内部风险管理入门
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
使用内部风险管理策略来识别风险活动和管理工具,以处理组织中的风险警报。 完成以下步骤以设置先决条件并配置内部风险管理策略。
重要
内部风险管理解决方案提供了租户级选项,可帮助客户在用户级别促进内部治理。 租户级别管理员可以设置权限,以便为组织成员提供对此解决方案的访问权限,并在 Microsoft Purview 门户或Microsoft Purview 合规门户中设置数据连接器,以导入相关数据,以支持用户级别识别潜在风险活动。 客户确认与单个用户的行为、性格或与雇佣关系重大相关的绩效见解可由管理员计算,并提供给组织中的其他人。 此外,客户承认,他们必须进行自己与个人用户的行为、性格或绩效相关的全面调查,这与雇佣关系重大,而不仅仅是依赖于内部风险管理服务的见解。 客户独自负责使用内部风险管理服务,以及符合所有适用法律的任何相关功能或服务,包括与个人用户标识和任何修正操作相关的法律。
有关内部风险策略如何帮助你管理组织中的风险的详细信息,请参阅 了解内部风险管理。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
订阅和许可
在开始内部风险管理之前,应确认 Microsoft 365 订阅 和任何加载项。 若要访问和使用内部风险管理,管理员需要验证其组织是否具有受支持的订阅,并向用户分配了相应的许可证。 有关订阅和许可的详细信息,请参阅内部风险管理的 订阅要求 。
重要
内部风险管理目前在托管在 Azure 服务依赖项支持的地理区域和国家/地区的租户中可用。 若要验证组织是否支持内部风险管理,请参阅 按国家/地区分类的 Azure 依赖项可用性。
如果你没有现有的 Microsoft 365 企业版 E5 计划,并且想要尝试内部风险管理,可以将 Microsoft 365 添加到现有订阅或注册 Microsoft 365 企业版 E5 试用版。
即用即付计费
仅当为组织启用 即用即付计费模型 时,内部风险管理中包含的某些指标才可用。 有关详细信息,请参阅 在内部风险管理中配置策略指示器。
建议的操作
建议的操作可帮助组织快速实现内部风险管理。 “ 概述 ”页上包含的建议操作有助于指导你完成配置和部署策略的步骤。
以下建议可帮助你开始使用或最大化内部风险管理配置:
- 启用审核:启用后,组织中的用户和管理员活动将记录到Microsoft 365 审核日志中。 内部风险策略和分析扫描使用此日志来检测风险活动。
- 获取使用内部风险管理的权限:对内部风险管理功能的访问权限级别取决于分配的角色组。 若要访问和配置建议的操作,必须将用户分配到 Insider Risk Management 或 Insider Risk Management 管理员 角色组。
- 选择策略指标:指标实质上是你想要检测和调查的风险管理活动。 可以选择指标来检测多个Microsoft 365 个位置和服务的活动。
- 扫描潜在的内部成员风险:运行分析扫描以发现组织中发生的潜在内部风险。评估结果后,查看要设置的建议策略。
- 向其他人分配权限:如果有其他团队成员负责管理内部风险功能,则需要将他们分配到相应的角色组。
- 创建第一个策略:若要接收有关潜在风险活动的警报,必须基于预定义模板设置策略,这些模板定义要检测和调查的用户活动。
此体验中包含的每个建议操作都有四个属性:
- 操作:建议操作的名称和说明。
- 状态:建议操作的状态。 值为“未启动”、“正在进行”、“保存供以后使用”或“已完成”。
- 必需或可选:对于内部风险管理功能,建议的操作是必需操作还是可选操作才能按预期运行。
- 估计完成时间:完成建议操作的估计时间(以分钟为单位)。
从列表中选择建议,以开始配置内部风险管理。 每个建议的操作都会指导你完成建议所需的操作,包括任何要求、预期内容以及在组织中配置功能的影响。 配置后,每个建议的操作都会自动标记为已完成,或者在配置后需要手动选择该操作作为已完成。
步骤 1 (必需): 为内部风险管理启用权限
重要
配置角色组之后,可能需要长达 30 分钟时间将角色组权限应用到整个组织的已分配用户。
有六个角色组用于配置内部风险管理功能。 若要在 Microsoft Purview 中将 预览体验成员风险管理 作为菜单选项提供,并继续执行这些配置步骤,必须将你分配到以下角色或角色组之一:
- Microsoft Entra ID全局管理员角色
- Microsoft Entra ID合规性管理员角色
- Microsoft Purview 组织管理 角色组
- Microsoft Purview 合规性管理员 角色组
- Insider Risk Management 角色组
- Insider Risk Management 管理员 角色组
根据你希望如何管理内部风险管理策略和警报,需要将用户分配到特定角色组,以管理不同的内部风险管理功能集。 可以将具有不同合规性责任的用户分配到特定角色组,以管理内部风险管理功能的不同领域。 或者,你可以决定将指定管理员、分析师、调查人员和查看者的所有用户帐户分配给 Insider Risk Management 角色组。 使用单个角色组或多个角色组,以充分符合你的合规性管理要求。
使用内部风险管理时,请从以下角色组选项和解决方案操作中进行选择:
操作 | 内部风险管理 | 内部风险管理管理员 | 预览体验计划风险管理分析员 | 预览体验计划风险管理调查员 | 内部风险管理审核员 | 内部风险管理审批者 |
---|---|---|---|---|---|---|
配置策略和设置 | 是 | 是 | 否 | 否 | 否 | 否 |
访问分析见解 | 是 | 是 | 是 | 否 | 否 | 否 |
访问 & 调查警报 | 是 | 否 | 是 | 是 | 否 | 否 |
访问 & 调查案例 | 是 | 否 | 是 | 是 | 否 | 否 |
访问 & 查看内容资源管理器 | 是 | 否 | 否 | 是 | 否 | 否 |
配置通知模板 | 是 | 否 | 是 | 是 | 否 | 否 |
查看 & 导出审核日志 | 是 | 否 | 否 | 否 | 是 | 否 |
访问 & 查看取证证据捕获 | 是 | 否 | 否 | 是 | 否 | 否 |
创建取证证据捕获请求 | 是 | 是 | 否 | 否 | 否 | 否 |
批准取证证据捕获请求 | 是 | 否 | 否 | 否 | 否 | 是 |
配置自适应保护 | 是 | 是 | 否 | 否 | 否 | 否 |
“查看自适应保护用户”选项卡 | 是 | 否 | 是 | 是 | 否 | 否 |
查看警报和案例报告 | 是 | 是 | 是 | 是 | 否 | 否 |
重要
确保内置 预览体验成员风险管理 或 预览体验成员风险管理管理员 角色组中始终至少有一个用户 (,具体取决于你) 选择的选项,以便在特定用户离开组织时,内部风险管理配置不会进入“零管理员”方案。
以下角色的成员可以将用户分配到内部风险管理角色组,并具有 与 Insider Risk Management Admins 角色组相同的解决方案权限:
- Microsoft Entra ID全局管理员
- Microsoft Entra ID合规性管理员
- Microsoft Purview 组织管理
- Microsoft Purview 合规性管理员
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
将用户添加到 Insider Risk Management 角色组
为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。
若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 选择页面右上角的 “设置” ,选择“ 角色和组”,然后在左侧导航窗格中选择“ 角色组 ”。
- 选择“ 预览体验成员风险管理 ”角色组,然后选择“ 编辑”。
- 选择“ 选择用户”,然后选中要添加到角色组的所有用户的复选框。
- 选择 “选择”,然后选择“ 下一步”。
- 选择“ 保存 ”将用户添加到角色组,然后选择“ 完成”。
如果要将用户权限限定为区域或部门,请考虑管理单元
可以在预览版) 中使用内部风险管理 (管理单元,将用户权限限定为特定的地理位置或部门。 例如,一家在全球拥有子公司的全球性公司可能希望创建一个管理单元,为调查人员提供德国范围,以便他们只看到德国用户的用户活动。
若要在内部风险管理中使用管理单元,必须先 创建 (管理单元 (如果尚未) 创建这些管理单元),然后将管理单元分配给角色组的成员。 将管理单元分配给角色组的成员后,这些成员将成为 受限管理员 ,并且对组织中的内部风险管理设置、策略和用户数据的访问权限有限。 未分配管理单元的成员是 不受限制的管理员 ,有权访问所有设置、策略和用户数据。
重要
受限管理员无法访问通过管理单元中添加的安全组或通讯组分配给他们的用户的警报。 此类用户警报仅对不受限制的管理员可见。 Microsoft建议将用户直接添加到管理单元,以确保其警报也对分配了管理单元的受限管理员可见。
管理单元范围对内部风险管理角色的影响
下表显示了管理员单元在强制实施后如何影响内部风险管理任务/角色的每种组合。
注意
下表中的作用域表示该角色的管理员操作受其分配的管理单元的限制。
任务 | 作用域内幕风险管理 | 作用域内幕风险管理管理员 | 作用域内幕风险管理分析师 | 作用域内幕风险管理调查员 | 作用域内幕风险管理审批者 |
---|---|---|---|---|---|
配置全局设置 | 无限制 | 无限制 | 从不允许 | 从不允许 | 从不允许 |
配置策略 | 范围 | 范围 | 从不允许 | 从不允许 | 从不允许 |
为用户启动评分活动 | 范围 | 范围 | 范围 | 范围 | 从不允许 |
访问分析见解 | 不允许,如果作用域为 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 |
访问和调查警报 | 范围 | 从不允许 | 范围 | 范围 | 从不允许 |
调查用户活动 | 范围 | 从不允许 | 从不允许 | 范围 | 从不允许 |
访问和调查案例 | 范围 | 从不允许 | 范围 | 范围 | 从不允许 |
访问和查看内容资源管理器 | 无限制 | 从不允许 | 从不允许 | 无限制 | 从不允许 |
配置通知模板 | 无限制 | 从不允许 | 无限制 | 无限制 | 从不允许 |
访问和查看取证证据捕获 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 不允许,如果作用域为 | 从不允许 |
创建取证证据捕获请求 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
批准取证证据捕获请求 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 | 不允许,如果作用域为 |
配置自适应保护 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
“查看自适应保护用户”选项卡 | 不允许,如果作用域为 | 从不允许 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 |
查看设备运行状况报告 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
创建快速策略 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
配置特定于用户的优先级策略 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
配置优先级用户组 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 | 从不允许 | 从不允许 |
分配或重新分配警报 | 不允许,如果作用域为 | 从不允许 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 |
分配或重新分配事例 | 不允许,如果作用域为 | 从不允许 | 不允许,如果作用域为 | 不允许,如果作用域为 | 从不允许 |
查看警报和案例报告 | 范围 | 范围 | 范围 | 范围 | 范围 |
注意
可以将 自适应范围 (预览版与管理单元一起用于内部风险管理) 。 如果角色组的范围由组织的一个或多个管理单元限定,则创建或编辑策略时可选择的自适应范围将受到管理单元的限制。
步骤 2 (必需) :启用Microsoft 365 审核日志
内部风险管理使用Microsoft 365 个审核日志来获取策略和分析见解中确定的用户见解和风险管理活动。 Microsoft 365 审核日志是组织内所有活动的摘要,内部风险管理策略可能使用这些活动来生成策略见解。
默认情况下,为 Microsoft 365 组织启用审核。 一些组织可能出于特定原因禁用了审核。 如果组织禁用了审核,则可能是因为其他管理员已将其禁用。 我们建议确认在完成此步骤时可以重新启用审核。
有关启用审核的逐步操作说明,请参阅 打开或关闭审核日志搜索。 打开审核之后,将显示一条消息,内容为正在准备审核日志,你可以在准备完成后几个小时内运行搜索。 此操作只需要执行一次。 有关使用 Microsoft 365 审核日志的详细信息,请参阅 搜索审核日志。
步骤 3 (可选) :启用和查看内部风险分析见解
如果启用内部风险管理分析,可以:
- 在创建策略之前,请扫描潜在的内部风险。 无需配置任何内部风险策略,即可对组织中的潜在内部风险进行评估。 此评估可帮助组织识别用户风险较高的潜在区域,并帮助确定想要配置的预览体验成员风险管理策略的类型和范围。 此评估还有助于确定对其他许可的需求或现有策略的未来优化。 分析扫描结果可能最多需要 48 小时,之后见解才可作为报告可用以供评审。 若要了解有关分析见解的详细信息,请参阅内部风险管理设置:分析和检查预览体验成员风险管理分析视频,以帮助了解分析如何帮助加速识别潜在内部风险并帮助你快速采取措施。
- 接收指示器阈值设置的实时建议。 手动优化策略以减少“干扰”可能是一种非常耗时的体验,需要执行大量试验和错误来确定策略的所需配置。 如果启用分析,内部风险管理可以为指标阈值提供实时建议。 还可以手动调整提供的建议,并根据所做的更改实时查看将多少用户引入策略范围。 详细了解实时指示器阈值建议
注意
若要启用内部风险分析,你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
启用内部风险分析
为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。
若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在“概述”选项卡上的“扫描组织中内部风险卡,选择”运行扫描”。 此操作为组织启用分析扫描。 还可以通过转到 预览体验成员风险设置>分析 并启用 扫描租户的用户活动来识别潜在的内部风险来启用扫描。
- 在 “分析详细信息 ”窗格中,选择“ 运行扫描”,开始对组织进行扫描。 分析扫描结果可能最多需要 48 小时,之后见解才可作为报告可用以供评审。
查看分析见解后,选择内部风险策略并配置最符合组织内部风险缓解策略的相关先决条件。
步骤 4 (建议) :配置策略的先决条件
大多数内部风险管理策略都具有必须为策略指示器配置以生成相关活动警报的先决条件。 根据计划为组织配置的策略,配置相应的先决条件。
在 Microsoft Defender 中连接到云应用
内部风险管理包括以下云指标 (预览版) :
- 云存储指示器,包括 Google Drive、Box 和 Dropbox
- 云服务指标,包括 Amazon S3 和 Azure (存储和SQL Server)
云存储指示器
使用云存储指示器检测 Google Drive、Box 和 Dropbox 中的以下活动:
- 发现: 用于了解环境的技术
- 收集: 用于收集相关数据的技术
- 外泄: 用于窃取数据的技术,例如敏感文档
- 删除 (影响) : 用于中断可用性或损害系统完整性的技术
云服务指示器
使用云服务指示器检测 Amazon S3 和 Azure 中的以下活动:
- 防御规避:用于通过禁用跟踪日志或更新或删除防火墙规则来避免检测风险活动的技术SQL Server
- 外泄: 用于窃取数据的技术,例如敏感文档
- 删除 (影响) : 用于中断可用性或损害系统完整性的技术
- 权限提升: 用于获取对系统和数据的更高级别权限的技术
访问云指示器的先决条件
若要从内部风险管理设置和策略中的云指示器中进行选择,必须先连接到Microsoft Defender中的相关云应用 () (如果尚未连接)。
() 连接到应用后,可在 “策略指示器设置 ”页和各个策略中获取指示器。
配置预览版) 连接器 (预览版风险指示器
可以通过导入针对非Microsoft (第三方) 工作负载的检测来扩展内部风险管理。 例如,您可能希望扩展检测以包括 Salesforce 和 Dropbox 活动,并将其与预览体验成员风险管理解决方案提供的内置检测一起使用,该解决方案侧重于 SharePoint Online 和 Exchange Online 等Microsoft服务。
若要将自己的检测引入内部风险管理解决方案,可以从安全信息和事件管理导入预处理的聚合检测, (SIEM) 解决方案(如 Microsoft Sentinel 或 Splunk)。 为此,可将示例文件导入到 Insider Risk Indicators 连接器工作流中。 连接器工作流分析示例文件并配置所需的架构。
注意
目前,无法将“原始”检测信号导入内部风险管理。 只能将预处理的聚合导入为文件。
可以将自定义指示器用作:
- 用于将用户引入策略范围的触发器。
- 用于对用户进行风险评分的策略指示器。
有关为组织配置 Insider Risk Indicators 连接器 的分步指南,请参阅 Insider Risk Indicators 连接器一文。 配置连接器后,返回到这些配置步骤。
配置 Microsoft 365 HR 连接器
内部风险管理支持导入从第三方风险管理和人力资源平台导入的用户和日志数据。 Microsoft 365 人力资源 (HR) 数据连接器允许从 CSV 文件中提取人力资源数据,包括用户终止日期、上次雇佣日期、绩效改进计划通知、绩效评审操作和作业级别更改状态。 此数据可帮助预览体验计划风险管理策略中警报指标,是在你的组织中配置完全风险管理范围的重要组成部分。 如果为组织配置多个 HR 连接器,则内部风险管理会自动从所有 HR 连接器中拉取指标。
使用以下策略模板时,需要Microsoft 365 HR 连接器:
- 风险用户的数据泄漏
- 离开用户数据被盗
- 患者数据滥用
- 离职用户的安全策略违规活动
- 风险用户违反安全策略
有关为组织配置 Microsoft 365 HR 连接器的分步指南,请参阅 设置连接器以导入 HR 数据 一文。 配置 HR 连接器后,返回到这些配置步骤。
配置特定于医疗保健的数据连接器
内部风险管理支持在现有电子医疗记录 (EMR) 系统上导入从第三方导入的用户和日志数据。 Microsoft Healthcare 和 Epic 数据连接器允许使用 CSV 文件从 EMR 系统拉取活动数据,包括不当的患者记录访问、可疑的卷活动以及编辑和导出活动。 此数据可帮助预览体验计划风险管理策略中警报指标,是在你的组织中配置完全风险管理范围的重要组成部分。
如果为组织配置多个 Healthcare 或 Epic 连接器,则内部风险管理会自动支持来自所有 Healthcare 和 Epic 连接器的事件和活动信号。 使用以下策略模板时,需要 Microsoft 365 Healthcare 或 Epic 连接器:
- 患者数据滥用
有关为组织配置特定于 医疗保健的连接器 的分步指南,请参阅设置连接器以导入医疗保健数据一文。 配置连接器后,返回到这些配置步骤。
配置数据丢失防护 (DLP) 策略
内部风险管理支持使用 DLP 策略来帮助识别有意或意外泄露敏感信息给不需要的各方,以获取高严重性级别的 DLP 警报。 使用任何 数据泄露 模板配置内部风险管理策略时,可以为这些类型的警报为策略分配特定的 DLP 策略。
提示
还可以在内部风险管理中使用自适应保护,将 DLP 保护控制动态应用于高风险用户,同时保持低风险用户的工作效率。 详细了解自适应保护
数据丢失策略有助于识别用户,以激活内部风险管理中针对敏感信息的高严重性 DLP 警报的风险评分,并且是配置组织中完全风险管理覆盖范围的重要部分。 有关内部风险管理和 DLP 策略集成和规划注意事项的详细信息,请参阅 内部风险管理策略。
重要
请确保已完成以下操作:
- 你了解并正确配置 DLP 和内部风险管理策略中的范围内用户,以产生预期的策略覆盖范围。
- 针对高严重性级别警报配置了 DLP 策略中用于内部风险管理的这些模板的事件报告设置。 内部风险管理警报不会从 DLP 策略生成,并且 事件报告 字段设置为 “低 ”或“ 中”。
使用以下策略模板时,DLP 策略是可选的:
- 数据泄漏
- 优先用户的数据泄露
有关为组织配置 DLP 策略的分步指南,请参阅 创建和部署数据丢失防护 策略一文。 配置 DLP 策略后,返回到这些配置步骤。
注意
终结点 DLP 现在支持虚拟化环境,这意味着内部风险管理解决方案通过终结点 DLP 支持虚拟化环境。 详细了解对终结点 DLP 中虚拟化环境的支持。
使用Microsoft Defender和 DLP 警报配置内部风险级别的共享
可以从预览版风险管理 (预览版) 共享内部风险级别,为Microsoft Defender和 DLP 警报带来独特的用户上下文。 内部风险管理会分析 90-120 天内的用户活动,并查找该时间段的异常行为。 将此数据添加到Microsoft Defender和 DLP 警报可增强这些解决方案中可用的数据,以帮助分析师确定警报的优先级。 详细了解如何通过Microsoft Defender和 DLP 警报共享用户风险严重性级别。
共享内部风险管理用户风险严重性级别也会增强Microsoft Security Copilot。 例如,在Security Copilot中,你可能希望首先要求 Copilot 汇总 DLP 警报,然后让 Copilot 显示与警报中标记的用户关联的内部风险级别。 或者,你可能想要询问为什么该用户被视为高风险用户。 本例中的用户风险信息来自内部风险管理。 Security Copilot将内部风险管理与 DLP 无缝集成,以协助调查。 详细了解如何使用独立版本的 Copilot 进行 DLP/内部风险管理联合调查。
配置优先级用户组
内部风险管理包括支持将优先用户组分配给策略,以帮助识别具有关键位置的用户的独特风险活动、高级别数据和网络访问或过去的风险行为历史记录。 创建优先级用户组并将用户分配到组有助于将策略范围限定为这些用户提供的独特情况。
可以创建优先级用户组并将用户分配到该组,以帮助确定特定于这些已标识用户提供的独特情况的策略范围。 若要启用 优先级用户组 风险评分提升器,请转到 预览体验成员风险管理设置 页,然后选择 “策略指示器 ”和“ 风险分数提升器”。 这些已识别的用户更有可能收到 警报,因此分析师和调查人员可以查看这些用户的风险严重性并设置其优先级,以帮助根据组织的风险策略和标准对警报进行会审。
使用以下策略模板时,需要优先级用户组:
- 优先用户的安全策略违规
- 优先用户的数据泄露
有关分步配置指南,请参阅 内部风险管理设置入门 一文。
配置物理坏点连接器
内部风险管理支持从物理控制和访问平台导入用户和日志数据。 物理标记连接器允许你从 JSON 文件拉取访问数据,包括用户 ID、访问点 ID、访问时间和日期以及访问状态。 此数据可帮助预览体验计划风险管理策略中警报指标,是在你的组织中配置完全风险管理范围的重要组成部分。 如果为组织配置了多个物理坏点连接器,则内部风险管理会自动从所有物理坏点连接器中拉取指示器。 使用所有内部风险策略模板时,来自物理坏点连接器的信息是对其他内部风险信号的补充。
重要
要使内部风险管理策略使用与离职和终止用户相关的信号数据与物理控制和访问平台的事件数据相关联,还必须配置Microsoft 365 HR 连接器。 如果在未启用 Microsoft 365 HR 连接器的情况下启用物理标记连接器,则内部风险管理策略将仅处理组织中用户未经授权的物理访问事件。
有关为组织配置物理坏点连接器的分步指南,请参阅 设置连接器以导入 物理标记数据一文。 配置连接器后,返回到这些配置步骤。
配置 Microsoft Defender for Endpoint
Microsoft Defender for Endpoint是一个企业终结点安全平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。 若要更好地了解组织中的安全违规情况,可以导入并筛选从内部风险管理安全违规策略模板创建的策略中使用的活动的 Defender for Endpoint 警报。
如果创建安全违规策略,则需要在组织中配置Microsoft Defender for Endpoint,并在 Defender 安全中心启用 Defender for Endpoint 以实现内部风险管理集成,以导入安全违规警报。 有关要求的详细信息,请参阅Microsoft Defender for Endpoint的最低要求一文。
有关 为 Defender for Endpoint 配置 内部风险管理集成的分步指南,请参阅在 Defender for Endpoint 中配置高级功能一文。 配置Microsoft Defender for Endpoint后,返回到这些配置步骤。
配置取证证据
在取证调查期间,拥有视觉上下文对于安全团队来说至关重要,以便更好地了解可能导致安全事件的风险用户活动。 借助可自定义的事件触发器和内置的用户隐私保护控制,取证证据支持跨设备自定义捕获,以帮助组织更好地缓解、理解和应对潜在的数据风险,例如未经授权的数据泄露敏感数据。
有关为组织配置取证证据的分步指南,请参阅 内部风险管理取证证据入门 一文。
配置光学字符识别
Microsoft Purview 可以扫描文档中的敏感内容,以帮助保护这些文档免受不当曝光。 在 Microsoft Purview 中启用光学字符识别 (OCR) 时,数据分类器(如敏感信息类型和可训练分类器)还可以检测独立图像中的字符。 (预览版) 配置 OCR 设置后,现有内部风险策略将应用于图像和文档。
对于 OCR 预览版,内部风险管理支持在以下位置进行扫描:Windows 终结点设备、SharePoint Online 和 Teams。 预览版不支持Exchange Online和 OneDrive。
OCR 设置不适用于内部风险管理中的取证证据剪辑。
步骤 5 (所需的) :配置内部风险设置
无论在创建策略时选择哪种模板,内部风险设置都适用于所有内部风险管理策略。 使用内部风险管理页面顶部的 “设置” 配置设置。 这些设置控制隐私、指示器、全局排除、检测组、智能检测等。 详细了解在创建策略之前要考虑的设置。
步骤 6 (所需的) :创建内部风险管理策略
预览体验计划风险管理策略包括已分配的用户并定义为警报配置哪些类型的风险指示器。 在潜在风险活动触发警报之前,必须配置策略。 使用策略工作流创建新的内部风险管理策略。
注意
若要为非Microsoft工作负荷创建自定义触发器或指示器,请参阅 自定义指示器。
创建策略
为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。
若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
转到 预览体验成员风险管理 解决方案。
在左侧导航栏中选择“ 策略 ”。
选择“ 创建策略 ”以打开策略工作流。
在“策略模板”页面上,选择一个策略类别,然后为新策略选择模板。 这些模板由定义要检测并调查的风险活动的条件和指标。 查看模板先决条件、触发事件和检测到的活动,以确认此策略模板符合你的需要。
重要
某些策略模板包含为策略配置以生成相关警报的先决条件。 如果尚未配置适用的策略先决条件,请参阅 步骤 4。
选择“下一步”以继续。
在名称和说明 页上,完成以下字段:
- 名称(必需):输入策略的友好名称。 创建策略后,无法更改此名称。
- 说明(可选):输入策略的说明。
选择“下一步”以继续。
如果已为租户创建了管理单元,你将看到“管理员单元”页。 否则,你将看到 “用户和组 ”页,可以跳到下一步。
如果要将策略范围限定为一个或多个管理单元,请选择“ 添加管理单元”,然后选择要应用于策略的管理单元 () 。
注意
只能查看作用域为角色的管理单元。 如果你是不受限制的管理员,则可以查看租户的所有管理单元。 若要查看分配到的角色组和管理单元的摘要,请选择“ 查看我的权限”。
选择“下一步”以继续。
在“ 用户和组 ”页上,选择以下选项之一:
包括所有用户和组。 选择此选项会导致内部风险管理查找触发组织中所有用户和组的事件,以开始为策略分配风险分数。
如果策略 的范围是一个或多个管理单元,则此选项选择管理单元 () 中的所有用户和组。
注意
若要利用指示器阈值设置的实时分析 (预览) ,必须将策略范围限定为 “包括所有用户和组”。 实时分析使你能够实时查看可能与一组给定策略条件匹配的用户数的估计值。 这有助于有效地调整活动发生的指示器和阈值的选择,以免策略警报太少或太多。 将策略范围限定为 “包括所有用户和组 ”还可以在整个租户中提供更好的整体保护。 有关指示器阈值设置的实时分析 的详细信息,请参阅指示器级别设置。
包括特定用户和组。 选择此选项可定义策略中包含哪些用户或组。
如果策略 的范围是一个或多个管理单元,则只能选择管理单元范围内的用户。
注意
不支持来宾帐户。
自适应范围。 如果选择“ 包括特定用户和组 ”选项,则会出现此选项 (预览体验成员风险管理) 。 选择 “添加或编辑自适应范围 ”,将 自适应范围应用于策略。 在创建或编辑策略之前,必须创建自适应范围。 如果策略 也由一个或多个管理单元限定,则可用的自适应范围受管理单元 () 的限制。 了解自适应范围如何与管理单元协同工作。
添加或编辑优先级用户组。 仅当选择了 “按优先级用户的数据泄漏 ”模板时,才会显示此选项。 选择此选项,然后添加或编辑优先级用户组。
注意
如果策略模板基于优先用户组,则无法选择 管理单元 来限定策略的范围。 当前不支持将优先级用户组用于管理单元。
选择“下一步”以继续。
如果在上一步中选择了“ 包括所有用户和组 ”,则会显示“ 排除用户和组 (可选) (预览) 页。
注意
此时,必须选择“ 包括所有用户和组 ”以排除用户和组。
如果要从策略范围中排除某些用户或组,请使用此页面。 例如,你可能想要创建一个策略,用于检测整个组织中人员的潜在风险操作,但不包括执行级别的销售经理。 选择 “添加或编辑用户 ” 或“添加或编辑组 ”以选择要排除的用户或组。 如果策略 由一个或多个管理单元限定,则只能排除管理单元范围内的用户或组。
在“要优先排序的内容”页面上,可以分配(如果需要)要优先排序的源,这增加了为这些源生成高严重性警报的机会。 选择下列选项之一:
我想确定内容的优先级。 选择此选项可让你确定 SharePoint 网站、敏感度标签、敏感信息类型和文件扩展名内容类型的优先级。 如果选择此选项,则必须至少选择一种优先级内容类型。
我现在不想指定优先级内容。 如果选择此选项,则会跳过工作流中的优先级内容详细信息页。
选择“下一步”以继续。
如果在上一步中选择了 “我想确定内容的优先级 ”,你将看到 SharePoint 网站的详细信息页面、 敏感度标签、 敏感信息类型、 文件扩展名和 评分。 使用这些详细信息页可定义 SharePoint、敏感信息类型、敏感度标签、可训练分类器和文件扩展名,以在策略中设置优先级。 “ 评分 详细信息”页允许将策略范围限定为仅分配风险评分,并为包含优先级内容的指定活动生成警报。
SharePoint选项: 添加 SharePoint ,然后选择你有权访问和要设置优先顺序的 SharePoint 网站。 例如,“group1@contoso.sharepoint.com/sites/group1”。
注意
如果您的策略 由一个或多个管理单元限定,则仍会看到所有 SharePoint 网站,而不仅仅是限定为管理单元的 SharePoint 网站, () 因为管理单元不支持 SharePoint 网站。
敏感信息类型:选择 添加敏感信息类型 并选择要确定优先顺序的敏感度类型。 例如, "美国银行帐户帐号" , "信用卡号"。
敏感度标签: 选择添加敏感度标签,然后选择要设置优先级的标签。 例如, 机密 , "机密。
可训练分类器:选择 “添加可训练分类器 ”,然后选择要确定优先级的可训练分类器。 例如 ,源代码。
文件扩展名:最多添加 50 个文件扩展名。 可以包含或省略文件扩展名为“.”。 例如, .py 或 py 会优先考虑 Python 文件。
评分:决定是将此策略检测到的所有风险管理活动分配风险分数,还是仅针对包含优先内容的活动分配风险分数。 选择 “获取所有活动的警报” 或 “仅获取包含优先级内容的活动的警报”。
选择“下一步”以继续。
如果已按优先级用户选择 “数据泄漏 ”或 “数据泄漏 ”模板,则 此策略的“触发器 ”页上会显示自定义触发事件和策略指示器的选项。 可以选择一个或多个 DLP 策略或指示器来触发事件,这些事件会将分配到策略范围内的用户进行活动评分。 如果选择“ 用户匹配数据丢失防护 (DLP) 策略触发事件 ”选项,则必须从 DLP 策略下拉列表中选择 DLP 策略,以便为此内部风险管理策略启用 DLP 策略的触发指示器。 如果选择“ 用户执行外泄活动触发事件 ”选项,则必须为策略触发事件选择一个或多个列出的指示器。
注意
管理单元当前不支持优先级用户组。 如果要基于 “按优先级用户的数据泄漏 ”模板或优先级用户 违反安全策略 模板创建策略,则无法选择管理单元来界定策略的范围。 不受限制的管理员可以在不选择管理单元的情况下选择优先级用户组,但受限或限定范围的管理员根本无法创建这些策略。
重要
如果无法选择列出的指示器或序列,这是因为当前未为组织启用它们。 若要使它们可用于选择并分配给策略,请选择“ 打开指示器 ”提示。
如果选择了其他策略模板,则不支持自定义触发事件。 触发事件的内置策略适用。 跳到步骤 15,而不定义策略属性。
如果选择了 风险用户的数据泄露 或 风险用户违反安全策略 模板,则会 在此策略的“触发器” 页上看到用于与通信合规性和 HR 数据连接器事件的集成的选项。 当用户发送包含潜在威胁性、骚扰性或歧视性语言的消息时,或者在 HR 系统中报告有风险的用户事件后将用户引入策略范围时,可以选择分配风险分数。 如果 从通信合规性 (预览) 选项中选择“风险触发器 ”,则可以接受默认通信合规性策略 (自动创建) ,为此触发器选择以前创建的策略范围,或创建另一个作用域内策略。 如果选择 HR 数据连接器事件,则必须为组织配置 HR 数据连接器。
选择“下一步”以继续。
如果已按优先级用户选择了 “数据泄漏 ”或“ 数据泄漏 ”模板,并选择了 “用户执行外泄活动”和“关联指示器”,则可以为所选的指示器触发事件选择自定义或默认阈值。 选择“ 使用默认阈值 (建议) ”或 “对触发事件使用自定义阈值”。
选择“下一步”以继续。
如果选择了 为触发事件使用自定义阈值,则对于在步骤 10 中选择的每个触发事件指示器,请选择适当的级别以生成所需的活动警报级别。 可以使用基于异常活动的建议阈值、自定义阈值或阈值, (某些指标) 用户的日常标准。
选择“下一步”以继续。
在“策略指示器”页上,你将在“预览体验成员风险设置>指标”页上看到已定义为可用的指标,其中将包含指标变体(如果定义了任何指标)。 选择要应用于策略的指标。
重要
如果无法选中此页上的指标,需要选择要为所有策略启用的指标。 可以使用工作流中的 “启用指示器” ,或在 “预览体验计划风险管理>设置>策略指示器 ”页上选择指示器。
如果已选择至少一 Office 或 Device 指示器,请根据情况选择 风险评分 分数。 风险分数仅应用于所选指示器。 如果选择了 数据盗窃 或 数据泄露 策略模板,请选择一个或多个 序列检测 方法以及一种 累积泄露检测 方法,以应用到该策略。 如果选择了 风险浏览器使用 策略模板,请选择一个或多个 浏览指示器。
选择“下一步”以继续。
在 “决定使用默认还是自定义指示器阈值 ”页上,为所选的策略指示器选择自定义或默认阈值。 选择“ 为所有指示器使用默认阈值 ”或“指定所选策略指示器的 自定义阈值 ”。 如果选择了“ 指定自定义阈值”,请选择适当的级别,为每个策略指示器生成所需的活动警报级别。
提示
选择每组阈值设置下方见解中的 “查看影响” 链接,查看有助于确定适当阈值设置的图形。 详细了解如何手动自定义阈值。
选择“下一步”以继续。
在 审阅 页面上,查看为策略选择的设置以及针对你的选择选择的任何建议或警告。 选择“编辑”以更改任何策略值,或选择“提交”以创建并激活该策略。
后续步骤
完成这些步骤以创建第一个内部风险管理策略后,大约 24 小时后,你将开始接收来自活动指示器的警报。 根据需要使用本文步骤 4 中的指南或 创建新的内部风险策略中的步骤配置其他策略。
若要详细了解如何调查内部风险警报和警报仪表板,请参阅内部风险管理活动。