Включение аналитики в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Включение аналитики Управление внутренними рисками Microsoft Purview обеспечивает два важных преимущества. Если аналитика включена, вы можете:

• Проводите оценку потенциальных внутренних рисков в организации без настройки политик внутренних рисков.
• Получите рекомендации по настройке пороговых параметров индикатора в режиме реального времени.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Проведение оценки внутренних рисков в организации

Управление внутренними рисками Microsoft Purview аналитика позволяет оценивать потенциальные внутренние риски в организации без настройки политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области повышенного риска пользователей и определить тип и область политик управления внутренними рисками, которые вы можете настроить. Сканирование аналитики обеспечивает следующие преимущества для вашей организации:

• Простота настройки. Чтобы приступить к проверке аналитических данных, выберите Выполнить сканирование по запросу рекомендации аналитики или перейдите в раздел Параметры> предварительного анализа рискови включите аналитику.
• Конфиденциальность по умолчанию. Отсканированные результаты и аналитические сведения возвращаются как агрегированные и анонимные действия пользователей. Отдельные имена пользователей не идентифицируются рецензентами. Так как управление внутренними рисками не классифицирует какие-либо удостоверения в организации для аналитики, решение учитывает все имена участников-пользователей и удостоверения, которые могут быть вовлечены в данные, покидающие границу организации. Это могут быть учетные записи пользователей, системные учетные записи, гостевые учетные записи и т. д.
• Понимание потенциальных рисков с помощью консолидированной аналитики. Результаты сканирования помогут быстро определить потенциальные области риска для пользователей и определить, какая политика лучше всего поможет снизить эти риски.

Ознакомьтесь с видео аналитики внутренних рисков , чтобы понять, как аналитика может помочь ускорить выявление потенциальных внутренних рисков.

Области, проверенные

Аналитика проверяет действия по управлению рисками из нескольких источников, чтобы выявить аналитические сведения о потенциальных областях риска. В зависимости от текущей конфигурации аналитика ищет действия с квалифицирующими рисками в следующих областях:

• Журналы аудита Microsoft 365. Это основной источник для выявления большинства потенциально рискованных действий.
• Exchange Online. Включаемые во все проверки действия Exchange Online помогают определить действия, в которых данные во вложениях отправляются по электронной почте внешним контактам или службам.
• Microsoft Entra ID: во всех проверках журнал Microsoft Entra помогает выявлять рискованные действия, связанные с пользователями с удаленными учетными записями пользователей.
• Соединитель данных отдела кадров Microsoft 365. Если он настроен, события соединителя кадров помогают выявлять рискованные действия, связанные с пользователями, у которых есть даты увольнения или предстоящие даты прекращения.

Аналитические сведения от проверок основаны на одних и том же сигналах действий по управлению рисками, используемых политиками управления внутренними рисками, и результаты отчета на основе отдельных и последовательностей действий пользователей. Однако оценка рисков для аналитики основана на активности до 10 дней, в то время как политики внутренних рисков используют ежедневную активность для получения аналитических сведений. При первом включении и запуске аналитики в организации вы увидите результаты сканирования за один день. Если оставить аналитику включенной, вы увидите результаты каждой ежедневной проверки, добавляемой в аналитические отчеты за максимальный диапазон действий за предыдущие 10 дней.

Получение рекомендаций по настройке пороговых параметров индикаторов в режиме реального времени

Настройка политик вручную для снижения "шума" может занять очень много времени, и вам потребуется много проб и ошибок, чтобы определить нужную конфигурацию для политик. Если аналитика включена, вы можете получить аналитические сведения в режиме реального времени, которые помогут эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики. Узнайте больше об использовании аналитики в режиме реального времени для управления объемом оповещений.

Включение аналитики и запуск проверки потенциальных внутренних рисков в организации

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Чтобы включить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или "Глобальный администратор Microsoft 365 ".

Выберите соответствующую вкладку для используемого портала. В зависимости от плана Microsoft 365 Портал соответствия требованиям Microsoft Purview будет прекращена или будет прекращена в ближайшее время.

Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. На вкладке Обзор прокрутите вниз до карта Аналитика внутренних рисков, а затем в разделе Проверка на наличие внутренних рисков в организации выберите Запустить сканирование. Это включает проверку аналитики для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для проверки.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. На вкладке Обзор прокрутите вниз до карта Аналитика внутренних рисков, а затем в разделе Проверка на наличие внутренних рисков в организации выберите Запустить сканирование. Это включает проверку аналитики для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для проверки.

Совет

Вы также можете включить проверку в организации с помощью параметров в верхней части любой страницы управления внутренними рисками. Выберите Аналитика и включите этот параметр.

Просмотр аналитических сведений после первого сканирования аналитики

Чтобы просмотреть результаты сканирования аналитики в организации, перейдите к разделу Аналитикаотчетов по>управлению внутренними рисками>. Дополнительные сведения об отчетах см. в статье Использование отчетов в управлении внутренними рисками.

Отключение аналитики

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Чтобы отключить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или глобального администратора Microsoft 365.

Выберите соответствующую вкладку для используемого портала. В зависимости от плана Microsoft 365 Портал соответствия требованиям Microsoft Purview будет прекращена или будет прекращена в ближайшее время.

Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Выберите Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Аналитика, а затем отключите этот параметр.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Параметры, а затем — Аналитика.
4. На странице Аналитика отключите параметр .

После отключения аналитики:

• Аналитические отчеты аналитики останутся статическими и не будут обновляться для новых рисков.
• Вы не сможете просматривать аналитику в режиме реального времени при настройке пороговых параметров индикатора для политик.