Поделиться через


Сведения о параметрах управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Прежде чем приступить к работе с политиками управления внутренними рисками, важно понять и выбрать параметры управления внутренними рисками, которые наилучшим образом соответствуют требованиям к соответствию для вашей организации. Параметры управления внутренними рисками применяются ко всем политикам управления внутренними рисками независимо от шаблона, выбранного при создании политики.

Примечание.

Используйте параметры в верхней части любой страницы управления внутренними рисками, чтобы внести изменения в параметры.

В следующей таблице описаны все параметры управления внутренними рисками и приведена ссылка для получения дополнительных сведений о параметре.

Setting Описание
Конфиденциальность Выберите, следует ли отображать имена пользователей или анонимные версии имен пользователей для всех текущих и прошлых соответствий политике для оповещений и случаев.
Индикаторы политики Каждый шаблон политики управления внутренними рисками основан на конкретных индикаторах, соответствующих определенным триггерам и действиям риска. Все глобальные индикаторы отключены по умолчанию; Для настройки политики управления внутренними рисками необходимо выбрать один или несколько индикаторов. Параметры уровня индикатора помогают управлять тем, как количество вхождений событий риска в организации влияет на оценку риска.
Группы обнаружения Используйте параметр Группы обнаружения для создания вариантов встроенных индикаторов, если вы хотите настроить обнаружение для разных наборов пользователей. Создание групп обнаружения помогает уменьшить количество ложных срабатываний.
Глобальные исключения Используйте параметр Глобальные исключения , чтобы указать глобальные исключения, которые не будут оценены политиками управления внутренними рисками.
Временные интервалы политики Параметр Таймфреймы политики позволяет определять прошлые и будущие периоды проверки, которые активируются после совпадений политик на основе событий и действий для шаблонов политик управления внутренними рисками.
Интеллектуальные обнаружения Используйте параметр Интеллектуальное обнаружение для повышения оценки необычных действий загрузки, управления объемом оповещений, импорта и фильтрации Microsoft Defender для конечной точки оповещений, а также указания не разрешенных и сторонних доменов для оценки рисков.
Экспорт оповещений Сведения об оповещениях об управлении внутренними рисками можно экспортировать в решения по управлению информационной безопасностью и событиями безопасности (SIEM) и автоматическому реагированию оркестрации безопасности (SOAR) с помощью схемы API действий управления Office 365. API-интерфейсы действий управления Office 365 можно использовать для экспорта сведений об оповещениях в другие приложения, которые ваша организация может использовать для управления или агрегирования информации о внутренних рисках.
Общий доступ к данным Используйте параметр Общий доступ к данным, чтобы выполнить одно из следующих действий: 1) Экспорт сведений об оповещениях об управлении внутренними рисками в решения SIEM с помощью схемы API действий управления Office 365; 2) Предоставление общего доступа к уровням риска пользователей управления внутренними рисками с оповещениями Microsoft Defender и DLP.
Группы пользователей с приоритетом Пользователи в вашей организации могут иметь разные уровни риска в зависимости от их положения, уровня доступа к конфиденциальной информации или истории рисков. Расстановка приоритетов при изучении и оценке действий этих пользователей может помочь предупредить вас о потенциальных рисках, которые могут иметь более высокие последствия для вашей организации. Используйте параметр Приоритетные группы пользователей , чтобы определить пользователей в организации, которым требуется более подробная проверка и более чувствительная оценка рисков.
Приоритетные физические ресурсы (предварительная версия) Определение доступа к приоритетным физическим ресурсам и корреляция действий доступа с событиями пользователей являются важным компонентом инфраструктуры соответствия требованиям. Эти физические ресурсы представляют собой приоритетные расположения в организации, такие как здания компании, центры обработки данных или серверные комнаты. Действия, связанные с внутренними рисками, могут быть связаны с пользователями, работающими в необычные часы, попытками доступа к этим несанкционированным конфиденциальным или защищенным областям, а также запросами на доступ к областям высокого уровня без законных потребностей.
Потоки Power Automate (предварительная версия) Microsoft Power Automate — это служба рабочих процессов, которая автоматизирует действия в приложениях и службах. Используя потоки из шаблонов или созданные вручную, можно автоматизировать распространенные задачи, связанные с этими приложениями и службами. При включении потоков Power Automate для управления внутренними рисками можно автоматизировать важные задачи для случаев и пользователей. Вы можете настроить потоки Power Automate для получения сведений о пользователях, оповещениях и обращениях и предоставления этой информации заинтересованным лицам и другим приложениям, а также для автоматизации действий по управлению внутренними рисками, таких как публикация в заметках о случаях. Потоки Power Automate применимы для случаев и любого пользователя в область для политики.
Microsoft Teams (предварительная версия) Вы можете включить поддержку Microsoft Teams, чтобы аналитики соответствия требованиям и следователи могли использовать Teams для совместной работы в случаях управления внутренними рисками. Используйте Teams для выполнения:
— Координация и проверка действий по реагированию на случаи в частных каналах Teams
— безопасное совместное использование и хранение файлов и доказательств, связанных с отдельными случаями.
— Обнаружение и проверка действий по реагированию аналитиками и следователями
Аналитика. Аналитика внутренних рисков позволяет проводить оценку потенциальных внутренних рисков в организации без настройки каких-либо политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области с более высоким риском для пользователей и определить тип и область политик управления внутренними рисками, которую можно настроить.
уведомления Администратор Используйте параметр уведомлений Администратор, чтобы автоматически отправлять уведомления по электронной почте в группы ролей управления внутренними рисками. Варианты действий:
— отправка уведомления по электронной почте при создании первого оповещения для новой политики
— отправка ежедневного сообщения электронной почты при создании новых оповещений с высоким уровнем серьезности
— отправлять еженедельное сообщение электронной почты с сводкой политик с неразрешенными предупреждениями.
Настройка встроенных оповещений Встроенная настройка оповещений позволяет быстро настроить политику управления внутренними рисками непосредственно на панели мониторинга Оповещений при проверке оповещения. Оповещения создаются, когда действие управления рисками соответствует пороговым значениям, заданным в соответствующей политике. Чтобы уменьшить количество оповещений, полученных от этого типа действий, можно изменить пороговые значения или полностью удалить действие управления рисками из политики.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.