了解内部风险管理取证证据
重要
取证证据是预览体验成员风险管理中的一项选择加入加载项功能,可让安全团队直观地洞察潜在的内部数据安全事件,并内置了用户隐私。 取证证据包括可自定义的事件触发器和内置的用户隐私保护控件,使安全团队能够更好地调查、了解和响应潜在的内部数据风险,例如未经授权的敏感数据外泄。
组织为自己设置正确的策略,包括哪些风险事件是捕获取证证据的最高优先级,以及哪些数据最敏感。 默认情况下,取证证据处于关闭状态,策略创建需要双重授权,并且可以使用假名 (屏蔽用户名,这是内部风险管理) 默认启用的。 在预览体验成员风险管理中设置策略和查看安全警报利用强大的基于角色的访问控制 (RBAC) ,确保组织中的指定人员采取正确的操作以及附加的审核功能。
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
在取证调查期间,拥有视觉上下文对于安全团队来说至关重要,以便更好地了解潜在的风险安全相关用户活动。 借助可自定义的事件触发器和内置的用户隐私保护控件,取证证据支持跨设备捕获可自定义的视觉活动,以帮助组织更好地缓解、理解和应对潜在的数据风险,例如未经授权的数据泄露敏感数据。 为组织设置正确的策略,包括哪些风险事件是捕获取证证据的最高优先级、哪些数据最敏感,以及激活取证捕获时是否通知用户。 默认情况下,取证证据捕获处于关闭状态,策略创建需要双重授权。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
功能
- 可视化捕获 使组织能够捕获关键安全相关用户活动的剪辑,从而实现更安全或更合规的可见性,并满足组织需求。
- 包括或排除桌面应用程序和/或网站 ,以配置专注于风险最大的应用程序和网站的录制策略。 这会保留存储空间和用户隐私。 例如,排除个人电子邮件和社交媒体帐户。
- 增强的钓鱼防护 (预览版) 允许组织在 Microsoft Defender SmartScreen 中捕获与增强型钓鱼防护相关的剪辑。 例如,可以捕获用户何时输入用于在钓鱼网站或连接到钓鱼站点的应用程序上登录其Windows 11设备的Microsoft密码。 详细了解 Microsoft Defender SmartScreen 中的增强型钓鱼防护
- 通过多个级别的捕获功能激活审批来保护用户隐私。
- 可自定义的触发器和捕获选项 意味着安全团队可以设置取证证据来满足其需求,无论是基于事件 (例如, 用户下载“SecretResearchPlans.docx”) 前 5 分钟和 10 分钟捕获 ,还是基于持续捕获需求。
- 以用户为中心的策略目标 意味着安全和合规性团队可以专注于用户(而不是设备)的活动,从而获得更好的上下文见解。
- 强大的基于角色的访问控制 (RBAC) 意味着设置和查看取证剪辑的能力受到严格控制,并且仅适用于组织中具有适当权限的个人。
- 与当前内部风险管理功能深度集成,使内部风险管理管理员更容易加入和更熟悉的工作流,并采用受信任的单平台方法。
- 对于捕获的剪辑,试用容量 (高达 20 GB) ,可以快速访问容量利用率,并能够购买额外的容量。
设备和配置要求
下表包含支持使用内部风险管理取证证据的最低要求。
支持的平台
操作系统 | SKU | 处理器 |
---|---|---|
Windows 10 (包括Windows 365) | 企业版 | 64 位 (Intel 或 AMD) |
包括Windows 365) 在内的Windows 11 ( | 企业版 | 64 位 (Intel 或 AMD) |
物理设备
硬件 | 最低要求 |
---|---|
RAM | 至少 8 GB (至少 2 GB 可供客户端使用 |
CPU 处理器 | Intel i5 或更高版本和 AMD Ryzen 5 或更高版本 |
图形卡 | 与 DirectX 11 或更高版本兼容,具有 WDDM 1.0 驱动程序或更高版本 (目前仅支持集成显卡) |
磁盘空间 | 至少 10 GB 的磁盘存储 |
显示 | 最小屏幕分辨率为 1920 x 1080 |
Hyper-V 和虚拟机
硬件 | 最低要求 |
---|---|
RAM | 至少 16 GB (至少 2 GB 可用于客户端使用) |
CPU 处理器 | 至少 8 个 vCPU 处理器或等效处理器 |
磁盘空间 | 至少 10 GB 的磁盘存储 |
显示 | 最小屏幕分辨率为 1920 x 1080 |
重要
如果不满足最低要求,用户可能会遇到Microsoft Purview 客户端问题,并且取证捕获的质量可能不可靠。
捕获选项
触发事件、全局指标和策略指标 在所有内部风险管理策略(包括取证证据策略)中起着重要作用。 触发事件是确定用户是否进入内部风险管理策略评估范围的用户操作。 全局设置指示器用于确定内部风险管理收集哪些活动。 策略指示器用于确定范围内用户的风险评分。
根据组织决定如何配置取证证据,有两个捕获选项:
- 特定活动:仅当触发事件已将已批准的用户纳入取证证据策略的范围,并且检测到用户的策略指示器的条件时,此策略选项才会捕获活动。 例如,已批准进行取证证据捕获的用户将纳入取证证据策略的范围,并且用户将数据复制到个人云存储服务或便携式存储设备。 捕获的范围仅限于用户将数据复制到个人云存储服务或便携式存储设备时所配置的时间范围。 此选项的捕获可在“警报”仪表板的“取证证据”选项卡上查看。
- 所有活动:此策略选项捕获用户执行的任何活动。 例如,你的组织对捕获已批准用户的活动具有时间敏感度的需求,该用户积极参与可能导致安全事件的潜在风险活动。 策略指示器可能尚未达到策略生成的警报的阈值,并且可能未记录潜在风险活动。 持续捕获有助于防止潜在风险活动被错过或无法检测到。 此选项的捕获可在用户活动报告 (预览) 仪表板的“取证证据”选项卡上查看。
重要
取证证据剪辑在捕获后 120 天或预览期结束时(以较早者为准)删除。 可以在删除取证证据剪辑之前下载或传输这些剪辑。
工作流
检测、调查和修正包含剪辑捕获的警报的总体工作流遵循与其他内部风险管理策略 相同的基本步骤 。 但是,在组织中配置取证证据时,存在一些明显的差异:
- 需要捕获的用户必须具有显式捕获请求和批准:这是配置其他内部风险管理策略时未包括的额外过程。 分配给 Insider Risk Management 或 Insider Risk Management 管理员 角色组的用户必须先向分配给 Insider Risk Management 审批者 角色组的用户提交请求,然后组织中的任何用户才有资格使用任何剪辑捕获选项。 例如,此要求有助于支持组织方案,在这些方案中,内部风险管理管理员必须先获得指定的法律或人力资源人员的明确批准,然后才能为任何用户启用捕获。
- 必须载入设备并安装 Microsoft Purview 客户端:在取证证据收集和存储为符合条件的用户捕获的剪辑之前,其设备必须载入Microsoft Purview 合规门户。 此外,每个设备都必须安装 Microsoft Purview 客户端。 这些先决条件支持联机和脱机设备捕获。
准备好开始了吗?
- 有关在组织中配置取证证据捕获的分步指南,请参阅 内部风险管理取证证据入门 。
- 请参阅 内部风险管理入门 ,以配置先决条件、创建策略并开始接收警报。