninstall applications needed in the performance of their duties or the ability to temporarily disable device security features. Se essa atividade é inadvertida, acidental ou mal-intencionada, essa conduta pode representar risco à sua organização e é importante identificar e agir para minimizar.Whether this activity is inadvertent, accidental, or malicious, this conduct can pose risk to your organization and is important to identify and act to minimize. Para ajudar a identificar essas atividades de segurança arriscadas, os seguintes modelos de violação de política de segurança de gerenciamento de risco do insider classificam indicadores de risco de segurança e usam o Microsoft defender para alertas de ponto de extremidade para fornecer ideias para atividades relacionadas à segurança:To help identity these risky security activities, the following insider risk management security policy violation templates scores security risk indicators and uses Microsoft Defender for Endpoint alerts to provide insights for security-related activities:

Políticas para usuários com base na posição, nível de acesso ou histórico de risco (versão prévia)Policies for users based on position, access level, or risk history (preview)

Os usuários da sua organização podem ter níveis diferentes de risco dependendo da sua posição, nível de acesso a informações confidenciais ou histórico de riscos.Users in your organization may have different levels of risk depending on their position, level of access to sensitive information, or risk history. Isso pode incluir membros da equipe de liderança executiva da sua organização, administradores de ti que têm privilégios de acesso à rede e dados abrangentes, ou usuários com um histórico de atividades arriscadas.This may include members of your organization's executive leadership team, IT administrators that have extensive data and network access privileges, or users with a past history of risky activities. Nessas circunstâncias, a inspeção mais próxima e a pontuação de risco mais agressiva são importantes para ajudar os alertas de superfície para investigação e ação rápida.In these circumstances, closer inspection and more aggressive risk scoring are important to help surface alerts for investigation and quick action. Para ajudar a identificar atividades arriscadas para esses tipos de usuários, você pode criar grupos de usuários de prioridade e criar políticas dos seguintes modelos de política:To help identify risky activities for these types of users, you can create priority user groups and create policies from the following policy templates:

Ações e comportamentos por usuários descontentes (visualização)Actions and behaviors by disgruntled users (preview)

Eventos de estresse de emprego podem impactar o comportamento do usuário de várias maneiras relacionadas a riscos insideres.Employment stresses events can impact user behavior in several ways that relate to insider risks. Esses encargores podem ser uma análise de desempenho ruim, um rebaixamento de posições ou o usuário que está sendo posicionado em um plano de avaliação de desempenho.These stressors may be a poor performance review, a position demotion, or the user being placement on a performance review plan. Embora a maioria dos usuários não respondam de forma mal-intencionada a esses eventos, a sobrecarga dessas ações pode fazer com que alguns usuários tomem ações que não podem ser consideradas normalmente durante circunstâncias normais.Though most users do not respond maliciously to these events, the stress of these actions may result in some users to take actions they may not normally consider during normal circumstances. Para ajudar a identificar esses tipos de atividades arriscadas, os seguintes modelos de política de gerenciamento de riscos do insider usam o conector de RH da Microsoft 365 e começam a pontuação de indicadores de risco relacionados a comportamentos que podem ocorrer próximos eventos de estresse de emprego:To help identity these types risky activities, the following insider risk management policy templates use the Microsoft 365 HR connector and starts scoring risk indicators relating to behaviors that may occur near employment stressor events:

Pronto para começar?Ready to get started?