了解和配置内部风险管理浏览器信号检测

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

在Microsoft Purview 内部风险管理中,浏览器信号检测用于:

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

浏览器和模板

用户通常使用 Web 浏览器访问组织中的敏感和非敏感文件。 预览体验成员风险管理允许组织检测浏览器外泄信号,并处理 在 Microsoft EdgeGoogle Chrome 浏览器中查看的所有非可执行文件。 使用这些信号,当以下任何风险活动由范围内策略用户在使用这些浏览器时执行时,分析师和调查人员可以快速采取行动:

  • 复制到个人云存储的文件
  • 打印到本地或网络设备的文件
  • 传输或复制到网络共享的文件
  • 复制到 USB 设备的文件
  • 浏览潜在风险网站

使用内置浏览器功能和 Microsoft 合规性扩展 加载项在 Microsoft Edge 中检测到这些事件的信号。 在 Google Chrome 中,客户使用 Microsoft 合规性扩展进行 信号检测。

下表汇总了已识别的风险活动和每个浏览器的扩展支持:

检测到的活动 Microsoft Edge Google Chrome
复制到个人云存储的文件 本机 扩展名
打印到本地或网络设备的文件 本机 扩展名
传输或复制到网络共享的文件 扩展名 扩展名
复制到 USB 设备的文件 扩展名 扩展名
浏览潜在风险网站 扩展名 扩展名

下表按模板汇总了活动:

检测到的活动 离职用户窃取数据 数据泄漏 有风险的浏览器使用
复制到个人云存储的文件
打印到本地或网络设备的文件
传输或复制到网络共享的文件
复制到 USB 设备的文件
浏览潜在风险网站

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

法医证据

对于取证证据,可以捕获所有类型的浏览活动:你不限于 风险浏览器使用模板的浏览指示器。 可以指定要包含或排除的桌面应用和网站。 若要捕获浏览活动以获取取证证据,必须按照本主题中所述安装扩展,并且还必须在预览体验成员风险设置中打开至少一个有风险的浏览指示器。

常见要求

在安装 Microsoft Edge 加载项或 Google Chrome 扩展之前,请确保范围内策略用户的设备满足以下要求:

  • 建议使用最新的Windows 10 x64 内部版本,最低Windows 10 x64 内部版本 1809,以支持信号检测。 非 Windows 设备上当前不支持浏览器信号检测。
  • 具有内部风险管理支持的当前 Microsoft 365 订阅
  • 设备必须载入到Microsoft Purview 合规门户。

有关特定的浏览器配置要求,请参阅本文后面的 Microsoft Edge 和 Google Chrome 部分。

其他要求

如果使用基于风险浏览器使用情况模板的策略,则必须在预览体验成员风险管理>设置>策略指示器中选择至少一个浏览指示器

为 Microsoft Edge 配置浏览器信号检测

Microsoft Edge 浏览器要求

  • 满足常见要求
  • 最新Microsoft Edge x64 版本 (91.0.864.41 或更高版本)
  • 最新的 Microsoft 合规性扩展 加载项 (1.0.0.44 或更高版本)
  • Edge.exe 未配置为未启用的浏览器

在测试浏览器信号检测时,使用此选项为组织中的每台设备配置单台计算机自主机。

  1. 转到 “Microsoft符合性扩展”。
  2. 安装扩展。

选项 2:Intune Edge 设置

使用此选项可以使用 Intune 为组织配置扩展和要求。

  1. 登录到Microsoft Intune管理中心
  2. 转到 “设备>配置文件”。
  3. 选择“ 创建配置文件”。
  4. 选择“Windows 10及更高版本”作为平台。
  5. 选择 “设置目录” 作为配置文件类型。
  6. 选择“ 自定义 ”作为模板名称。
  7. 选择“创建”。
  8. 在“ 基本信息 ”选项卡上输入名称和可选说明,然后选择“ 下一步”。
  9. “配置设置 ”选项卡上选择“添加 设置 ”。
  10. 选择“ 管理模板>Microsoft Edge>扩展”。
  11. 选择 “控制以无提示方式安装的扩展”。
  12. 将切换开关更改为 “已启用”。
  13. 为扩展和应用 ID 输入以下值并更新 URL:lcmcgbabdcbngcbcfabdncmoppkajglo**.**
  14. 选择 下一步
  15. 根据需要在“作用域标记”选项卡上添加或编辑 范围标记 ,然后选择“ 下一步”。
  16. 在“ 分配 ”选项卡上添加所需的部署用户、设备和组,然后选择“ 下一步”。
  17. 选择“创建”。

选项 3:组策略 Edge 的设置

使用此选项可以使用 组策略 在组织范围内配置扩展和要求。

步骤 1:导入最新的 Microsoft Edge 管理模板 (.admx) 文件。

设备必须使用组策略进行管理,并且所有Microsoft Edge 管理模板都需要导入组策略中央存储。 有关详细信息,请参阅 如何在 Windows 中创建和管理组策略管理模板的中央存储

步骤 2:将 Microsoft 合规性扩展 加载项添加到 “强制安装” 列表。

  1. 组策略管理编辑器,转到组织单位 (OU) 。
  2. 展开以下路径 计算机/用户配置>策略>管理模板>经典管理模板>Microsoft Edge>扩展。 此路径可能因组织的配置而异。
  3. 选择 “配置以无提示方式安装的扩展”。
  4. 右键单击并选择“ 编辑”。
  5. 选中 “已启用”。
  6. 选择“显示”。
  7. 对于 “值”,请添加以下条目: lcmcgbabdcbngcbcfabdncmoppkajglo;https://edge.microsoft.com/extensionwebstorebase/v1/crx
  8. 选择 “确定”,然后选择“ 应用”。

为 Google Chrome 配置浏览器信号检测

通过 Microsoft 合规性扩展启用了 Google Chrome 的内部风险管理浏览器信号检测支持。 此扩展还支持 Chrome 上的终结点 DLP。 有关终结点 DLP 支持的详细信息,请参阅 Microsoft 合规性扩展入门 (预览版)

Google Chrome 浏览器要求

  • 满足常见要求
  • 最新版本的 Google Chrome x64
  • 最新 Microsoft合规性扩展 版本 (2.0.0.183 或更高版本)
  • Chrome.exe 未配置为未启用的浏览器

在测试浏览器信号检测时,使用此选项为组织中的每台设备配置单台计算机自主机。

  1. 转到 “Microsoft符合性扩展”。
  2. 安装扩展。

选项 2:Intune Chrome 的设置

使用此选项可以使用 Intune 为组织配置扩展和要求。

  1. 登录到 Microsoft Intune 管理中心
  2. 转到 “设备>配置文件”。
  3. 选择“创建配置文件”。
  4. 选择“Windows 10及更高版本”作为平台。
  5. 选择 “设置目录” 作为配置文件类型。
  6. 选择“ 自定义 ”作为模板名称。
  7. 选择“创建”。
  8. 在“ 基本信息 ”选项卡上输入名称和可选说明,然后选择“ 下一步”。
  9. “配置设置 ”选项卡上选择“添加 设置 ”。
  10. 选择 “管理模板>”“Google>Chrome>扩展”。
  11. 选择 “配置强制安装的应用和扩展”列表
  12. 将切换开关更改为 “已启用”。
  13. 为扩展和应用 ID 输入以下值并更新 URL: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
  14. 选择 下一步
  15. 根据需要在“作用域标记”选项卡上添加或编辑 范围标记 ,然后选择“ 下一步”。
  16. 在“ 分配 ”选项卡上添加所需的部署用户、设备和组,然后选择“ 下一步”。
  17. 选择“创建”。

选项 3:组策略 Chrome 设置

使用此选项可以使用 组策略 在组织范围内配置扩展和要求。

步骤 1:导入 Chrome 管理模板文件

设备必须使用 组策略 并且所有 Chrome 管理模板都需要导入到 组策略 Central Store 中。 有关详细信息,请参阅 如何在 Windows 中创建和管理组策略管理模板的中央存储

步骤 2:将 Chrome 扩展添加到“强制安装”列表

  1. 组策略管理编辑器,转到组织单位 (OU) 。
  2. 展开以下路径“计算机/用户配置”>“策略”>“管理模板”>“经典管理模板”>“Google”>“Google Chrome”>“扩展”。 此路径可能因组织的配置而异。
  3. 选择 “配置强制安装的扩展”列表
  4. 右键单击并选择“ 编辑”。
  5. 选择“b已启用”。
  6. 选择“显示”。
  7. 对于 “值”,添加以下条目: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
  8. 选择 “确定”,然后选择“ 应用”。

测试和验证内部风险管理浏览器信号检测

  1. 创建启用了设备指示器的内部风险管理策略。

  2. 若要测试复制到个人云存储的文件的信号检测,请从受支持的 Windows 设备完成以下步骤:

    • 使用为信号检测配置的浏览器类型打开文件共享网站 (Microsoft OneDrive、Google Drive 等 ) 。
    • 使用浏览器,将非可执行文件上传到网站。
  3. 若要测试打印到本地或网络设备的文件、传输到网络共享或复制到网络共享的文件以及复制到 USB 设备的文件的信号检测,请从受支持的 Windows 设备完成以下步骤:

    • 直接在浏览器中打开非可执行文件。 该文件必须直接通过文件资源管理器打开,或在新的浏览器选项卡中打开,以便查看,而不是网页。
    • 打印文件。
    • 将文件保存到 USB 设备。
    • 将文件保存到网络驱动器。
  4. 创建第一个内部风险管理策略后,大约 24 小时后,你将开始接收来自活动指示器的警报。 查看警报仪表板,了解测试活动的内部风险管理警报。