Подготовка организации к управлению внутренними рисками

  • 10 мин

Управление внутренними рисками помогает организациям обнаруживать, исследовать и реагировать на внутренние риски. Прежде чем использовать эти средства, убедитесь, что ваша организация соответствует всем предварительным требованиям и требованиям к лицензированию.

Подписки и лицензирование

Чтобы использовать Управление внутренними рисками Microsoft Purview, ваша организация должна соответствовать следующим требованиям лицензирования и географических требований:

  • Требуемая лицензия: подписка на Microsoft 365 E5, Соответствие требованиям Microsoft 365 E5 или эквивалентный план, который включает возможности управления внутренними рисками. Эквивалентные планы могут включать надстройки, такие как Microsoft 365 E5 Insider Risk Management, если они связаны с другим базовым планом.
  • Варианты пробной версии: организации без существующего плана E5 могут изучить варианты пробной версии в Центр администрирования Microsoft 365.
  • Географическая доступность. Управление рисками предварительной оценки поддерживается в поддерживаемых Azure регионах. Проверьте доступность зависимостей Azure по регионам.

Если в организации используются индикаторы уровня "Премиум", например расширенная аналитика или пользовательские соединители, для доступа к этим функциям может потребоваться выставление счетов по мере использования.

На странице обзора приведены рекомендуемые действия, которые помогут вам выполнить начальную настройку управления внутренними рисками. Эти действия обеспечивают соблюдение предварительных требований и помогают эффективно создавать политики и управлять ими:

Снимок экрана: основные рекомендации по управлению внутренними рисками.

  • Включение аудита. Включение ведения журнала аудита для отслеживания действий пользователей и администраторов. Это критически важное условие для обнаружения внутренних рисков.
  • Включите аналитику для проверки потенциальных рисков: используйте аналитику для выявления тенденций и уточнения политик. (Необязательно)
  • Узнайте, как управлять внутренними рисками: ознакомьтесь с ключевыми понятиями, рекомендациями и вариантами использования для управления внутренними рисками. (Необязательно)
  • Настройка параметров риска для участников программы предварительной оценки: настройте глобальные параметры для конфиденциальности, исключений и индикаторов риска в соответствии с потребностями организации.
  • Создайте первую политику: используйте стандартные шаблоны для обнаружения рискованных действий, таких как утечка данных или несанкционированный доступ.
  • Убедитесь, что ваша команда может выполнить свои задания: назначьте роли и разрешения, чтобы администраторы и аналитики имели доступ к управлению политиками и расследованиями.

Вкладка "Рекомендации" предоставляет дополнительные действия для текущей оптимизации, таких как просмотр оповещений , обнаружение тонкой настройки и интеграция таких средств, как XDR в Microsoft Defender.

Предварительные требования для управления внутренними рисками

Выполните следующие действия, чтобы убедиться, что все предварительные требования выполнены перед созданием политик.

Шаг 1. Включение разрешений для управления рисками предварительной оценки

Назначьте следующие роли для настройки управления рисками предварительной оценки и управления ими:

  • Глобальный администратор или администратор соответствия требованиям: назначение и контроль ролей и доступа.
  • Администратор управления внутренними рисками: настройка глобальных параметров и управление политиками.
  • Аналитик по управлению внутренними рисками: просмотрите оповещения и изучите их.
  • Следователь по управлению внутренними рисками: исследование действий пользователей и случаев.

Всегда убедитесь, что у одного пользователя есть доступ администратора, чтобы избежать сценария "нулевого администратора".

Добавление пользователей в группы ролей

Чтобы назначить пользователей группам ролей, выполните приведенные действия.

  1. Войдите на портал Microsoft Purview.
  2. Перейдите к параметрам на левой боковой панели, а затем выберите роли и области>групп ролей.
  3. Выберите соответствующую группу ролей, например администратор управления рисками предварительной оценки, а затем нажмите кнопку "Изменить".
  4. Выберите " Выбрать пользователей", а затем установите флажки для пользователей, которые вы хотите добавить в группу ролей.
  5. Нажмите кнопку "Далее", а затем нажмите кнопку "Сохранить", чтобы сохранить параметры.

Шаг 2. Включение журналов аудита Microsoft 365

Журналы аудита фиксируют важные данные о действиях для аналитики и оповещений. Убедитесь, что аудит активен, выполнив следующую команду в Exchange Online PowerShell:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Если возвращается Trueсвойство UnifiedAuditLogIngestionEnabled, включен аудит.

Не забудьте использовать Exchange Online PowerShell для точных результатов. Запуск в PowerShell безопасности и соответствия требованиям всегда отображается False, даже если включен аудит.

Пошаговые инструкции по включению ведения журнала аудита в Microsoft 365 см. в разделе "Включение или отключение аудита"

Шаг 3. Включение аналитики рисков предварительной оценки (необязательно)

Аналитика предоставляет аналитические сведения о действиях пользователей, помогая выявлять тенденции и потенциальные риски перед развертыванием политик. Аналитика также рекомендует параметры пороговых значений для уточнения обнаружения.

Чтобы включить аналитику рисков для предварительной оценки, выполните приведенные действия.

  1. Войдите на портал Microsoft Purview.

  2. Перейдите к решению для управления внутренними рисками .

  3. На вкладке "Обзор" на карточке организации на странице "Проверка параметров предварительной оценки" выберите "Выполнить сканирование". Это действие включает проверку аналитики для вашей организации.

    Вы также можете включить проверку, перейдя в аналитику параметров>предварительной оценки рисков и включив проверку активности пользователя клиента для выявления потенциальных рисков предварительной оценки.

  4. В области сведений аналитики нажмите кнопку "Выполнить сканирование", чтобы начать проверку вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения доступны в качестве отчетов для проверки.

Шаг 4. Настройка необходимых компонентов для индикаторов политики

Чтобы обеспечить эффективное обнаружение, настройте источники данных и настройте политики:

  • Соединитель кадров: интегрирует такие данные, как даты отставки и завершения, поддерживающие шаблоны, такие как кража данных, отставая пользователей.
  • Облачные индикаторы: просмотрите действия на таких платформах, как Google Drive, Dropbox и Azure для рисков, таких как утечка данных или эскалация привилегий.
  • Данные здравоохранения: импортируйте журналы из таких систем, как Epic, чтобы отслеживать неправильный доступ или редактирование записей пациентов, поддерживая политики, такие как неправильное использование данных пациентов.
  • Сторонние системы: используйте такие средства, как Microsoft Sentinel или Splunk, чтобы обеспечить агрегированные обнаружения из внешних систем, обогащение покрытия рисков вашей организации.

Дополнительные сведения о соединителях сторонних данных см. в статье "Сведения о соединителях для сторонних данных"

Для некоторых шаблонов политик также требуются определенные конфигурации:

  • Политики защиты от потери данных (DLP): определение уязвимости конфиденциальных данных для шаблонов, таких как утечки данных, с помощью оповещений защиты от потери данных с высокой степенью серьезности.
  • Microsoft Defender для конечной точки. Предоставляет сигналы о действиях конечной точки для шаблонов, таких как нарушения политики безопасности.
  • Группы приоритетных пользователей: повышение оценки рисков для пользователей в критически важных ролях или с повышенным доступом, что позволяет шаблонам, таким как утечка данных приоритетными пользователями.

Шаг 5. Настройка параметров предварительного риска

Параметры определяют способ обнаружения рисков и управления ими во всех политиках. К ключевым параметрам относятся:

  • Конфиденциальность. Обеспечение соответствия правилам обработки данных.
  • Индикаторы: определение сигналов для обнаружения рискованных действий.
  • Исключения: уменьшение шума путем исключения определенных пользователей или действий.
  • Группы обнаружения: отслеживайте целевые группы для аналитики.
  • Интеллектуальные обнаружения: используйте аналитику для определения рисков более точно.

Чтобы получить доступ к параметрам предварительной оценки риска, перейдите на портал Microsoft Purview и выберите "Параметры управления внутренними>рисками".