Поделиться через


Настройка глобальных исключений для политик управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Используйте параметр Глобальные исключения (предварительная версия) в Управление внутренними рисками Microsoft Purview, чтобы исключить элементы из оценки политиками управления внутренними рисками. Например, чтобы снизить уровень "шума" в политиках, может потребоваться исключить определенные типы файлов или домены из оценки риска, если эти типы файлов или домены не представляют риска для вашей организации.

При настройке глобальных исключений также может потребоваться воспользоваться преимуществами групп обнаружения для адаптации обнаружения для различных наборов пользователей. Группы обнаружения помогают уменьшить количество ложноположительных результатов для политик.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Настройка исключения домена

Вы можете исключить определенные домены, связанные с действиями пользователей, из оценки с помощью политик управления внутренними рисками. К этим действиям относятся:

  • Email отправляются во внешние домены.
  • Файлы, папки и сайты, к которым предоставлен доступ внешним доменам.
  • Файлы, отправленные во внешние домены (с помощью браузера Microsoft Edge).

Разрешенные домены игнорируются политиками и не будут создавать оповещения.

Настройка исключения домена

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Домены.

  5. На панели Домены справа выберите одну из следующих вкладок:

    • Отдельные домены. Добавление доменов по одному за раз:

      1. Выберите Добавить домены, а затем введите точный домен в поле Домен или используйте звездочку с подстановочным знаком (*) для обнаружения поддомена (например, *.contoso.com). Перед доменным именем с подстановочным знаком обнаруживается не более одного поддомена (например, support.contoso.com).

      2. Чтобы включить все поддомены в домен, установите флажок Включить многоуровневые поддомены .

        Примечание.

        Вы можете использовать подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com", чтобы сопоставить эти поддомены (и любой другой поддомен на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, необходимо установить флажок Включить многоуровневые поддомены .

      3. Нажмите клавишу ВВОД.

      4. Повторите этот процесс для каждого домена, который вы хотите добавить.

        Каждый вводимый домен добавляется в столбец Домен , а да или нет — в список включенных многоуровневых поддоменов .

        Совет

        Если вы не хотите добавлять домены по одному, можно импортировать список доменов из CSV-файла, выбрав Импорт доменов из CSV-файла на предыдущей странице.

      5. Выберите Добавить домены.

    • Группы доменов. Чтобы выбрать уже созданную группу обнаружения доменов, выполните следующие действия:

      1. Выберите Добавить группу доменов.

      2. Выберите в списке соответствующие группы доменов. Количество доменов, включенных в каждую группу доменов, указано в столбце Включенные домены .

      3. Выберите Сохранить.

Настройка исключения вложений с подписью электронной почты

Одним из main источников "шума" в политиках управления внутренними рисками являются изображения в подписях электронной почты, которые часто обнаруживаются как вложения в сообщениях электронной почты. Если выбран индикатор Отправка сообщения электронной почты с вложениями получателям за пределами организации , то вложение оценивается как и любое другое вложение электронной почты, отправленное за пределы организации, даже если единственным элементом вложения является подпись электронной почты. Чтобы исключить эти вложения из оценки, можно использовать параметр Игнорировать вложения подписей электронной почты (предварительная версия).

Включение этого параметра значительно устраняет шум от вложений подписей электронной почты, но не полностью устраняет все шумы. Это связано с тем, что только вложение подписи электронной почты отправителя электронной почты (лицо, который инициирует сообщение электронной почты или отвечает на сообщение электронной почты) исключается из оценки. Вложение подписи для всех пользователей в строке Кому, КОПИЯ или СКК будет по-прежнему оценено. Кроме того, если кто-то изменяет подпись электронной почты, новая подпись должна быть профилирована, что может вызвать шум оповещений в течение короткого периода времени.

Настройка исключения вложений с подписью электронной почты

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Email вложения подписи.

  5. На панели Игнорировать вложения подписи электронной почты (предварительная версия) справа установите для параметра значение Включено.

  6. Выберите Сохранить.

Настройка исключения пути к файлу

При исключении путей к файлам действия пользователей, которые сопоставляются с определенными индикаторами и которые происходят в этих расположениях пути к файлам, не будут создавать оповещения политики. Примеры включают копирование или перемещение файлов в системную папку или путь к общей сетевой папке. Для исключения можно ввести до 500 путей к файлам.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Пути к файлам.

  5. На панели Пути к файлам справа выберите одну из следующих вкладок:

    • Отдельные пути к файлам. Чтобы добавить отдельный путь к файлу, выберите Добавить пути к файлам для исключения, введите точный сетевой ресурс или путь к файлу устройства, а затем выберите Добавить пути к файлам для исключения. Повторите этот процесс для каждого пути к файлу, который нужно исключить. Примеры:

      Пример Описание
      \ms.temp\LocalFolder\ или C:\temp Исключает файлы непосредственно из папки и всех вложенных папок для каждого пути к файлу, начиная с введенного префикса.
      \public\local\ Исключает файлы из каждого пути к файлу, содержащего введенное значение.

      Совпадает с "C:\Users\Public\local\", "C:\Users\User1\Public\local" и "\ms.temp\Public\local".

      C:\Users*\Desktop Соответствует C:\Users\user1\Desktop и C:\Users\user2\Desktop.
      C:\Users*(2)\Desktop Поддерживаются карточки Wilcard с числами. Соответствует C:\Users\user1\Desktop и C:\Users\user2\Shared\Desktop.

      Каждый вводимый путь к файлу добавляется в столбец Путь к файлу на странице.

      Примечание.

      Сведения о путях к файлам, которые автоматически исключаются из создания оповещений политики, см. в статье Пути к файлам по умолчанию .

    • Группы путей к файлам. Чтобы выбрать уже созданную группу обнаружения пути к файлу, выберите Добавить группу пути к файлу, а затем выберите соответствующие группы пути к файлу. Количество путей к файлам, включенных в каждую группу, указано в столбце Включенные пути к файлам .

  6. Выберите Сохранить.

Пути к файлам по умолчанию

По умолчанию несколько путей к файлам автоматически исключаются из создания оповещений политики. Действия в этих путях к файлам обычно являются неопасными и потенциально могут увеличить объем оповещений, не являющихся действиями. При необходимости можно отменить выбор для этих исключений пути к файлам по умолчанию, чтобы включить оценку рисков для действий в этих расположениях.

Исключения пути к файлам по умолчанию:

  • \Users*\AppData
  • \Users*\AppData\Local
  • \Users*\AppData\Roaming
  • \Users*\AppData\Local\Temp

Подстановочные знаки в этих путях указывают, что все уровни папок между \Users и \AppData включены в исключение. Например, действия в C:\Users\Test1\AppData\Local и C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (и т. д.) будут включены и не оцениваются на риск в рамках выбора исключения \Users*\AppData\Local .

Настройка исключения типа файла

Вы можете исключить определенные типы файлов из всех сопоставлений политик управления внутренними рисками. Например, может потребоваться исключить все .wav файлы. Файлы с этим расширением будут игнорироваться для оценки рисков всеми политиками управления внутренними рисками.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Типы файлов.

  5. На панели Типы файлов справа выберите одну из следующих вкладок:

    • Отдельные типы файлов. Чтобы добавить типы файлов по одному, выберите Добавить тип файла, введите тип файла и нажмите клавишу ВВОД. Повторите этот процесс для каждого типа файлов, которые требуется добавить. Каждый тип файла, который вы вводите, добавляется на страницу.

    • Группы типов файлов. Чтобы выбрать уже созданную группу обнаружения типов файлов, выберите Добавить группу типов файлов, а затем выберите соответствующие группы типов файлов в списке.

  6. Выберите Сохранить.

Настройка исключения ключевое слово

Вы можете настроить исключения для ключевых слов, которые отображаются в именах файлов, путях к файлам или строках темы сообщений электронной почты. Это обеспечивает гибкость для организаций, которым необходимо уменьшить потенциальную частоту оповещений из-за маркировки неопасных условий. Такие действия, связанные с файлами или темами электронной почты, содержащими ключевое слово, будут игнорироваться политиками управления внутренними рисками и не будут создавать оповещения. Можно исключить до 500 ключевых слов.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Ключевые слова.

  5. На панели Ключевые слова справа выберите одну из следующих вкладок:

    • Отдельные ключевые слова. Чтобы добавить ключевые слова по одному, введите ключевое слово в поле Исключить эти ключевые слова и нажмите клавишу ВВОД. Повторите этот процесс для каждой ключевое слово, которую требуется добавить. Чтобы удалить ключевое слово, добавленную в список, выберите X рядом с ключевое слово.

      Совет

      Если вы хотите исключить ключевое слово из оценки, но хотите оценить эту ключевое слово, если она используется в сочетании с другими ключевыми словами или фразой, введите ключевое слово, которую вы хотите исключить, в поле Исключить эти ключевые слова, а затем введите слово или слова, которые являются частью фразы, которую вы хотите оценить в Исключите указанные выше ключевые слова только в том случае, если эти термины также отсутствуют в поле. Например, если добавить ключевое слово "соответствие" в поле Исключить эти ключевые слова, но ввести ключевое слово "обучение" в поле Исключить указанные выше ключевые слова только в том случае, если эти термины также отсутствуют, слово "соответствие" само по себе будет исключено из оценки, но будет оценено фраза "обучение по соответствию".

    • Группы ключевых слов. Чтобы выбрать уже созданную группу обнаружения ключевое слово, выберите Добавить ключевое слово группу, а затем выберите в списке соответствующие группы ключевое слово. Количество ключевых слов, включенных в каждую группу, отображается под заголовком Включенные ключевые слова .

  6. Выберите Сохранить.

Настройка исключения типа конфиденциальной информации (предварительная версия)

Исключенные типы конфиденциальной информации сопоставляются с индикаторами и триггерами, связанными с действиями, связанными с файлами, для конечной точки, SharePoint, Teams, OneDrive и Exchange. Эти исключенные типы рассматриваются как типы не конфиденциальных сведений. Если файл содержит любой тип конфиденциальной информации, указанный в этом разделе, он будет оценен как риск, но не будет отображаться как действия с содержимым, связанным с типами конфиденциальной информации. Полный список типов конфиденциальной информации см. в разделе Определения сущностей типов конфиденциальной информации.

Вы можете выбрать типы конфиденциальной информации, которые следует исключить из списка всех доступных (встроенных и настраиваемых) типов, доступных в организации. Вы можете выбрать до 500 типов конфиденциальной информации.

Примечание.

Список исключений типов конфиденциальной информации имеет приоритет над списком содержимого с приоритетом .

Настройка исключения типа конфиденциальной информации

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Типы конфиденциальной информации.

  5. На панели Типы конфиденциальной информации справа выберите одну из следующих вкладок:

    • Отдельные типы конфиденциальной информации. Чтобы добавить типы конфиденциальной информации по одному, выберите Добавить или изменить типы конфиденциальной информации для исключения, выберите типы конфиденциальной информации, которые нужно исключить, а затем нажмите кнопку Добавить. Вы также можете использовать поле поиска для поиска типа конфиденциальной информации.

    • Группы SIT. Чтобы выбрать уже созданную группу обнаружения типов конфиденциальной информации, выберите Добавить группу типов конфиденциальной информации, а затем выберите соответствующие группы из списка. Количество типов конфиденциальной информации, включенных в группу типов конфиденциальной информации, отображается в заголовке Включенные типы конфиденциальной информации . Когда закончите, нажмите кнопку Сохранить.

Настройка исключения сайта SharePoint

Вы можете настроить исключения сайтов SharePoint, чтобы предотвратить создание оповещений политики, которые происходят в SharePoint (и на сайтах SharePoint, связанных с сайтами каналов Teams). Например, может потребоваться исключить сайты или каналы, содержащие не конфиденциальные файлы и данные, которые могут быть переданы заинтересованным лицам или общественности. Можно ввести до 500 URL-адресов сайта SharePoint.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Сайты SharePoint.

  5. На панели сайты SharePoint справа выберите одну из следующих вкладок:

    • Отдельные сайты. Чтобы добавить сайты SharePoint по одному, выберите Добавить или изменить сайты для исключения, выберите сайты, которые нужно исключить, а затем нажмите кнопку Изменить. Вы также можете использовать поле поиска для поиска сайта.

    • Группы сайтов. Чтобы выбрать уже созданную группу обнаружения сайтов SharePoint, выберите Добавить группу сайтов SharePoint, а затем выберите соответствующие группы в списке. Количество сайтов, включенных в группу сайтов, отображается под заголовком Включенные сайты . Когда закончите, нажмите кнопку Сохранить.

Настройка исключения обучаемого классификатора (предварительная версия)

Исключенные обучаемые классификаторы сопоставляются с индикаторами и триггерами, связанными с действиями, связанными с файлами, для SharePoint, Teams, OneDrive и Exchange. Если какой-либо файл содержит любой обучаемый классификатор, определенный как исключение, файл будет оценен как риск, но не будет отображаться как действие с содержимым, связанным с обучаемыми классификаторами. Полный список предварительно обученных классификаторов см. в разделе Определения классификаторов с возможностью обучения.

Вы можете выбрать обучаемые классификаторы, которые будут исключены из списка всех доступных (встроенных и настраиваемых) типов, доступных в организации. Управление внутренними рисками по умолчанию исключает некоторые обучаемые классификаторы, включая угрозы, ненормативную лексику, целевые домогательства, оскорбительные формулировки и дискриминацию. Вы можете выбрать до 500 обучаемых классификаторов.

Примечание.

При необходимости можно выбрать обучаемые классификаторы, которые будут включены в список содержимого с приоритетом .

Настройка исключения обучаемого классификатора

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Глобальные исключения (предварительная версия).

  4. На панели Тип справа выберите Обучаемые классификаторы.

  5. На панели Обучаемые классификаторы справа выберите одну из следующих вкладок:

    • Индивидуальный обучаемый классификатор. Чтобы выбрать обучаемые классификаторы по одному, выберите Добавить или изменить обучаемые классификаторы для исключения, выберите соответствующие обучаемые классификаторы в списке, а затем нажмите кнопку Добавить. Поле поиска можно использовать для поиска обучаемого классификатора.

    • Обучаемые группы классификаторов. Чтобы выбрать уже созданную группу обнаружения обучаемых классификаторов, выберите Добавить группу обучаемых классификаторов, а затем выберите соответствующие группы из списка. Количество обучаемых классификаторов, включенных в обучаемую группу классификаторов, отображается в заголовке Включенные обучаемые классификаторы . Когда закончите, нажмите кнопку Сохранить.