管理通信合规性警报量的最佳做法

重要

Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规行为,例如敏感或机密信息、骚扰或威胁性语言以及成人内容的共享。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。

配置Microsoft Purview 通信合规性后,一些调整可以帮助你管理收到的警报量。 使用本文中的最佳做法列表来帮助创建涵盖尽可能多的用户的策略,同时减少不可操作警报的数量。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

了解关键字 (keyword) 列表卷

许多客户对合规性方案使用自定义关键字 (keyword) 列表。 了解每个关键字 (keyword) 的策略匹配量有助于优化策略。 使用每个位置的敏感信息类型报表分析关键字 (keyword) 列表,以查看哪些关键字触发了最多的匹配项。 然后,可以进一步调查这些关键字是否具有较高的误报率。 还可以使用消息详细信息报告获取有关特定策略关键字 (keyword) 匹配项的数据。

使用数据分类仪表板

请务必了解可训练的分类器和敏感信息类型分类的项的数量。 可以使用数据分类仪表板中的内容资源管理器来帮助你了解组织预期的数量。

首次开始使用可训练的分类器时,可能无法获得足够的匹配项,或者可能会获得过多的匹配项。 下表显示了不同类型的可训练分类器的音量级别。

可训练分类器
歧视
有针对性的骚扰
威胁
成人图像
客户投诉
脏话
不雅图像
高利图像
礼品 & 娱乐
洗钱
监管串通
股票操作
未经授权的披露

请考虑使用 成人图像 分类器而不是 Racy 图像 分类器,因为 成人图像 分类器检测到更明确的图像。 可以使用 内容资源管理器 来帮助你了解每个可训练分类器的组织预期数量。

筛选电子邮件爆炸

可以 筛选出 通用且用于大规模通信的电子邮件。 例如,筛选掉垃圾邮件、新闻稿等。 有关详细信息,请参阅了解Email爆炸发件人报告

筛选出电子邮件签名/免责声明

敏感信息类型可以从电子邮件中的页脚触发,例如免责声明。 如果许多不可操作的警报来自电子邮件签名或免责声明中的一组特定句子或短语,则可以 筛选出电子邮件签名或免责声明

使用情绪评估

警报中的消息包括 情绪评估 ,可帮助你快速确定要首先解决的潜在风险较高的消息的优先级。 使用情绪评估不会减少检测量,但可以更轻松地确定检测的优先级。 邮件被标记为 正面负面中性 情绪。 对于某些组织,具有 积极 情绪的消息可能被确定为较低的优先级,从而可以花更多时间处理其他消息警报。

将邮件报告为错误分类

将误报报告为错误分类 有助于改进Microsoft的模型并减少将来看到的误报数。

使用条件筛选出特定发件人

如果你有一致触发检测的发送方,则可以使用以下条件设置筛选掉这些特定发送方:

一致触发检测的一些示例可以通过新闻稿、自动邮件等进行。 有关详细信息,请参阅 在通信合规性策略中创建条件的方案。

使用通信方向面向一组特定用户

如果你正在检测业务行为方案的标准,并且只关心来自用户的通信 (而不是来自来宾) ,请考虑使用仅检测 出站通信的策略。 如果将整个组织置于范围内,则可以确保涵盖组织中的所有用户,但从组织外部排除用户。

合并可训练分类器

请考虑将两个或更多 可训练的分类器 组合在一起。 例如,将 威胁亵渎性 分类器或 目标骚扰亵渎性 分类器组合在一起,以提高捕获的消息的阈值。

降低已审查通信的百分比

如果只想对触发警报的所有消息的子集进行采样, 请指定要查看的通信的百分比