Поделиться через


Настройка интеллектуальных обнаружений в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Примечание.

Глобальные параметры исключений, которые ранее были включены в параметр Интеллектуальное обнаружение, теперь включены в параметр Глобальные исключения (предварительная версия).

Используйте параметр Интеллектуальное обнаружение в Управление внутренними рисками Microsoft Purview, чтобы:

  • Повысьте оценку необычных действий по скачиванию файлов, введя минимальное количество ежедневных событий.
  • Увеличьте или уменьшите объем и распределение оповещений высокого, среднего и низкого уровня.
  • Импорт и фильтрация оповещений Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов управления внутренними рисками.
  • Укажите не разрешенные домены, чтобы повысить оценку риска для потенциально рискованных действий.
  • Укажите сторонние домены для создания оповещений о потенциально рискованных действиях загрузки.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Обнаружение действий файлов

В этом разделе можно указать количество ежедневных событий, необходимых для повышения оценки риска для действий скачивания, которые считаются необычными для пользователя. Например, если ввести "25", если пользователь скачивает в среднем 10 файлов в течение предыдущих 30 дней, но политика обнаруживает, что он скачал 20 файлов за один день, оценка этого действия не будет увеличена, даже если это необычно для этого пользователя, так как количество файлов, скачанных в этот день, было меньше 25.

Том оповещений

Потенциально рискованным действиям, обнаруженным политиками внутренних рисков, назначается определенная оценка риска, которая, в свою очередь, определяет серьезность оповещения (низкий, средний, высокий). По умолчанию управление внутренними рисками создает определенное количество оповещений с низким, средним и высоким уровнем серьезности, но вы можете увеличить или уменьшить объем оповещений определенного уровня в соответствии с вашими потребностями.

Чтобы настроить объем оповещений для всех политик управления внутренними рисками, выберите один из следующих параметров:

  • Меньше оповещений. Вы увидите все оповещения с высоким уровнем серьезности, меньше оповещений средней серьезности и без оповещений с низким уровнем серьезности. Вы можете пропустить некоторые истинные положительные параметров, если выбрать этот уровень параметров.
  • Том по умолчанию. Вы увидите все оповещения с высоким уровнем серьезности и сбалансированное количество оповещений средней и низкой серьезности.
  • Дополнительные оповещения. Вы увидите все оповещения средней и высокой серьезности, а также большинство оповещений с низким уровнем серьезности. Этот уровень параметров может привести к дополнительным ложным срабатываниям.

Microsoft Defender для конечной точки состояния оповещений

Важно!

Чтобы импортировать оповещения о нарушениях безопасности, необходимо настроить Microsoft Defender для конечной точки в организации и включить Defender для конечной точки для интеграции управления внутренними рисками в Центре безопасности Defender. Дополнительные сведения о настройке Defender для конечной точки для интеграции управления внутренними рисками см. в статье Настройка расширенных функций в Defender для конечной точки.

Microsoft Defender для конечной точки — это платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы корпоративных сетей. Чтобы обеспечить лучшую видимость нарушений безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов политик нарушения безопасности управления внутренними рисками.

В зависимости от типа интересующих вас сигналов можно импортировать оповещения в управление внутренними рисками на основе состояния рассмотрения оповещений Defender для конечной точки. Вы можете определить одно или несколько из следующих состояний рассмотрения оповещений в глобальных параметрах для импорта:

  • Unknown
  • Создать
  • Выполняется
  • Устранено

Оповещения из Defender для конечной точки импортируются ежедневно. В зависимости от выбранного состояния рассмотрения вы можете увидеть несколько действий пользователей для того же оповещения, что и изменение состояния рассмотрения в Defender для конечной точки.

Например, если для этого параметра выбраны пункты Создать, Выполняется и Разрешено, то при создании оповещения Microsoft Defender для конечной точки и состоянии "Новое", для пользователя в системе управления внутренними рисками импортируется действие первоначального оповещения. Когда состояние рассмотрения Defender для конечной точки меняется на Выполняется, импортируется второе действие для этого оповещения. Когда задается окончательное состояние рассмотрения Defender для конечной точки Resolved , импортируется третье действие для этого оповещения. Эта функция позволяет следователям следить за развитием оповещений Defender для конечной точки и выбирать уровень видимости, необходимый для их исследования.

Домены

Вы можете указать неуправляемые и сторонние домены для повышения уровня обнаружения:

  • Не разрешенные домены: При указании не разрешенного домена действия по управлению рисками, происходящие с этим доменом, будут иметь более высокую оценку риска. Например, может потребоваться указать действия, связанные с предоставлением общего доступа к содержимому (например, отправка электронной почты кому-либо с gmail.com адресом), или действия, связанные с загрузкой содержимого на устройство из не разрешенного домена. Можно добавить до 500 не разрешенных доменов.
  • Сторонние домены: Если ваша организация использует сторонние домены в бизнес-целях (например, облачное хранилище), включите их в раздел Сторонние домены для получения оповещений о потенциально рискованных действиях, связанных с индикатором устройства Используйте браузер для скачивания содержимого со стороннего сайта. Можно добавить до 500 сторонних доменов.

Добавление не разрешенного домена

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.

  4. Прокрутите вниз до раздела Не разрешенные домены и выберите Добавить домены.

  5. Введите домен.

    Совет

    Если вы не хотите вводить домены по одному, вы можете импортировать их в виде CSV-файла, выбрав Импорт доменов из CSV-файла на предыдущей странице.

  6. Если вы хотите включить все поддомены в указанный домен, установите флажок Включить многоуровневые поддомены .

    [! ПРИМЕЧАНИЕ. Подстановочные знаки можно использовать для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com", чтобы сопоставить эти поддомены (и любой другой поддомен на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, необходимо установить флажок Включить многоуровневые поддомены .

  7. Нажмите клавишу ВВОД. Повторите этот процесс для каждого домена, который вы хотите добавить.

  8. Выберите Добавить домены.

Добавление стороннего домена

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.

  4. Прокрутите вниз до раздела Сторонние домены и выберите Добавить домены.

  5. Введите домен.

    Совет

    Если вы не хотите вводить домены по одному, вы можете импортировать их в виде CSV-файла, выбрав Импорт доменов из CSV-файла на предыдущей странице.

  6. Если вы хотите включить все поддомены в указанный домен, установите флажок Включить многоуровневые поддомены .

    [! ПРИМЕЧАНИЕ. Подстановочные знаки можно использовать для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com", чтобы сопоставить эти поддомены (и любой другой поддомен на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, необходимо установить флажок Включить многоуровневые поддомены .

  7. Нажмите клавишу ВВОД. Повторите этот процесс для каждого домена, который вы хотите добавить.

  8. Выберите Добавить домены.