Настройка параметров для управления рисками предварительной оценки

  • 8 мин

Управление внутренними рисками Microsoft Purview позволяет организациям выявлять и устранять внутренние риски, обнаруживая потенциально опасные действия. Параметры являются базовой частью этого решения, определяющей, как риски обнаруживаются, оцениваются и управляются в вашей организации. Общие сведения об этих параметрах и их работе обеспечивают соответствие политик требованиям организации, уменьшая ненужные оповещения и шум.

Как работают параметры управления внутренними рисками

Параметры управления внутренними рисками работают глобально, затрагивая все политики независимо от выбранного шаблона. Эти параметры позволяют:

  • Настройка анализа и оценки действий пользователей.
  • Приоритеты оценки действий для определенных пользователей или групп.
  • Обеспечение соответствия требованиям к конфиденциальности и обработке данных.
  • Уменьшение ложных срабатываний путем уточнения критериев обнаружения.

При настройке этих параметров можно сосредоточиться на рисках, наиболее важных для вашей организации, сохраняя эффективность работы.

Общие сведения о параметрах управления внутренними рисками

Параметры управления внутренними рисками предоставляют настраиваемые средства для согласования политик с уникальными потребностями соответствия и безопасности вашей организации. Эти параметры применяются глобально ко всем политикам и помогают настраивать механизмы обнаружения, оценки и оповещения.

Чтобы получить доступ к этим параметрам и настроить их, выполните следующие действия.

  1. Войдите на портал Microsoft Purview.
  2. Выберите "Параметры для управления рисками> для предварительной оценки".
  3. Выберите категорию параметров, которую вы хотите настроить.

Конфиденциальность

Выберите, являются ли имена пользователей в оповещениях и случаях анонимными или отображаются. Анонимные имена пользователей могут помочь организациям поддерживать конфиденциальность сотрудников во время расследования.

Индикаторы политики

Включите и настройте индикаторы, отслеживающие действия, такие как скачивание конфиденциальных файлов или пересылка сообщений электронной почты. Настройка пороговых значений для этих индикаторов гарантирует, что оповещения отражают отказоустойчивость организации к рискам.

Группы обнаружения

Создайте группы обнаружения для применения определенных пороговых значений или критериев к разным наборам пользователей. Например, можно назначить более специализированные пороговые значения для пользователей в ролях с высоким риском, таких как ИТ-администраторы или руководители.

Глобальные исключения (предварительная версия)

Исключить определенных пользователей, групп или действий, включенных в обнаружение политик. Например, учетные записи служб или обычные административные задачи можно исключить, чтобы уменьшить ненужные оповещения.

Временные интервалы политики

Определите период времени, для которого проверяются действия при активации политики. Этот параметр позволяет организациям сосредоточиться на соответствующих периодах действий, таких как 30 дней после нарушения политики.

Интеллектуальные обнаружения

Используйте интеллектуальные обнаружения для выявления необычных действий, настройки томов оповещений и включения оповещений из внешних инструментов, таких как Microsoft Defender для конечной точки. Этот параметр также позволяет организациям определять приоритеты рисков, связанных с определенными доменами или действиями.

Приоритетные группы пользователей

Назначьте более высокие пороговые значения оценки рисков пользователям в критически важных ролях или пользователям с повышенным доступом. Например, пользователям с доступом к конфиденциальным данным может потребоваться более подробная оценка действий.

Приоритетные физические ресурсы

Определите и отслеживайте действия, связанные с конфиденциальными расположениями, такими как центры обработки данных или безопасные объекты. Сопоставление этого действия с другими событиями пользователя может предоставить дополнительные аналитические сведения о рисках.

Notifications

Настройте Уведомления по электронной почте для администраторов и других групп ролей управления внутренними рисками. Уведомления можно активировать для новых оповещений, неразрешенных предупреждений или случаев высокой серьезности.

Общий доступ к данным

Включите экспорт оповещений на внешние инструменты, такие как SIEM или SOAR платформы. Используя API действий управления Office 365, эта интеграция позволяет централизованно выполнять агрегирование оповещений и исследование.

Аналитика

Запустите аналитику для оценки тенденций риска и выявления потенциальных областей, связанных с созданием политик. Эта функция предоставляет аналитические сведения, не требуя развертывания политики.

Встроенная настройка оповещений

Настройте пороговые значения для политик непосредственно на панели мониторинга оповещений. Эта функция позволяет настраивать критерии обнаружения в режиме реального времени на основе особенностей оповещения.

Потоки Power Automate (предварительная версия)

Автоматизация таких задач, как предоставление общего доступа к обновлениям случаев или публикация заметок о регистрах с помощью потоков Power Automate. Это может упростить рабочие процессы и повысить эффективность во время расследования.

Microsoft Teams

Включите частные каналы Teams для упрощения совместной работы между следователями. Teams можно использовать для безопасного совместного использования доказательств, координации действий и отслеживания ответов.

Настройка параметров риска для участников программы предварительной оценки

Выполните следующие действия, чтобы эффективно настроить параметры:

  1. Определите цели организации: определите типы внутренних рисков, которые ваша организация направлена на решение таких задач, как утечка данных или неправильное использование конфиденциальной информации.
  2. Настройка параметров конфиденциальности. Определите, следует ли анонимизировать имена пользователей в случаях и оповещениях на основе требований конфиденциальности и соответствия вашей организации.
  3. Запуск проверок аналитики. Используйте аналитику для получения аналитических сведений о потенциальных рисках в организации и точной настройки конфигураций перед развертыванием политик.
  4. Включите соответствующие индикаторы: выберите индикаторы, которые соответствуют идентифицированным рискам вашей организации и задайте соответствующие пороговые значения для минимизации ненужных оповещений.
  5. Создание групп обнаружения: настраивайте пороговые значения для пользователей или отделов с высоким риском, чтобы обеспечить точную и ориентированную оценку рисков.
  6. Установите уведомления администратора: настройте уведомления, чтобы ключевые заинтересованные лица были информированы о оповещениях и случаях с высоким приоритетом.
  7. Интеграция внешних средств. При необходимости настройте параметры экспорта для отправки данных оповещений на платформы SIEM или SOAR.
  8. Тестирование и уточнение параметров: регулярно просматривайте оповещения, корректируйте пороговые значения и обновляйте параметры по мере развития потребностей организации.

После настройки параметров можно расширить возможности управления внутренними рисками, интегрируя их с другими инструментами и источниками данных. Эти интеграции помогают улучшить обнаружение, уточнить политики и упростить исследования.