Detectar atividades suspeitas trabalha com o comportamento dos usuários.Esse comportamento não se limita ao DLP, mas abrange:
- Regras de Proteção de Dados do MPIP (antigo Microsoft Information Protection)
- Regras do MDE (Microsoft Defender Endpoint)
- Regras do MDfC (Microsot Defender for Cloud Apps, antigo CASB)
- Log de atividades do Office 365 e do Windows
Uma vez que eu capturo estes dados posso criar uma linha de tempo (baseline) para detectar:
- Comportamentos inesperados de uma pessoa em relação a sua própria atividade nos ultimos 30 a 90 dias
- Comportamento inesperado de uma entidade comparada ao baseline da empresa como um todo
Para isso são criados gatilhos que podem ser atividades como uma regra DLP, copia de arquivos em um pendrive, exfiltração via web, etc.
Apresentei todos estes recursos no webcast com a Thais Mafra. Assista e entenda melhor este recurso!