Поделиться через

Использование отчетов в управлении внутренними рисками

  • Статья

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Используйте отчеты в Управление внутренними рисками Microsoft Purview, чтобы понять ландшафт вашей программы внутренних рисков. В отчетах содержатся более глубокие аналитические сведения и сводная информация по всем областям, связанным с внутренними рисками, включая оповещения, случаи, действия пользователей и аналитику, созданную в службах Майкрософт, с целью выявления аналитических сведений о потенциальных областях риска.

Следующие отчеты доступны в разделеОтчеты поуправлению внутренними рисками> на портале Microsoft Purview:

  • Оповещения (предварительная версия): просмотр тенденций для созданных оповещений, действий, выполняемых с оповещениями с течением времени, и оповещений по политике.
  • Аналитика. Просмотрите сводку анонимных действий пользователей, обнаруженных в вашей организации.
  • Варианты (предварительная версия): просмотр тенденций для созданных случаев, действий, выполняемых с обращениями с течением времени, и состояния дел по политикам и регионам.
  • Действия пользователей. Проверьте последние действия пользователей, независимо от того, включен ли пользователь в политику или оповещение.

Работа с отчетами

Чтобы приступить к работе и просмотреть отчеты по управлению внутренними рисками, необходимо быть членом соответствующей роли или группы ролей. Требования к разрешениям для просмотра отчетов для оповещений и случаев различаются, а также разрешения, необходимые для просмотра отчетов для аналитики. Если в вашей организации используются административные единицы, доступ к этим отчетам может отличаться. Дополнительные сведения см. в разделе:

Настройка диаграмм

Для каждой области отчета доступны стандартные элементы управления фильтра отчетов и селектор даты, которые помогут вам быстро область аналитические сведения в конкретных критериях или диапазонах дат. Выберите фильтр в верхней части страницы для каждой области, чтобы быстро область все отчеты в области в параметр фильтра. Для дат отчета выберите конкретный месяц или последние 3 месяца , чтобы просмотреть все данные для области отчета.

Вы также можете выбрать и выбрать, какие отчеты будут отображаться по умолчанию в каждой области отчета. Чтобы настроить отчеты, отображаемые в каждой области, выберите Настроить представление. На всплывающей панели Настройка представления можно выбрать, какие отчеты отображать и какие отчеты скрывать в каждой области.

Сведения о диаграмме

Чтобы подробнее ознакомиться с результатами, содержащимися в отчете, выберите Просмотреть сведения для отчета. В представлении сведений можно область сведения с помощью фильтров и изменить представление по датам или политикам. Чтобы экспортировать данные, содержащиеся в отчете, выберите Экспорт , чтобы скачать изображение диаграммы отчета или файл .csv со значениями отчета.

Отчеты об оповещениях (предварительная версия)

Исследование потенциально рискованных действий пользователей является важным первым шагом в минимизации внутренних рисков для вашей организации. Эти риски могут быть действиями, которые создают оповещения из политик управления внутренними рисками. Отчеты об оповещениях содержат аналитические сведения о томах оповещений, ходе управления оповещениями, распространенных источниках оповещений и времени, затраченного на рассмотрение. Вы можете быстро отфильтровать все отчеты об оповещениях по всем оповещениям, подтвержденным оповещениям иоповещению Отклонено.

Тип отчета Отчет Описание
Summary Созданные оповещения Отображает количество оповещений с низким, средним и высоким уровнем серьезности, созданных в течение указанного диапазона дат.
Оповещения сдействовали Отображает количество оповещений, подтвержденных по делу или отклоненных в течение указанного диапазона дат.
Причины увольнения Отображает...
Демография Самые популярные страны и регионы с оповещениями Отображает количество оповещений, созданных для пользователей, в зависимости от страны или региона. Не указано означает, что их страна или регион не указаны в Microsoft Entra ID.
Оповещения, созданные отделом Отображает количество оповещений, созданных для пользователей в зависимости от того, в каком отделе они содержатся. Не указано означает, что их отдел не указан в Microsoft Entra ID.
Аналитика Оповещения по верхнему событию активации Отображает количество оповещений на основе основных событий активации, обнаруженных в течение указанного диапазона дат.
Оповещения по наиболее верху действия, которые создали оповещение Отображает количество оповещений на основе основных действий, обнаруженных в течение указанного диапазона дат.
Эффективность Состояние оповещения по назначениям Отображает количество оповещений, назначенных определенным администраторам, с разбивкой по состоянию оповещения.
Оповещения за средние дни отображаются в разделе "Проверка потребностей" Отображает среднее количество дней, в течение которых оповещения оставались в состоянии проверки потребностей в течение указанного диапазона дат.

Аналитические отчеты

После завершения первой аналитической проверки для вашей организации члены группы ролей Администраторы управления внутренними рисками автоматически получат уведомление по электронной почте и смогут просматривать первоначальные аналитические сведения и рекомендации по потенциально рискованным действиям пользователей. Ежедневные проверки продолжаются, если вы не отключите аналитику для своей организации. Email уведомления администраторам предоставляются для каждой из трех область категорий для аналитики (утечки данных, кражи и кражи) после первого случая потенциально рискованных действий в вашей организации. Email уведомления не отправляются администраторам для последующего обнаружения действий по управлению рисками в результате ежедневных проверок.

Примечание.

Если параметр Аналитика отключен, а затем снова включен, автоматические Уведомления по электронной почте сбрасываются и Уведомления по электронной почте отправляются членам группы ролей Администраторы управления внутренними рисками для получения новых аналитических сведений о проверке.

Чтобы просмотреть потенциальные риски для организации, перейдите в разделАналитикаотчетов по>управлению внутренними рисками>.

Примечание.

Если проверка вашей организации не завершена, появится сообщение о том, что проверка по-прежнему активна.

Для завершенного анализа вы увидите потенциальные риски, обнаруженные в вашей организации, а также аналитические сведения и рекомендации по устранению этих рисков. Выявленные риски и конкретные аналитические сведения включаются в отчеты, сгруппированные по областям, общему числу пользователей (все типы учетных записей Microsoft Entra, включая учетные записи пользователей, гостей, систем и т. д.) с выявленными рисками, процентом этих пользователей с потенциально рискованной деятельностью и рекомендуемой политикой внутренних рисков для снижения этих рисков. К отчетам относятся:

  • Аналитика утечек данных. Для всех пользователей, которые могут включать случайный общий доступ к информации за пределами организации или утечки данных пользователями со злонамеренными намерениями.
  • Аналитика кражи данных. Для уходящих пользователей или пользователей с удаленными Microsoft Entra учетными записями, которые могут включать в себя рискованный обмен информацией за пределами организации или кражу данных пользователями со злонамеренными намерениями.
  • Основные аналитические сведения о краже: для всех пользователей, которые могут включать общий доступ к данным за пределами вашей организации.

Обзорный отчет по аналитике управления внутренними рисками.

Чтобы отобразить дополнительные сведения для аналитических сведений, выберите Просмотреть сведения , чтобы отобразить область сведений для аналитических сведений. Область сведений содержит полные результаты аналитических сведений, рекомендации по политике внутренних рисков и создание политики , которые помогут быстро создать рекомендуемую политику. Если выбрать Создать политику , вы перейдете к рабочему процессу политики и автоматически выбирает рекомендуемый шаблон политики, связанный с аналитическими сведениями. Например, если аналитика используется для действия кражи данных , шаблон политики кражи данных предварительно выбран в рабочем процессе политики.

Отчет со сведениями об аналитике управления внутренними рисками.

Отчеты о случаях (предварительная версия)

Варианты позволяют глубоко исследовать проблемы, созданные индикаторами риска, определенными в политиках, и принимать меры по их решению. Случаи создаются вручную на основе оповещений в ситуациях, когда для решения проблемы, связанной с соответствием требованиям для пользователя, требуются дальнейшие действия. Отчеты о случаях предоставляют сведения о тенденциях для случаев, помогающие отслеживать тип дел, текущее состояние дел, случаи по регионам или назначениям и т. д. Вы можете быстро фильтровать все отчеты о случаях по всем случаям, подтвержденным случаям и доброкачественным случаям.

Тип отчета Отчет Описание
Summary Созданные случаи Отображает количество вариантов, созданных в течение указанного диапазона дат.
Варианты с действиями Отображает число случаев с действиями в течение указанного диапазона дат.
Демография Лучшие страны и регионы с обращениями Отображает количество созданных для пользователей обращений в зависимости от страны или региона. Не указано означает, что их страна или регион не указаны в Microsoft Entra ID.
Лучшие отделы с обращениями Отображает количество обращений, созданных для пользователей, в зависимости от того, в каком отделе они содержатся. Не указано означает, что их страна или регион не указаны в Microsoft Entra ID.
Эффективность Состояние регистра по назначению Отображает число случаев, назначенных определенным администраторам, с разбивкой по состоянию оповещения.
Среднее число дней с активным состоянием Отображает среднее количество дней, в течение которых варианты оставались в активном состоянии в течение указанного диапазона дат.

Отчеты об активности пользователей

Отчеты о действиях пользователей позволяют изучить потенциально рискованные действия (для конкретных пользователей и за определенный период времени), не назначая эти действия временно или явно политике управления внутренними рисками. В большинстве сценариев управления внутренними рисками пользователи явно определяются в политиках, и у них могут быть оповещения политики (в зависимости от событий активации) и оценки риска, связанные с действиями. Но в некоторых сценариях может потребоваться изучить действия для пользователей, которые явно не определены в политике. Эти действия могут быть для пользователей, которым вы получили подсказку о пользователе и потенциально рискованных действиях, или пользователей, которым обычно не нужно назначать политику управления внутренними рисками.

После настройки индикаторов на странице параметров управления внутренними рисками обнаруживается активность пользователя для потенциально рискованных действий, связанных с выбранными индикаторами. Эта конфигурация означает, что все обнаруженные действия для пользователей доступны для проверки, независимо от того, есть ли в нем событие активации или создается оповещение. Отчеты создаются для каждого пользователя и могут включать все действия за 90-дневный период. Несколько отчетов для одного пользователя не поддерживаются.

После изучения потенциально рискованных действий следователи могут отклонить действия отдельных пользователей как небезопасные. Они также могут поделиться ссылкой на отчет или отправить ее по электронной почте другим следователям или выбрать назначение пользователей (временно или явно) политике управления внутренними рисками. Пользователи должны быть назначены группе ролей "Следователи управления внутренними рисками " для просмотра страницы "Отчеты о действиях пользователей ".

Обзор отчета о действиях пользователей по управлению внутренними рисками.

Создание отчета о действиях пользователя

Чтобы создать отчет о действиях пользователей, выполните следующие действия.

  1. Перейдите в разделОтчеты об>управлении внутренними рисками>Действия пользователей.
  2. Выберите Создать отчет о действиях пользователя.
  3. Выберите дату для даты начала.
  4. Выберите дату для даты окончания.
  5. В поле Пользователи найдите одного или нескольких пользователей по имени или имени участника-пользователя.
  6. Выберите Создать отчет.

Данные о действиях пользователей доступны для создания отчетов примерно через 48 часов после выполнения действия. Например, чтобы просмотреть данные о действиях пользователей за 1 декабря, необходимо убедиться, что до создания отчета прошло не менее 48 часов (вы создадите отчет не раньше 3 декабря).

Новые отчеты обычно занимают до 10 часов, прежде чем они будут готовы к проверке. Когда отчет будет готов, отчет готов появится в столбце Состояние на странице Отчет о действиях пользователя.

Просмотр отчета о действиях пользователя

Выберите пользователя, чтобы просмотреть подробный отчет:

Отчет о действиях пользователей управления внутренними рисками

Отчет о действиях пользователя для выбранного пользователя содержит вкладки Действия пользователя, Обозреватель действий и Судебно-медицинские доказательства:

  • Действия пользователей. Используйте это представление диаграммы для изучения потенциально рискованных действий и просмотра потенциально связанных действий, которые происходят последовательно. Эта вкладка структурирована для быстрого просмотра дела, включая исторические временная шкала всех действий, сведения о действиях, текущую оценку риска для пользователя в данном случае, последовательность событий риска и фильтрацию элементов управления для помощи в расследовании. Дополнительные сведения см. в статье Действия пользователей.
  • Обозреватель действий. Эта вкладка предоставляет следователям рисков комплексное средство аналитики, предоставляющее подробные сведения о действиях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все потенциально рискованные действия, связанные с оповещениями. Дополнительные сведения см. в разделе Обозреватель действий.
  • Судебно-медицинские доказательства. Эта вкладка позволяет следователям рисков просматривать визуальные записи, связанные с действиями по риску, включенными в случаи обнаружения судебно-медицинских доказательств.