Сведения о параметрах управления внутренними рисками
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Прежде чем приступить к работе с политиками управления внутренними рисками, важно понять и выбрать параметры управления внутренними рисками, которые наилучшим образом соответствуют требованиям к соответствию для вашей организации. Параметры управления внутренними рисками применяются ко всем политикам управления внутренними рисками независимо от шаблона, выбранного при создании политики.
Примечание.
Используйте параметры в верхней части любой страницы управления внутренними рисками, чтобы внести изменения в параметры.
В следующей таблице описаны все параметры управления внутренними рисками и приведена ссылка для получения дополнительных сведений о параметре.
Setting | Описание |
---|---|
Конфиденциальность | Выберите, следует ли отображать имена пользователей или анонимные версии имен пользователей для всех текущих и прошлых соответствий политике для оповещений и случаев. |
Индикаторы политики | Каждый шаблон политики управления внутренними рисками основан на конкретных индикаторах, соответствующих определенным триггерам и действиям риска. Все глобальные индикаторы отключены по умолчанию; Для настройки политики управления внутренними рисками необходимо выбрать один или несколько индикаторов. Параметры уровня индикатора помогают управлять тем, как количество вхождений событий риска в организации влияет на оценку риска. |
Группы обнаружения | Используйте параметр Группы обнаружения для создания вариантов встроенных индикаторов, если вы хотите настроить обнаружение для разных наборов пользователей. Создание групп обнаружения помогает уменьшить количество ложных срабатываний. |
Глобальные исключения | Используйте параметр Глобальные исключения , чтобы указать глобальные исключения, которые не будут оценены политиками управления внутренними рисками. |
Временные интервалы политики | Параметр Таймфреймы политики позволяет определять прошлые и будущие периоды проверки, которые активируются после совпадений политик на основе событий и действий для шаблонов политик управления внутренними рисками. |
Интеллектуальные обнаружения | Используйте параметр Интеллектуальное обнаружение для повышения оценки необычных действий загрузки, управления объемом оповещений, импорта и фильтрации Microsoft Defender для конечной точки оповещений, а также указания не разрешенных и сторонних доменов для оценки рисков. |
Экспорт оповещений | Сведения об оповещениях об управлении внутренними рисками можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию оркестрации безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках. |
Общий доступ к данным | Используйте параметр Общий доступ к данным, чтобы выполнить одно из следующих действий: 1) Экспорт сведений об оповещениях об управлении внутренними рисками в решения SIEM с помощью схемы API действий управления Office 365; 2) Предоставление общего доступа к уровням риска пользователей управления внутренними рисками с оповещениями Microsoft Defender и DLP. |
Группы пользователей с приоритетом | Пользователи в вашей организации могут иметь разные уровни риска в зависимости от их положения, уровня доступа к конфиденциальной информации или истории рисков. Расстановка приоритетов при изучении и оценке действий этих пользователей может помочь предупредить вас о потенциальных рисках, которые могут иметь более высокие последствия для вашей организации. Используйте параметр Приоритетные группы пользователей , чтобы определить пользователей в организации, которым требуется более подробная проверка и более чувствительная оценка рисков. |
Приоритетные физические ресурсы (предварительная версия) | Определение доступа к приоритетным физическим ресурсам и корреляция действий доступа с событиями пользователей являются важным компонентом инфраструктуры соответствия требованиям. Эти физические ресурсы представляют собой приоритетные расположения в организации, такие как здания компании, центры обработки данных или серверные комнаты. Действия, связанные с внутренними рисками, могут быть связаны с пользователями, работающими в необычные часы, попытками доступа к этим несанкционированным конфиденциальным или защищенным областям, а также запросами на доступ к областям высокого уровня без законных потребностей. |
Потоки Power Automate (предварительная версия) | Microsoft Power Automate — это служба рабочих процессов, которая автоматизирует действия в приложениях и службах. Используя потоки из шаблонов или созданные вручную, можно автоматизировать распространенные задачи, связанные с этими приложениями и службами. При включении потоков Power Automate для управления внутренними рисками можно автоматизировать важные задачи для случаев и пользователей. Вы можете настроить потоки Power Automate для получения сведений о пользователях, оповещениях и обращениях и предоставления этой информации заинтересованным лицам и другим приложениям, а также для автоматизации действий по управлению внутренними рисками, таких как публикация в заметках о случаях. Потоки Power Automate применимы для случаев и любого пользователя в область для политики. |
Microsoft Teams (предварительная версия) | Вы можете включить поддержку Microsoft Teams, чтобы аналитики соответствия требованиям и следователи могли использовать Teams для совместной работы в случаях управления внутренними рисками. Используйте Teams для выполнения: — Координация и проверка действий по реагированию на случаи в частных каналах Teams — безопасное совместное использование и хранение файлов и доказательств, связанных с отдельными случаями. — Обнаружение и проверка действий по реагированию аналитиками и следователями |
Аналитика. | Аналитика внутренних рисков позволяет проводить оценку потенциальных внутренних рисков в организации без настройки каких-либо политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области с более высоким риском для пользователей и определить тип и область политик управления внутренними рисками, которую можно настроить. |
уведомления Администратор | Используйте параметр уведомлений Администратор, чтобы автоматически отправлять уведомления по электронной почте в группы ролей управления внутренними рисками. Варианты действий: — отправка уведомления по электронной почте при создании первого оповещения для новой политики — отправка ежедневного сообщения электронной почты при создании новых оповещений с высоким уровнем серьезности — отправлять еженедельное сообщение электронной почты с сводкой политик с неразрешенными предупреждениями. |
Настройка встроенных оповещений | Встроенная настройка оповещений позволяет быстро настроить политику управления внутренними рисками непосредственно на панели мониторинга Оповещений при проверке оповещения. Оповещения создаются, когда действие управления рисками соответствует пороговым значениям, заданным в соответствующей политике. Чтобы уменьшить количество оповещений, полученных от этого типа действий, можно изменить пороговые значения или полностью удалить действие управления рисками из политики. |
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.