Microsoft Purview 合规性管理器警报和警报策略
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
概述
合规性管理器可以在发生更改时立即提醒你,以便你可以跟踪合规性目标。 例如,可以设置警报,以便在改进操作的分数值因租户中的配置更改而增加或减少时,或者将改进操作分配给用户以执行实现或测试工作时通知你。 查看可为其创建警报 的事件类型 。
若要创建警报,请首先设置警报策略,以概述触发警报的条件和通知频率。 当我们检测到与你的策略条件匹配项时,你将收到一封电子邮件通知,其中包含详细信息,以便你可以确定是否要调查或采取进一步行动。
所有警报都列在合规性管理器的“警报”页上,所有警报策略都列在“策略”页上, (经典Microsoft Purview 合规门户,此页面称为“警报策略) 。 所有组织都已为其设置了 默认分数更改策略 。
了解“策略和警报”页
重要
用户必须在 Microsoft Entra ID 中拥有安全读取者角色才能访问策略和警报页。 需要其他安全性和合规性管理员角色才能使用警报和警报策略。 在 警报策略权限中获取详细信息。
“策略”页
如果使用合规性管理器中的经典门户) 查看和管理警报策略,请选择“ (策略”或“警报策略”。 “ 策略 ”页包含一个表,其中列出了组织创建的所有策略。 在此页中,可以创建新策略、编辑现有策略、更改激活状态和删除策略。
在 “状态”列中, “活动” 表示策略生效,并在满足条件时触发警报。 非活动 表示策略存在,但未生成警报。 策略表还显示策略的严重性和上次修改策略的日期。
若要查看单个策略的详细信息,请在表中选择其行。 将显示显示所有详细信息的浮出控件窗格。 选择窗格底部的“ 操作 ”按钮,然后从选项中进行选择,以编辑策略、查看其警报或删除策略。 用于添加、编辑、删除、激活和禁用的命令也位于表顶部的筛选器上方。
若要开始创建警报策略,请参阅 创建警报策略。
“警报”页
选择“合规性管理器中的 警报 ”以查看和管理警报。 “ 警报 ”页包含一个表,其中列出了警报策略生成的每个警报,以及警报的严重性和触发事件 (例如,操作的分数更改) 和警报的日期。
若要查看单个警报,请在表中选择其行。 将出现一个浮出控件窗格,该窗格在窗格的“ 概述 ”选项卡上显示所有详细信息。 “ 事件日志 ”选项卡显示触发警报的用户执行的操作。
窗格底部的“ 操作” 按钮提供选项,用于将警报分配给用户进行跟进、向其操作生成警报的用户发送电子邮件,或查看生成警报的策略的详细信息。 还可以采取相同的操作,方法是选择将鼠标悬停在警报名称行上时显示在警报名称左侧的圆形按钮,然后选择表顶部附近筛选器上方的按钮之一。
若要开始使用警报,请参阅 查看和管理警报。
警报策略权限
下表概述了哪些用户可以根据其角色类型创建和编辑警报和警报策略。 除了拥有合规性管理员角色外,用户还需要Microsoft Entra角色,如下所示:
- 若要查看警报和警报策略:Microsoft Entra ID中的安全读取者角色。
- 创建或更新警报策略:Microsoft Entra ID中的合规性管理员、合规性数据管理员、安全管理员或安全操作员角色。
在Microsoft Purview 合规门户中详细了解 Azure 角色。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
Role | 可以创建和编辑策略 | 可以编辑警报 |
---|---|---|
合规性管理器管理 | 是 | 是 |
合规性管理器评估员 | 是 | 是 |
合规性管理器参与者 | 是 | 是 |
合规性管理器读者 | 否 | 否 |
全局管理员 | 是 | 是 |
了解如何 为合规性管理器设置用户权限和分配角色。
创建警报策略
可以创建策略,在发生与改进操作相关的某些更改或事件时发出警报。 下面列出了事件类型。
警报事件类型
- 分数更改:由于组织中的某人进行了配置更改,为改进操作授予的积分增加或减少。 例如,如果你的组织创建了一个内部风险管理策略,这可能会增加特定操作的积分一定数量。
- 分配更改:已将改进操作分配给用户、重新分配给其他用户或取消从用户分配。
- 实现状态更改:用户已更改改进操作的实现状态。
- 测试状态更改:用户已更改改进操作的测试状态。
- 证据更改:用户在改进操作的“ 文档 ”选项卡中上传或删除了证据文档。
默认分数更改策略
合规性管理器设置默认警报策略,以监视改进操作中的评分变化。 当改进操作的分数发生更改时,默认策略会生成警报。 无法编辑默认策略的大多数设置。 但是,你可以将其他用户添加为警报通知的收件人,我们建议。
下面是默认策略的设置:
在 60 分钟内检测到的所有匹配项将分组为一个警报,以减少过多的通知。 例如,如果五项改进操作在一小时内发生分数更改,则会生成一个警报。
这些警报的严重性级别为 中等。
组织的全局管理员是警报通知的默认收件人。
可以按照以下步骤添加更多警报收件人:
- 在 “策略 ”页上,找到 合规性管理器默认警报策略。
- 选中其名称左侧的框,然后选择筛选器上方顶部附近的 “编辑” 按钮。
- 选择“ 下一步 ”按钮,直到到达 “警报收件人 ”页。
- 选择“+选择收件人”,检查浮出控件窗格上要接收电子邮件通知的每个用户名旁边的框。 完成后,依次选择“ 添加收件人”、“ 下一步”。
- 在 “查看并完成 ”页上,选择“ 更新 ”以保存所做的更改。
无法删除默认策略,但可以 按照以下步骤将其禁用。
策略创建步骤
若要创建策略以基于一个或多个事件生成警报,请执行以下步骤:
在 合规性管理器中,转到 “策略 ”页,然后选择“ 添加 ”以启动策略创建向导。
提示
在新的 Microsoft Purview 门户中,此页面称为 “策略” ,位于左侧导航,而不是顶部的选项卡。
在 “名称和说明 ”页上,输入策略的名称和可选说明,然后选择“ 下一步”。
在 “条件 ”页上,选择将触发警报的一个或多个事件。 在“改进”操作活动标头下,选择“添加子条件”,检查将鼠标悬停在每个条件名称左侧时显示的框。 可以为策略选择一个或多个条件:分配更改、证据更改、实现状态更改、分数更改、测试状态更改。 完成后,请选择“下一步”。
在“ 结果 ”页上,选择检测到策略匹配时发生的情况:
- 在检测到匹配项时,选择警报的严重性级别:低、中或高。
- 选择检测到匹配项时希望通过电子邮件通知的频率。 可以选择接收每个匹配项的通知,或选择一个阈值,其匹配次数超过 3。
- 如果选择在三次或更多匹配后收到通知,则将指定必须达到该阈值的分钟数 (例如,) 90 分钟内有 4 个匹配项。
完成时选择“下一步”。
在 “警报收件人 ”页上,选择组织中的其他用户,以在满足策略条件时接收电子邮件。 创建策略的用户是默认收件人。 选择“+选择收件人”,检查浮出控件窗格上要接收电子邮件通知的每个用户名旁边的框。 完成后,选择“ 添加收件人”,然后选择“ 下一步”。
查看所有选择,并通过选择 “编辑”对每个部分进行任何更改。 完成评审后,选择“ 创建策略”。
创建策略后,选择“ 完成”。 到达 “策略 ”页,其中包含刚刚创建的策略的浮出控件窗格,该窗格已打开。
创建策略后即处于活动状态,这意味着它开始检测匹配项并生成警报。 有关如何停用或删除策略,请参阅下面的 管理 策略部分。
创建或更新策略后,最多可能需要 24 小时,该策略才会生成警报。 请参阅下面的 查看警报详细信息 ,了解如何触发事件和警报聚合。
管理策略
“ 策略 ”页包含所有策略的表列表。 若要进一步了解此页面,请参阅 “策略 ”页。 组织中的任何用户都可以查看策略,但某些操作仅限于某些角色;请参阅 警报策略权限。
提示
在新的 Microsoft Purview 门户中,此页面称为 “策略” ,位于左侧导航,而不是顶部的选项卡。
查看策略详细信息
从 策略页面上的 行中选择策略,以显示显示策略详细信息的浮出控件面板,包括其匹配条件、是否以及何时向谁发送警报通知以及严重级别。
面板底部的“ 操作” 按钮提供了编辑策略、删除策略或查看警报的选项。
查看策略的警报
在策略的浮出控件面板中,选择“ 操作” ,然后选择“ 查看警报”。 你将直接转到“警报”页,其中包含该策略生成的所有警报的筛选视图。 了解如何 使用警报。
编辑策略
可以编辑策略名称以外的任何方面。 如果要更改其名称,则需要使用新名称创建新策略。
若要编辑策略,请在将鼠标悬停在 策略页上的 行上时,选择其名称左侧显示的圆形按钮,然后选择筛选器上方顶部附近的 “编辑 ”按钮。
将导航到策略创建向导,可在其中对策略进行更改并保存更改。 还可以选择策略以显示其详细信息面板,然后从 “操作” 按钮中选择“ 编辑策略”。 再次完成向导后,查看所选内容,并在最后一步中选择“ 更新 ”以保存更改。
更新的策略最多可能需要 24 小时才能生成警报。
激活或停用策略
默认情况下,策略在创建后立即激活。 激活后,策略将在满足条件时创建警报 (显示在 “警报 ”页上) ,并将通知电子邮件发送给指定的收件人。
若要将策略更改为 非活动 状态(这意味着它不会生成警报),请选择将鼠标悬停在策略名称行上时显示在策略名称左侧的圆形按钮。 然后选择表上方的 “禁用 ”命令。 策略的状态现在将显示为“非活动”。 若要重新激活策略,请遵循相同的过程,然后选择筛选器上方的“ 激活 ”按钮。
删除策略
若要删除策略,可以在“ 策略 ”页上选择其名称旁边的按钮,然后选择页面顶部附近的“ 删除 ”。 还可以选择策略以显示其详细信息面板,然后从 “操作” 按钮中选择“ 删除策略”。
删除是永久性的。 删除策略后,它将不再生成警报或电子邮件通知。 详细了解 连接到已删除策略的警报。
查看和管理警报
“ 警报 ”页显示一个表,其中包含所有策略生成的所有警报。 与策略条件匹配的事件发生后,几乎立即生成警报。 警报名称与生成警报的策略的名称相同。
只能从活动策略生成警报。 生成警报后,无论策略处于活动状态还是处于非活动状态,警报都会保留在 “警报 ”页上。
筛选警报视图
可以通过选择“警报”页上表上方的 “筛选” 命令来筛选 警报 视图。 从 “筛选器 ”浮出控件窗格中,选择以下筛选器选项:
- 事件类型
- Severity
- 状态
- 用户分配到
- 检测日期
- 策略名称
做出选择后,选择“ 应用”。 浮出控件窗格将关闭,更新后的 “警报 ”页会显示筛选后的视图。 筛选器显示在表的顶部,但并非所有筛选器列都显示在表中。
查看警报详细信息
若要查看有关警报的所有详细信息,包括触发警报的事件,请在表中选择其行。 浮出控件窗格在面板的“ 概述 ”选项卡上显示警报的详细信息。
浮出控件面板的“ 事件日志 ”选项卡列出了生成警报的活动,例如分数更改或分配更改,以及与每个操作关联的用户的名称和检测到的日期。
警报事件
“警报”页上的“事件”列指示检测到的策略的条件;换句话说,生成警报的活动。 警报详细信息面板上的“ 事件日志 ”选项卡列出了事件的每个实例、关联的用户和检测到的日期。 下面列出了事件值:
- 分数更改:显示增加或减少的积分数
- 分配更改:已将改进操作分配给用户、重新分配给其他用户或取消从用户分配
- 实现状态更改:用户已更改改进操作的实现状态
- 测试状态更改:用户已更改改进操作的测试状态。
- 证据更改:用户在改进操作的“文档”选项卡中上传或删除了证据文档
- 多事件:检测到同一类型的事件的多个实例;例如,已多次重新分配的单个改进操作
- 多条件:检测到单个策略中的多个条件
一分钟内多个事件的警报聚合
当一分钟内发生与警报策略条件匹配的多个事件时,这些事件将通过称为警报聚合的进程添加到现有警报中。
例如,当发生与策略匹配的事件时,将生成警报并显示在 “警报 ”页上,并发送通知。 如果与同一策略匹配的另一个事件在第一个事件之后的一分钟内发生,则合规性管理器会在现有警报的“ 事件日志 ”选项卡上添加有关另一个事件的详细信息,而不是触发新警报。 警报聚合的目标是帮助减少警报的“疲劳”,并让你专注于更少的警报并采取操作。
对警报执行操作
当其中一个策略生成警报时,可以查看导致警报的事件,并确定是否需要验证或进一步调查事件。
若要对警报执行操作,请在“ 警报 ”页上选择其行,以显示浮出控件面板及其详细信息,选择“ 操作” 按钮,然后在下面列出的选项中进行选择。 还可以通过选择将鼠标悬停在警报名称行上时显示在警报名称左侧的圆形按钮,并选择页面顶部附近的筛选器上方的其中一个操作按钮来执行操作。
分配警报:你可能希望将警报分配给用户,以调查或验证导致警报的事件。 选择此选项时,将打开一个面板,你可以在其中选择组织中的用户并向其分配警报。 可以通过在“警报”页上选择“筛选器”,并在“分配到”字段中输入用户名来筛选警报视图。
Email警报:你可能希望向用户发送一封与警报活动关联的电子邮件,以确认他们采取了该操作。 选择此选项后,它会打开一个电子邮件模板,其中包含有关警报的基本信息,你可以使用进一步的说明对其进行自定义并发送给用户。
查看策略详细信息:可能需要查看触发警报的策略的设置。 选择此选项后,将直接转到 “策略” 页,其中策略详细信息面板已打开。 关闭策略详细信息面板时,将不再位于 “警报 ”页上。
更改状态:可以根据对警报影响的审查以及是否需要调查来更新警报的状态。 在下一部分中详细了解警报状态。
警报状态
创建警报时,其状态为 “活动”。 查看每个警报的详细信息时,可以将其状态更新为以下任何状态:
- 活动:警报状态更改前的默认状态
- 正在调查:警报正在调查中
- 已解决:警报不需要进一步调查或跟进
- 已消除:警报不相关或不需要调查
若要分配或更改警报的状态,请从表中的行中选择警报,在筛选器上方选择页面顶部附近的 “更改状态 ”。 在“更新警报状态”浮出控件窗格中,从下拉菜单中选择状态,然后选择“ 更新警报”。
生成警报后,其状态与生成警报的策略的状态无关。 例如,可以将 活动 警报关联到 非活动 策略,并且对后来被停用或删除的策略生成的警报具有 调查 状态。
删除策略时
删除策略后,该策略生成的任何警报将保留在 “警报 ”页上,但不会生成新的警报。
Email警报通知
创建策略时,会向创建策略的用户发送电子邮件,提醒他们检测到匹配项。 可以选择将这些电子邮件通知发送给组织中的更多用户。 警报几乎实时发生,电子邮件通知在生成警报后立即发出。 电子邮件包含事件名称、严重性、检测到的时间,以及用于在合规性管理器中查看警报的链接。
删除用户接收警报
如果指定了警报收件人,然后决定将其删除,请按照以下步骤操作。 检测到策略匹配项时,策略创建者仍会收到电子邮件通知。
- 开始 编辑策略的步骤。
- 到达 “提醒收件人” 屏幕时,选择“ +选择收件人”。
- 在 “选择收件人” 浮出控件面板中,找到要从通知中删除的用户,并取消选中其姓名左侧的框,然后选择“ 添加收件人 ”按钮 (这将) 保存所选内容。
- 继续完成向导并确认用户未显示在“审阅和完成”页上 的“收件人 ”下。 选择“ 更新 ”以保存设置并完成。