Utilizar relatórios na gestão de riscos internos
Importante
Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.
Utilize relatórios no Gerenciamento de Risco Interno do Microsoft Purview para compreender o panorama do seu programa de risco interno. Os relatórios fornecem informações mais aprofundadas e informações de resumo para todas as áreas relacionadas com o risco interno, incluindo alertas, casos, atividade do utilizador e análises geradas a partir de atividades de risco elegíveis em todos os serviços Microsoft para ajudar a identificar informações sobre potenciais áreas de risco.
Os relatórios seguintes estão disponíveis ao navegar para Relatórios de Gestão> de RiscosInternos no portal do Microsoft Purview:
- Alertas (pré-visualização): ver tendências para alertas gerados, ações efetuadas em alertas ao longo do tempo e alertas por política.
- Análise: veja um resumo das atividades de utilizador anonimizadas detetadas na sua organização.
- Casos (pré-visualização): veja tendências para casos criados, ações realizadas em casos ao longo do tempo e casos status por política e região.
- Atividade do utilizador: reveja a atividade recente do utilizador, independentemente de o utilizador estar incluído numa política ou alerta.
Trabalho com relatórios
Para começar e ver relatórios da Gestão de Riscos Internos, tem de ser membro da função ou grupo de funções aplicável. Os requisitos de permissão são diferentes para ver relatórios de alertas e casos e as permissões necessárias para ver relatórios de análise. Se a sua organização estiver a utilizar unidades administrativas, o acesso pode variar consoante estes relatórios. Para saber mais, confira:
- Permissões para gestão de riscos internos
- Permissões para a gestão de riscos internos e unidades administrativas
Personalize gráficos
Para cada área de relatório, estão disponíveis controlos de filtro de relatório predefinidos e um seletor de datas para o ajudar a definir rapidamente informações para critérios específicos ou intervalos de datas. Selecione um filtro na parte superior da página para cada área para definir rapidamente o âmbito de todos os relatórios na área para uma definição de filtro. Para datas de relatórios, selecione um mês específico ou selecione Últimos 3 meses para ver todos os dados da área do relatório.
Também pode escolher os relatórios a apresentar por predefinição em cada área do relatório. Para personalizar os relatórios apresentados em cada área, selecione Personalizar vista. No painel Lista de opções Personalizar vista , pode escolher os relatórios a apresentar e os relatórios a ocultar em cada área.
Detalhes do gráfico
Para aprofundar os resultados contidos num relatório, selecione Ver detalhes do relatório. Na vista de detalhes, pode definir o âmbito das informações através de filtros e alterar a vista por datas ou políticas. Para exportar dados contidos num relatório, selecione Exportar para transferir uma imagem do gráfico de relatórios ou um ficheiro de .csv com os valores do relatório.
Relatórios de alertas (pré-visualização)
Investigar atividades de utilizador potencialmente arriscadas é um primeiro passo importante para minimizar os riscos internos para a sua organização. Estes riscos podem ser atividades que geram alertas a partir de políticas de gestão de riscos internos. Os relatórios de alertas fornecem informações sobre volumes de alertas, o progresso da gestão de alertas, origens de alertas comuns e o tempo despendido na triagem. Pode filtrar rapidamente todos os relatórios de alertas por Todos os alertas, Alertas confirmados e Alertas dispensados.
| Tipo de relatório | Relatório | Descrição |
|---|---|---|
| Resumo | Alertas gerados | Apresenta o número de alertas de gravidade baixa, média e alta gerados durante o intervalo de datas especificado. |
| Alertas acionados | Apresenta o número de alertas confirmados para um caso ou dispensados durante o intervalo de datas especificado. | |
| Motivos de despedimento | Apresenta... | |
| Demografia | Principais países/regiões com alertas | Apresenta o número de alertas gerados para os utilizadores com base no país ou região em que se encontram. Não especificado significa que o respetivo país ou região não está especificado no Microsoft Entra ID. |
| Alertas gerados pelo departamento | Apresenta o número de alertas gerados para os utilizadores com base no departamento em que se encontram. Não especificado significa que o departamento não está especificado no Microsoft Entra ID. | |
| Percepções | Alertas por evento de acionamento superior | Apresenta o número de alertas com base nos principais eventos de acionamento detetados durante o intervalo de datas especificado. |
| Alertas por atividade principal que gerou o alerta | Apresenta o número de alertas com base nas principais atividades detetadas durante o intervalo de datas especificado. | |
| Produtividade | Alerta status por atribuição | Apresenta o número de alertas atribuídos a administradores específicos, divididos por status de alertas. |
| Os alertas de dias médios estão na Análise de Necessidades | Apresenta o número médio de dias em que os alertas permaneceram numa revisão de Necessidades status durante o intervalo de datas especificado. | |
Relatórios de análise
Após a conclusão da primeira análise para a sua organização, os membros do grupo de funções Administradores da Gestão de Riscos Internos receberão automaticamente uma notificação por e-mail e poderão ver as informações e recomendações iniciais para atividades potencialmente arriscadas por parte dos seus utilizadores. As análises diárias continuam, a menos que desative a análise da sua organização. Email notificações aos administradores são fornecidas para cada uma das três categorias no âmbito da análise (fugas de dados, roubo e exfiltração) após a primeira instância de atividade potencialmente arriscada na sua organização. Email notificações não são enviadas aos administradores para deteção da atividade de gestão de riscos de seguimento resultante das análises diárias.
Observação
Se a definição Análise estiver desativada e, em seguida, reativada, as notificações por email automáticas são repostas e notificações por email são enviadas aos membros do grupo de funções Administradores de Gestão de Riscos Internos para novas informações de análise.
Para ver potenciais riscos para a sua organização, aceda a Análise deRelatórios> de Gestão> de RiscosInternos.
Observação
Se a análise da sua organização não estiver concluída, verá uma mensagem a indicar que a análise ainda está ativa.
Para análises concluídas, verá os potenciais riscos detetados na sua organização e informações e recomendações para resolver estes riscos. Os riscos identificados e informações específicas estão incluídos em relatórios agrupados por área, o número total de utilizadores (todos os tipos de contas Microsoft Entra, incluindo utilizador, convidado, sistema, etc.) com riscos identificados, a percentagem destes utilizadores com atividades potencialmente arriscadas e uma política de risco interno recomendada para ajudar a mitigar estes riscos. Os relatórios incluem:
- Informações sobre fugas de dados: para todos os utilizadores que podem incluir partilhas excessivas acidentais de informações fora da sua organização ou fugas de dados por utilizadores com intenções maliciosas.
- Informações de roubo de dados: para utilizadores com saída ou utilizadores com contas de Microsoft Entra eliminadas que podem incluir partilhas arriscadas de informações fora da sua organização ou roubo de dados por utilizadores com intenções maliciosas.
- Principais informações de exfiltração: para todos os utilizadores que podem incluir a partilha de dados fora da sua organização.
Para apresentar mais informações para obter informações, selecione Ver detalhes para apresentar o painel de detalhes das informações. O painel de detalhes inclui os resultados completos das informações, uma recomendação de política de risco interno e Criar política para o ajudar a criar rapidamente a política recomendada. Selecionar Criar política direciona-o para o fluxo de trabalho da política e seleciona automaticamente o modelo de política recomendado relacionado com as informações. Por exemplo, se as informações de análise se destinarem à atividade Roubo de Dados , o modelo de política Roubo de Dados está pré-selecionado no fluxo de trabalho da política automaticamente.
Relatórios de casos (pré-visualização)
Os casos permitem-lhe investigar e agir profundamente sobre os problemas gerados pelos indicadores de risco definidos nas suas políticas. Os casos são criados manualmente a partir de alertas em situações em que é necessária uma ação adicional para resolver um problema relacionado com a conformidade de um utilizador. Os relatórios de casos fornecem informações de tendência para casos que o ajudam a controlar o tipo de casos, a status atual de casos, casos por região ou atribuição, etc. Pode filtrar rapidamente todos os relatórios de casos por Todos os casos, Casos confirmados e Casos benignos.
| Tipo de relatório | Relatório | Descrição |
|---|---|---|
| Resumo | Casos criados | Apresenta o número de casos gerados durante o intervalo de datas especificado. |
| Casos acionados | Apresenta o número de casos com atividade durante o intervalo de datas especificado. | |
| Demografia | Principais países/regiões com casos | Apresenta o número de casos gerados para os utilizadores com base no país ou região em que se encontram. Não especificado significa que o respetivo país ou região não está especificado no Microsoft Entra ID. |
| Principais departamentos com casos | Apresenta o número de casos gerados para os utilizadores com base no departamento em que se encontram. Não especificado significa que o respetivo país ou região não está especificado no Microsoft Entra ID. | |
| Produtividade | Caso status por atribuição | Apresenta o número de casos atribuídos a administradores específicos, divididos por status de alerta. |
| Dias médios com status ativos | Apresenta o número médio de dias em que os casos permaneceram num status Ativo durante o intervalo de datas especificado. | |
Relatórios de atividade do usuário
Os relatórios de atividade do utilizador permitem-lhe examinar atividades potencialmente arriscadas (para utilizadores específicos e durante um período de tempo definido) sem ter de atribuir estas atividades, temporária ou explicitamente, a uma política de gestão de riscos internos. Na maioria dos cenários de gestão de riscos internos, os utilizadores são explicitamente definidos em políticas e podem ter alertas de política (dependendo de acionar eventos) e classificações de risco associadas às atividades. No entanto, em alguns cenários, poderá querer examinar as atividades dos utilizadores que não estão explicitamente definidos numa política. Estas atividades podem ser para utilizadores que receberam uma sugestão sobre o utilizador e atividades potencialmente arriscadas, ou utilizadores que normalmente não precisam de ser atribuídos a uma política de gestão de riscos internos.
Depois de configurar os indicadores na página Definições de gestão de riscos internos , a atividade do utilizador é detetada para atividade potencialmente arriscada associada aos indicadores selecionados. Esta configuração significa que toda a atividade detetada para os utilizadores está disponível para revisão, independentemente de ter um evento de acionamento ou se criar um alerta. Os relatórios são criados por utilizador e podem incluir todas as atividades para um período personalizado de 90 dias. Não são suportados vários relatórios para o mesmo utilizador.
Depois de examinar atividades potencialmente arriscadas, os investigadores podem descartar as atividades de utilizadores individuais como benignas. Também podem partilhar ou enviar uma ligação por e-mail para o relatório com outros investigadores ou optar por atribuir utilizadores (temporariamente ou explicitamente) a uma política de gestão de riscos internos. Os utilizadores têm de ser atribuídos ao grupo de funções Investigadores de Gestão de Riscos Internos para ver a página Relatórios de atividade do utilizador .
Criar um relatório de atividade de utilizador
Para criar um relatório de atividade de utilizador, conclua os seguintes passos:
- Navegue para Insider Risk Management>Reports>Atividade do utilizador.
- Selecione Criar relatório de atividade do utilizador.
- Selecione uma data para a Data de início.
- Selecione uma data para a Data de fim.
- No campo Utilizadores , procure um ou mais utilizadores por nome ou nome principal de utilizador.
- Selecione Criar relatório.
Os dados de atividade do utilizador estão disponíveis para relatórios aproximadamente 48 horas após a origem da atividade. Por exemplo, para rever os dados de atividade do utilizador relativos a 1 de dezembro, terá de se certificar de que decorrido, pelo menos, 48 horas antes de criar o relatório (teria de criar um relatório no dia 3 de dezembro o mais cedo possível).
Normalmente, os novos relatórios demoram até 10 horas até estarem prontos para revisão. Quando o relatório estiver pronto, o Relatório é apresentado na coluna Estado na página Relatório de atividade do utilizador
Ver um relatório de atividade do utilizador
Selecione o utilizador para ver o relatório detalhado:
O relatório de atividade Do utilizador para o utilizador selecionado contém os separadores Atividade do utilizador, Explorador de atividades e provas forenses :
- Atividade do utilizador: utilize esta vista de gráfico para investigar atividades potencialmente arriscadas e ver atividades potencialmente relacionadas que ocorrem em sequências. Este separador está estruturado para permitir uma revisão rápida de um caso, incluindo um linha do tempo histórico de todas as atividades, detalhes da atividade, a classificação de risco atual para o utilizador no caso, a sequência de eventos de risco e controlos de filtragem para ajudar nos esforços de investigação. Para saber mais, veja Atividade do utilizador.
- Explorador de atividades: este separador fornece aos investigadores de risco uma ferramenta de análise abrangente que fornece informações detalhadas sobre atividades. Com o Explorador de atividades, os revisores podem rever rapidamente uma linha do tempo de atividade de risco detetada e identificar e filtrar todas as atividades potencialmente arriscadas associadas aos alertas. Para saber mais, veja Explorador de atividades.
- Provas forenses: este separador permite que os investigadores de risco revejam capturas visuais associadas a atividades de risco incluídas em casos de detecção de provas forenses.