O gerenciamento de riscos internos no Microsoft 365 ajuda equipes de segurança a detectar, investigar e responder a possíveis vazamentos de dados, ações maliciosas ou violações de políticas por funcionários. O Copilot adiciona uma nova camada de sinais ao analisar interações de usuários com ferramentas de IA, como o Copilot no Word, Excel e Teams. Este artigo explica o que são os sinais do Gerenciamento de Riscos Internos, como o Copilot os gera e como administradores podem configurá-los e interpretá-los. Ao final, você entenderá o fluxo de dados desde consultas ao Copilot até alertas de risco e como ajustar políticas para sua organização.
Principais Conclusões: Sinais do Gerenciamento de Riscos Internos do Copilot
- Registros de interação do Copilot: Cada consulta enviada ao Copilot nos aplicativos do Microsoft 365 é registrada no portal de conformidade do Microsoft Purview como um evento de auditoria.
- Pontuação de risco baseada em sinais: O mecanismo de gerenciamento de riscos internos usa sinais de atividade do Copilot para calcular uma pontuação de risco com base nas regras da política e no comportamento basal do usuário.
- Modelos de política para o Copilot: Modelos pré-criados no Microsoft Purview visam cenários de uso indevido do Copilot, como exfiltração de dados, injeção de prompt ou acesso a conteúdo confidencial.
O Que São Sinais do Gerenciamento de Riscos Internos do Copilot?
Sinais de gerenciamento de riscos internos são ações específicas do usuário que a plataforma de conformidade do Microsoft Purview ingere e analisa em busca de comportamento arriscado. Com o Copilot, esses sinais se originam da interação entre um usuário e o serviço Copilot nos aplicativos do Microsoft 365. Cada vez que um usuário envia um prompt ao Copilot, o sistema registra metadados como o aplicativo usado, o conteúdo do prompt, as fontes de dados acessadas e a saída retornada.
O sinal não é o texto bruto do prompt. Em vez disso, o Copilot gera um evento de auditoria no Microsoft 365 que contém atributos estruturados: identificador do usuário, carimbo de data/hora, ID do aplicativo, rótulo de sensibilidade dos dados acessados e um hash do prompt para privacidade. O Microsoft Purview então aplica suas políticas de gerenciamento de riscos internos a esses sinais. Se uma condição da política for atendida, por exemplo, um usuário envia um prompt que referencia um documento classificado como “Altamente Confidencial” e depois cola a saída em um aplicativo de mensagens externo, o sistema cria um alerta para a equipe de segurança.
Entender esses sinais exige conhecer as três camadas de coleta de dados:
Camada 1: Geração de Log de Auditoria
Cada interação com o Copilot gera um registro de auditoria no log de auditoria do Microsoft 365. Esse registro inclui o campo Workload definido como “Copilot”, o campo Operation definido como “CopilotInteraction” e detalhes como o nome do aplicativo (por exemplo, Word, Excel, Teams) e o tipo de interação (prompt, resposta ou acesso a fonte de dados). Esses logs de auditoria são retidos por 90 dias por padrão e até 10 anos com uma licença complementar adequada.
Camada 2: Ingestão pela Política de Risco Interno
O mecanismo de gerenciamento de riscos internos no Microsoft Purworth varre continuamente o log de auditoria em busca de eventos que correspondam a políticas ativas. Para políticas específicas do Copilot, o mecanismo procura padrões como consultas repetidas sobre dados financeiros confidenciais, consultas feitas fora do horário normal de trabalho ou consultas que retornam conteúdo de um site do SharePoint restrito. O mecanismo não armazena o texto completo do prompt; ele armazena uma versão hash e o rótulo de sensibilidade dos dados que o Copilot acessou.
Camada 3: Cálculo da Pontuação de Risco
Cada sinal do Copilot contribui para a pontuação de risco cumulativa de um usuário. A pontuação é calculada comparando a atividade atual do usuário com sua linha de base histórica. Por exemplo, se um usuário que normalmente envia 5 prompts ao Copilot por dia de repente envia 50 prompts em uma hora, a pontuação de risco aumenta. A pontuação também leva em conta a sensibilidade dos dados envolvidos. Um prompt que acessa um documento classificado como “Top Secret” tem mais peso do que um que acessa um documento público.
Configurando Políticas de Risco Interno para Sinais do Copilot
Para começar a usar sinais do Copilot no gerenciamento de riscos internos, você deve habilitar o feed de auditoria do Copilot e criar ou modificar uma política no portal de conformidade do Microsoft Purview. As etapas a seguir pressupõem que você tenha as funções necessárias: Administrador de Gerenciamento de Riscos Internos ou Administrador Global.
Habilitar o Log de Auditoria do Copilot
- Entre no Microsoft Purview
Acessehttps://compliance.microsoft.come faça login com suas credenciais de administrador. - Navegue até Auditoria
Na navegação à esquerda, selecione Auditoria em Soluções. - Verifique se o log do Copilot está ativo
Na guia Pesquisar, confirme se o log de auditoria está habilitado. Se não estiver, clique em Iniciar gravação de atividade de usuário e administrador. - Pesquise eventos do Copilot
Use o filtro Atividade e digite “CopilotInteraction” para confirmar se os eventos estão aparecendo. Isso confirma que o feed está funcionando.
Criar uma Política de Risco Interno para o Copilot
- Abra o Gerenciamento de Riscos Internos
No Microsoft Purview, selecione Gerenciamento de Riscos Internos na navegação à esquerda. - Escolha um modelo de política
Clique em Políticas e depois em Criar política. Selecione o modelo chamado Vazamentos de dados por usuários arriscados ou Violações de política de segurança por usuários arriscados. Ambos suportam sinais do Copilot. - Selecione o Copilot como gatilho
Na seção “Escolher atividades para pontuar”, marque a caixa Interação do Copilot. Você também pode adicionar outras atividades como Baixar do SharePoint ou Enviar e-mail com conteúdo confidencial. - Defina limites
Defina o limite de pontuação de risco para gerar um alerta. Para testes iniciais, use o limite padrão “Médio”. Ajuste depois com base nas taxas de falsos positivos. - Atribua usuários e inicie a política
Selecione o grupo de usuários a ser monitorado. Você pode criar um grupo de usuários de alto risco ou aplicar a política a todos os usuários. Clique em Criar para ativar a política.
Equívocos Comuns e Limitações dos Sinais do Copilot
Os Sinais do Copilot Não São em Tempo Real
O gerenciamento de riscos internos processa sinais em tempo quase real, mas há um atraso de 5 a 15 minutos entre uma interação com o Copilot e o aparecimento de um alerta. Isso ocorre porque a ingestão do log de auditoria e o pipeline de pontuação de risco funcionam em um ciclo em lote. Não confie nesses sinais para bloqueio imediato de ações do usuário. Use-os para investigação pós-evento e análise de tendências.
O Conteúdo do Sinal é Hash, Não Texto Simples
O Microsoft Purview não armazena o texto exato de um prompt ou resposta do Copilot. Em vez disso, armazena um hash criptográfico do prompt. Isso significa que você não pode pesquisar alertas por palavra-chave exata. No entanto, você pode ver o rótulo de sensibilidade dos dados que o Copilot acessou e o aplicativo usado. Para revisão completa do conteúdo, você deve exportar o log de auditoria e usar uma ferramenta de terceiros ou os recursos de eDiscovery da Microsoft.
Os Sinais do Copilot Não Abrangem Todos os Aplicativos
Atualmente, os sinais de interação do Copilot são gerados apenas para aplicativos do Microsoft 365 que têm a integração do Copilot habilitada. Isso inclui Word, Excel, PowerPoint, Outlook, Teams e a interface web do Microsoft 365. O Copilot no Windows ou o Copilot no Edge não geram sinais de risco interno. Se sua organização usa o Copilot em plataformas não Microsoft, você precisa de soluções de monitoramento separadas.
Falsos Positivos São Comuns no Início da Implantação
Quando você habilita os sinais do Copilot pela primeira vez, usuários que são adotantes iniciais pesados podem disparar muitos alertas simplesmente porque usam o Copilot com frequência. Para reduzir o ruído, configure a opção “Linha de base do usuário” na política para exigir um desvio de pelo menos 3 desvios padrão da atividade normal do usuário antes de pontuar. Além disso, exclua contas de teste conhecidas e contas de administrador de TI do monitoramento.
| Item | Sinal de Interação do Copilot | Evento de Auditoria Padrão |
|---|---|---|
| Descrição | Registra o prompt de um usuário ao Copilot e as fontes de dados acessadas | Registra qualquer ação do usuário no Microsoft 365, como download de arquivo ou envio de e-mail |
| Dados armazenados | Hash do prompt, rótulo de sensibilidade, nome do aplicativo, carimbo de data/hora | Tipo de ação, nome do objeto, ID do usuário, carimbo de data/hora |
| Pontuação de risco | Sim, por políticas de risco interno | Sim, por políticas de risco interno |
| Proteção de privacidade | O texto do prompt é hash, não armazenado em texto simples | Nomes de objetos e caminhos de arquivo são armazenados em texto simples |
| Aplicativos suportados | Word, Excel, PowerPoint, Outlook, Teams, web M365 | Todas as cargas de trabalho do Microsoft 365 |
| Atraso do alerta | 5 a 15 minutos | 5 a 15 minutos |
Os sinais de gerenciamento de riscos internos do Copilot oferecem às equipes de segurança uma nova maneira de detectar comportamentos arriscados relacionados ao uso de IA. A principal conclusão é que esses sinais são baseados em metadados e preservam a privacidade por design. Eles são melhor usados como parte de uma estratégia de detecção em camadas, juntamente com a prevenção tradicional de perda de dados e análise de comportamento do usuário. Para começar, habilite o log de auditoria do Copilot em seu locatário, crie uma política piloto com um pequeno grupo de usuários e ajuste os limites com base no volume de alertas observado. Revise regularmente a atividade “Interação do Copilot” no painel de riscos internos para identificar padrões que possam indicar uma tentativa de exfiltração de dados ou violação de política.