Рекомендации по управлению объемом оповещений в соответствии с данными
Важно!
Соответствие требованиям к обмену данными Microsoft Purview предоставляет средства, помогающие организациям обнаруживать соответствие нормативным требованиям (например, SEC или FINRA) и нарушения бизнес-поведения, такие как конфиденциальная или конфиденциальная информация, преследования или угрозы языка, а также предоставление общего доступа к содержимому для взрослых. Соответствие требованиям к обмену данными строится на основе конфиденциальности. Имена пользователей по умолчанию псевдонимизируются, элементы управления доступом на основе ролей встроены, администратор выбирает следователей, а журналы аудита используются для обеспечения конфиденциальности на уровне пользователей.
После настройки Соответствие требованиям к обмену данными Microsoft Purview некоторые корректировки помогут вам управлять объемом получаемых оповещений. Используйте список рекомендаций, описанных в этой статье, чтобы создать политики, охватывающие максимально возможное количество пользователей, уменьшая количество оповещений, не требующих действий.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Общие сведения о томах списка ключевое слово
Многие клиенты используют настраиваемые списки ключевое слово для сценариев соответствия требованиям. Понимание объема совпадений политик для каждой ключевое слово поможет вам настроить политики. Используйте отчет о типе конфиденциальной информации для каждого расположения для анализа списков ключевое слово, чтобы узнать, какие ключевые слова активируют наибольшее совпадение. Затем можно изучить дополнительные сведения, чтобы узнать, имеют ли эти ключевые слова высокие ложноположительные показатели. Вы также можете использовать отчеты со сведениями о сообщениях, чтобы получить данные о ключевое слово совпадений для определенной политики.
Использование панели мониторинга классификации данных
Важно понимать объем элементов, классифицированных обучаемыми классификаторами и типами конфиденциальной информации. Вы можете использовать обозреватель содержимого на панели мониторинга классификации данных, чтобы понять объем, который можно ожидать для вашей организации.
Когда вы впервые начинаете использовать обучаемые классификаторы, вы можете получить недостаточно совпадений или получить слишком много совпадений. В следующей таблице показан ожидаемый уровень громкости для различных типов обучаемых классификаторов.
| Обучаемый классификатор | Том |
|---|---|
| Дискриминация | Низкая |
| Целевые притеснения | Низкая |
| Угрозы | Низкая |
| Изображения для взрослых | Низкая |
| Жалобы клиентов | Средняя |
| Сквернословие | Средняя |
| Непристойные изображения | Средняя |
| Изображения с горами | Средняя |
| Подарки & развлечения | Средняя |
| Отмывание денег | Средняя |
| Нормативный сговор | Средняя |
| Манипуляции с акциями | Средняя |
| Несанкционированное раскрытие | Высокая |
Рассмотрите возможность использования классификатора изображений взрослых вместо классификатора изображений Racy , так как классификатор изображений взрослых обнаруживает более явное изображение. Вы можете использовать обозреватель содержимого , чтобы понять объем, ожидаемый для организации для каждого обучаемого классификатора.
Фильтрация взрывов электронной почты
Вы можете отфильтровать сообщения электронной почты , которые являются универсальными и предназначены для массовой коммуникации. Например, фильтрация спама, информационных бюллетеней и т. д. Дополнительные сведения см. в статье Сведения об отчете об Email отправителях взрывов.
Фильтрация подписей и отказов от ответственности по электронной почте
Типы конфиденциальной информации могут активироваться из нижних колонтитулов в сообщениях электронной почты, таких как заявления об отказе от ответственности. Если многие из ваших оповещений, не являющихся действиями, поступают из определенного набора предложений или фраз в подписи электронной почты или заявления об отказе от ответственности, вы можете отфильтровать подпись электронной почты или заявление об отказе от ответственности.
Использование оценки тональности
Сообщения в оповещениях включают оценку тональности , чтобы помочь вам быстро определить приоритеты потенциально рискованных сообщений для обращения в первую очередь. Использование оценки тональности не уменьшает объемы обнаружения, но упрощает определение приоритетов обнаружения. Сообщения помечаются как положительные, отрицательные или нейтральные тональности. В некоторых организациях сообщения с положительным тональностью могут быть определены как более низкие приоритеты, что позволяет тратить больше времени на другие оповещения о сообщениях.
Сообщить о сообщениях как о неправильной классификации
Отчеты о ложноположительных срабатываниях как неправильно классифицированные помогают улучшить модели Майкрософт и уменьшить количество ложноположительных результатов, которые будут отображаться в будущем.
Фильтрация определенных отправителей с помощью условия
Если у вас есть отправители, которые последовательно активируют обнаружение, вы можете отфильтровать этих конкретных отправителей с помощью следующего условного параметра:
Некоторые примеры последовательного запуска обнаружения могут происходить с помощью информационных бюллетеней, автоматических сообщений электронной почты и т. д. Дополнительные сведения о сценариях см. в разделе Сценарии создания условий в политиках соответствия требованиям к обмену данными.
Использование направления коммуникации для определенного набора пользователей
Если вы обнаруживаете стандарты бизнес-сценариев поведения и заботитесь только о коммуникациях от пользователей (а не от гостей), рассмотрите возможность использования политики, которая обнаруживает только исходящие сообщения. Если вы сделаете всю организацию область, вы можете убедиться, что все пользователи в вашей организации охвачены, но исключите пользователей извне вашей организации.
Объединение обучаемых классификаторов
Рассмотрите возможность объединения двух или более обучаемых классификаторов . Например, объедините классификаторы Угрозы и Ненормативной лексики или Классификаторы целевого преследования и ненормативной лексики , чтобы повысить пороговое значение для захваченных сообщений.
Снижение процента проверенных сообщений
Если вы просто хотите выбрать подмножество всех сообщений, которые активируют оповещения, укажите процент сообщений для проверки.