了解内部风险管理
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
Microsoft Purview 预览体验成员风险管理是一种合规性解决方案,使你能够检测、调查和处理组织中的恶意和无意活动,从而帮助最大程度地降低内部风险。 预览体验成员风险策略允许定义要在组织中识别和检测的风险类型,包括针对案例采取行动,并根据需要将案例升级到 Microsoft 电子数据展示(高级版)。 组织中的风险分析师可以快速采取适当措施,确保用户符合组织的合规性标准。
有关解决组织中可能导致安全事件的潜在风险活动的规划过程的详细信息和概述,请参阅 启动内部风险管理计划。
观看以下视频,了解内部风险管理如何帮助组织预防、检测和遏制风险,同时优先考虑组织价值观、文化和用户体验:
内部风险管理解决方案 & 开发:
内部风险管理工作流:
查看 Microsoft机制视频 ,了解内部风险管理和通信合规性如何协同工作,以帮助最大程度地降低组织中用户的数据风险。
重要
内部风险管理目前在托管在 Azure 服务依赖项支持的地理区域和国家/地区的租户中可用。 若要验证组织是否支持内部风险管理,请参阅 按国家/地区分类的 Azure 依赖项可用性。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
现代风险痛点
要管理并最大限度地降低组织中的风险,首先要了解现代工作场所中的风险类型。 某些风险由外部事件和不受直接控制的因素驱动。 其他风险由可以最小化和避免的内部事件和用户操作驱动。 一些示例是组织中的用户非法、不适当、未经授权的或不道德行为和操作的风险。 这些行为包括来自用户的各种内部风险:
- 敏感数据的泄露和数据泄漏
- 违反保密规定
- 窃取知识产权 (IP)
- 欺诈
- 内幕交易
- 违反法规遵从性
新式工作区中的用户可以跨各种平台和服务创建、管理和共享数据。 在大多数情况下,组织的资源和工具有限,用于识别和缓解组织范围的风险,同时满足用户隐私标准。
内部风险管理使用全面的服务和第三方指标来帮助你快速识别、会审和处理风险活动。 通过使用 Microsoft 365 和 Microsoft Graph 中的日志,内部风险管理允许你定义特定策略来识别风险指标。 这些策略允许识别风险活动并采取行动来缓解这些风险。
内部风险管理围绕以下原则展开:
- 透明度:通过按设计隐私的体系结构平衡用户隐私与组织风险。
- 可配置:基于行业、地理和业务组的可配置策略。
- 集成:跨 Microsoft Purview 解决方案的集成工作流。
- 可操作:提供用于启用审阅者通知、数据调查和用户调查的见解。
使用分析识别潜在风险
通过预览体验计划风险分析,无需配置任何预览体验计划风险策略,即可对组织中潜在的预览体验成员风险进行评估。 此评估可帮助组织确定用户风险较高的潜在区域,并帮助确定可以考虑配置的预览体验成员风险管理策略的类型和范围。 此评估还有助于确定对现有内部风险策略进行额外许可或未来优化的需求。
若要详细了解内部风险分析,请参阅 内部风险管理设置:分析。
建议的操作入门
无论是首次设置内部风险管理还是开始创建新策略,新的 建议操作 体验都可以帮助你充分利用内部风险管理功能。 建议的操作包括设置权限、选择策略指示器、创建策略等。
工作流
内部风险管理工作流可帮助你识别、调查并采取措施解决组织中的内部风险。 借助重点策略模板、跨 Microsoft 365 服务的综合活动信号,以及警报和案例管理工具,你可以使用可操作的见解快速识别和处理风险行为。
识别和解决内部风险管理的内部风险活动和合规性问题使用以下工作流:
策略
内部风险管理策略 是使用预定义的模板和策略条件创建的,这些模板和策略条件定义在组织中检查哪些触发事件和风险指标。 这些条件包括风险指示器如何用于警报、策略中包含哪些用户、优先处理哪些服务以及检测时间段。
可以从以下策略模板中进行选择,以快速开始使用内部风险管理:
- 离职用户窃取数据
- 数据泄漏
- 优先用户的数据泄露
- 风险用户 (预览) 的数据泄露
- 患者数据滥用 (预览)
- 风险 AI 使用 (预览版)
- 有风险的浏览器使用 (预览版)
- 预览) (安全策略冲突
- 离职用户的安全策略违规活动(预览)
- 风险用户违反安全策略 (预览版)
- 优先用户的安全策略违规活动(预览)
警报
警报由与策略条件匹配的风险指示器自动生成,并显示在警报仪表板中。 此仪表盘可以快速预览需要审查的全部警报、随时间变化的开放警报以及组织的警报统计。 所有策略警报都显示以下信息,以帮助你快速识别需要操作的现有警报和新警报的状态:
- ID
- 用户
- 通知
- 状态
- 警报严重性
- 检测到的时间
- 情况
- 案例状态
- 风险因素
分流
需要调查的新用户活动会自动生成分配有 “需要评审 ”状态的警报。 审阅者可以快速识别和查看、评估和会审这些警报。
可以通过打开一个新的案例、将警报分配到一个现有案例,或关闭警报来解决警报。 使用警报筛选器,可以轻松地根据状态、严重性或检测到的时间快速识别警报。 在会审过程中,审阅者可以查看策略标识的活动的警报详细信息,查看与策略匹配关联的用户活动,查看警报的严重性,以及查看用户配置文件信息。
调查
使用 用户活动报告 (预览) 快速调查所选用户的所有风险活动。 这些报告允许组织中的调查人员在定义的时间段内检查特定用户的活动,而无需暂时或显式地将他们分配给内部风险管理策略。 检查用户的活动后,调查人员可以将单个活动视为良性活动,与其他调查人员共享或通过电子邮件发送报告链接,或者选择暂时或显式地将用户分配到内部风险管理策略。
为需要更深入地查看和调查有关策略匹配的活动详细信息和情况的警报创建案例。 案件仪表盘提供了所有活动案件、随时间变化的未结案件以及组织的案件统计的全面视图。 审阅者可以按状态、案例打开日期和上次更新日期快速筛选案例。
在案件仪表盘选中案件即可打开该案件以进行调查和审查。 此步骤是内部风险管理工作流的核心。 此区域将风险活动、策略条件、警报详细信息和用户详细信息合成为审阅者的集成视图。 此领域的主要调查工具包括:
- 用户活动:用户风险活动自动显示在交互式图表中,该图表按当前或过去的风险活动的风险级别绘制活动随时间推移。 审阅者可以快速筛选和查看用户的整个风险历史记录,并深入了解特定活动以了解更多详细信息。
- 内容资源管理器:与警报活动关联的所有数据文件和电子邮件会自动捕获并显示在内容资源管理器中。 审阅者可以按数据源、文件类型、标记、对话等属性筛选和查看文件和消息。
- 案例说明:审阅者可以在“案例说明”部分中为案例提供备注。 此列表将所有笔记合并在一个中心视图中,并包括审阅者和提交日期的信息。
此外,新的 审核日志 (预览) 使你能够随时了解对内部风险管理功能执行的操作。 此资源允许独立查看分配给一个或多个内部风险管理角色组的用户执行的操作。
操作
调查案例后,审阅者可以快速采取行动解决案例,或与组织中的其他风险利益干系人协作。 如果用户意外或无意违反策略条件,可以从可以为组织自定义的通知模板向用户发送简单的提醒通知。 这些通知可能用作简单的提醒,也可以指导用户进行复习培训或指导,以帮助防止将来出现风险行为。 有关详细信息,请参阅 内部风险管理通知模版。
在更严重的情况下,可能需要与组织中的其他审阅者或服务共享内部风险管理案例信息。 内部风险管理与其他Microsoft Purview 解决方案紧密集成,可帮助你解决端到端风险。
- 电子数据展示 (高级版) :通过升级案例进行调查,可以将案例的数据和管理传输到高级) Microsoft Purview 电子数据展示 (。 电子数据展示(高级版)提供端到端工作流,用于保留、收集、查看、分析和导出响应组织内部和外部调查的内容。 它帮助法律团队管理整个法定保留通知工作流。 若要详细了解电子数据展示 (高级版) 案例,请参阅 Microsoft Purview 电子数据展示 (Premium) 概述。
- Office 365管理 API 集成 (预览版) :预览版风险管理支持通过Office 365管理 API 将警报信息导出到安全信息和事件管理 (SIEM) 服务。 通过访问最适合组织风险流程的平台中的警报信息,可以更灵活地处理风险活动。 若要详细了解如何使用 Office 365 管理 API 导出警报信息,请参阅导出警报。
应用场景
内部风险管理可帮助你检测、调查并采取措施,以在几种常见方案中缓解组织中的内部风险:
离职用户窃取数据
当用户自愿离开组织或因终止而离开组织时,通常存在公司、客户和用户数据面临风险的合理担忧。 用户可能会无辜地认为项目数据不是专有的,或者他们可能为了个人利益而试图获取公司数据,并违反公司政策和法律标准。 通过离开用户策略模板使用数据盗窃的内部风险管理策略会自动检测通常与此类盗窃相关的活动。 使用此策略,你将自动收到与离职用户相关的与数据盗窃相关的可疑活动的警报,以便采取适当的调查措施。 此策略模板需要为组织配置 Microsoft 365 HR 连接器 。
有意或无意泄露敏感信息或机密信息
在大多数情况下,用户会尽力正确处理敏感信息或机密信息。 但有时,用户可能会犯错误,信息被意外地共享到组织外部或违反你的信息保护策略。 在其他情况下,用户可能会故意泄露或共享具有恶意意图和潜在个人利益的敏感和机密信息。 使用以下策略模板创建的预览体验成员风险管理策略会自动检测通常与共享敏感信息或机密信息相关的活动:
有意或无意的安全策略冲突 (预览)
在现代工作场所管理其设备时,用户通常具有很大的控制权。 此控制可能包括安装或卸载履行职责所需的应用程序的权限,或者临时禁用设备安全功能的能力。 无论此风险活动是无意的、意外的还是恶意的,此行为都可能对组织构成风险,并且对于识别和采取行动以尽量减少这一点非常重要。 为了帮助识别这些有风险的安全活动,以下内部风险管理安全策略违规模板对安全风险指标进行评分,并使用Microsoft Defender for Endpoint警报来提供与安全相关的活动的见解:
基于位置、访问级别或风险历史记录的用户策略 (预览)
组织中的用户可能具有不同的风险级别,具体取决于其位置、对敏感信息的访问级别或风险历史记录。 此结构可能包括组织的执行领导团队成员、具有大量数据和网络访问权限的 IT 管理员,或具有过去有风险活动历史的用户。 在这些情况下,更密切的检查和更积极的风险评分对于帮助显示警报以进行调查和快速行动非常重要。 为了帮助识别这些类型用户的风险活动,可以创建优先级用户组,并从以下策略模板创建策略:
医疗保健 (预览版)
对于医疗保健行业的组织,最近的研究发现,与内部人员相关的数据泄露率非常高。 检测滥用患者数据和健康记录信息是保护患者隐私和遵守合规性法规(例如《健康保险可移植性和责任法案》 (HIPAA) )和《经济和临床健康健康信息技术 (HITECH) 法案》的关键组成部分。患者数据滥用的范围从访问特权患者记录到访问具有恶意意图的家人或邻居的患者记录。 为了帮助识别这些类型的风险活动,以下内部风险管理策略模板使用 Microsoft 365 HR 连接器和特定于医疗保健的数据连接器开始对电子健康记录 (EHR) 系统中可能发生的行为相关的风险指标评分:
风险用户的操作和行为 (预览)
就业压力因素事件可以通过多种与内部风险相关的方式影响用户行为。 这些压力因素可能是性能审查不佳、职位降级或被置于绩效评审计划上的用户。 压力因素还可能导致潜在的不当行为,例如用户在电子邮件和其他消息中发送可能的威胁、骚扰或歧视性语言。 尽管大多数用户不会恶意响应这些事件,但这些操作的压力可能会导致某些用户在正常情况下通常不会考虑的行为方式。 为了帮助识别这些类型的潜在风险活动,以下内部风险管理策略模板可以使用 HR 连接器和/或与 专用通信合规性策略 集成,使用户进入内部风险管理策略的范围,并开始对与可能发生的行为相关的风险指标进行评分:
具有取证证据的潜在风险用户活动的视觉上下文
在取证调查期间,拥有视觉上下文对于安全团队来说至关重要,以便更好地了解可能导致安全事件的潜在风险用户活动。 这可能包括对这些活动进行可视化捕获,以帮助评估这些活动是否确实存在风险或脱离上下文,并且没有潜在风险。 对于确定存在风险的活动,使用取证证据捕获可帮助调查人员和组织更好地缓解、了解和响应这些活动。 若要帮助实现此方案,请为组织中的联机和脱机设备 启用取证证据捕获 。
准备好开始了吗?
- 请参阅 计划内部风险管理 ,以准备在组织中启用内部风险管理策略。
- 请参阅 内部风险管理设置入门 ,为内部风险策略配置全局设置。
- 请参阅 内部风险管理入门 ,以配置先决条件、创建策略并开始接收警报。