使用数据安全状况管理 (预览版) 建议采取措施
数据安全状况管理 (DSPM) (预览版) 中的建议是直接从已处理的数据、组织中未受保护的敏感资产的当前状态以及使未受保护的敏感资产面临风险的用户活动生成的。 特定建议允许你采取行动,并快速创建数据丢失防护 (DLP) 和内部风险管理策略,以帮助缓解数据安全风险。 DSPM (预览版) 建议还可以帮助你确定现有内部风险管理和 DLP 策略中的覆盖差距。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
使用建议
若要显示和查看建议,请导航到数据安全状况管理 >概述或数据安全状况管理 >建议。
- 在 “概述 ”页中,可以查看前两个数据安全建议,或选择“ 查看所有建议 ”以获取所有建议的完整列表。
- 在 “建议 ”页中,可以直接查看所有建议的完整列表。
建议是从过去 30 天的用户活动和未受保护的敏感资产的状态生成的。 处理继续时,将自动更新建议列表,并删除超过 30 天的建议。
每个建议都简要描述了未受保护的敏感资产的风险活动或状态,并包括一个建议的策略进行配置,以帮助缓解持续和未来的数据安全风险。 为建议显示活动数、关联的保护类型和所涉及的用户数的指标。
选择“ 查看建议 ”以采取措施并创建新策略,以帮助缓解与建议关联的数据安全风险。
根据建议创建策略
选择特定 建议的“查看建议 ”后,可以在数据丢失防护 (DLP) 和/或内部风险管理中创建一个或多个策略,以帮助缓解与建议相关的数据安全风险。
例如,如果建议防止用户将敏感文件复制到网络共享,建议创建内部风险管理策略,以检测某些用户何时执行包含敏感数据的风险活动,以及 DLP 策略,以防止这些用户与他人共享数据。
若要根据建议创建策略,请完成以下步骤:
- 转到 Microsoft Purview 门户,并使用DSPM (预览版) 权限分配的用户帐户的凭据登录。
- 选择数据安全状况管理 解决方案卡然后选择左侧导航栏中的“建议”。
- 选择建议,然后选择 “查看建议”。
- 在“建议”浮出控件窗格中,选择用于创建一种类型的策略或多个策略的选项。 默认情况下,如果多个策略应用于建议,则默认选择用于创建多个策略的选项。
- 每个策略类型都有一个用于配置策略选项的专用部分:
- 对于 “预览体验计划风险管理策略 ”部分选项,请配置以下策略选项:
- 策略名称:输入唯一的策略名称或接受建议的策略名称。
- 用户范围:选择“ 包括所有用户和组”, (建议以获得最佳覆盖) ,或者 选择“我想要选择特定用户和组”。 如果选择包含特定用户或组,请在选取器字段中输入用户和组名称。
- 我们为你填写的设置:策略的设置会自动限定为与建议关联的活动类型和未受保护的数据资产见解。 其中包括使用特定策略模板、触发事件和指示器。 如果建议的设置需要更改,请选择“ 自定义>预览体验成员风险策略 ”,在内部风险管理策略向导中创建策略。
- 对于 “数据丢失防护策略 ”部分选项,请配置以下策略选项:
- 策略名称:输入唯一的策略名称。
- 模式:选择 “模拟 ”或“ 打开”。
- 我们为你填写的设置:策略的设置会自动限定为与建议关联的活动类型和未受保护的数据资产见解。 其中包括使用特定的敏感信息类型、强制操作、触发事件和数据位置。 如果需要更改建议的设置,请选择“ 自定义>DLP 策略 ”,在 DLP 策略向导中创建策略。
- 如果建议的策略选项满足你的需求,请选择“ 创建策略”。 这会在适用的解决方案中创建一个或多个策略。
创建每个策略需要几分钟时间。 新策略在适用解决方案的“ 策略 ”选项卡上列出。 策略处于活动状态后,可能需要至少 24 小时才能发生触发事件并对用户活动进行评分,然后生成第一个警报。 如果启用管理员通知,则发生此警报时,你会收到一封电子邮件。
可以对警报进行会审,并将其确认为案例以供进一步调查,或将其视为正常行为。 查看一些警报后,微调策略以控制生成的警报数、检测到的活动等。 可能会针对此类活动生成其他建议,以帮助你进行策略更新。
更新其他解决方案中的策略
若要更新根据建议创建的策略,请使用每个解决方案中的策略管理工具。 借助解决方案中的工具,可以完全自定义建议附带的快速策略设置以外的策略。
验证现有策略的配置
如果你的组织已经配置了内部风险管理或 DLP 策略,DSPM (预览版) 中的建议是帮助你识别和更正当前策略配置中的任何差距的好方法。 可以选择使用与建议关联的见解来更新或优化现有的内部风险管理或 DLP 策略,而不是直接在建议中使用策略创建选项。