在内部风险管理中使用报表
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
使用 Microsoft Purview 内部风险管理 中的报表来了解内部风险计划的环境。 报表提供与内部风险相关的所有领域的更深入见解和摘要信息,包括警报、案例、用户活动以及跨Microsoft服务中限定风险活动生成的分析,以帮助识别潜在风险领域的见解。
可通过导航到 Microsoft Purview 门户中的预览体验成员风险管理>报告来获取以下报告:
- 警报 (预览) :查看生成警报 的趋势 、对一段时间内警报执行的操作以及按策略发出的警报。
- 分析:查看组织中检测到的匿名用户活动的 摘要 。
- 案例 (预览) :按策略和区域查看已创建案例 的趋势 、对案例随时间推移执行的操作以及案例状态。
- 用户活动:查看最近的 用户活动,无论该用户是否包含在策略或警报中。
处理报告
若要开始并查看预览体验成员风险管理报告,你必须是适用角色或角色组的成员。 查看警报和案例的报表的权限要求以及查看分析报表所需的权限要求不同。 如果组织使用管理单元,则这些报表的访问权限可能会有所不同。 有关更多信息,请参阅:
自定义图表
对于每个报表区域,预定义的报表筛选器控件和日期选择器都可用于帮助你快速将见解范围限定为特定条件或日期范围。 为每个区域选择页面顶部的筛选器,以快速将区域中的所有报表范围限定为筛选器设置。 对于报告日期,请选择特定月份或选择“ 过去 3 个月 ”以查看报表区域的所有数据。
你可能还希望选取并选择要在每个报表区域中默认显示哪些报表。 若要自定义每个区域中显示的报表,请选择“ 自定义视图”。 在 “自定义视图 ”浮出控件窗格中,你可以选择要在每个区域中显示哪些报表和隐藏哪些报表。
图表详细信息
若要深入了解报表中包含的结果,请选择“ 查看报表详细信息 ”。 在详细信息视图中,可以使用筛选器限定信息的范围,并按日期或策略更改视图。 若要导出报表中包含的数据,请选择“ 导出 ”以下载报表图表的图像或包含报表值的 .csv 文件。
警报报告 (预览)
调查潜在风险的用户活动是最大程度地减少组织内部风险的重要第一步。 这些风险可能是从内部风险管理策略生成警报的活动。 警报报告提供有关警报量、警报管理进度、常见警报源和会审所花费时间的见解。 可以按“所有警报”、“已确认的警报”和“已消除的警报”快速筛选所有警报报告。
| 报告类型 | 报告 | 说明 |
|---|---|---|
| 摘要 | 生成的警报 | 显示指定日期范围内生成的低、中和高严重性警报数。 |
| 针对的警报 | 显示在指定日期范围内确认到事例或消除的警报数。 | |
| 解雇原因 | 显示。。。 | |
| 人口 | 警报排名靠前的国家/地区 | 根据用户所在的国家或地区显示为用户生成的警报数。 未指定表示其国家或地区未在Microsoft Entra ID中指定。 |
| 部门生成的警报 | 根据用户所属的部门显示为用户生成的警报数。 未指定表示Microsoft Entra ID中未指定其部门。 | |
| 见解 | 按触发事件排名靠前的警报 | 显示基于在指定日期范围内检测到的触发事件最多的警报数。 |
| 按生成警报的排名靠前的活动发出的警报 | 显示基于在指定日期范围内检测到的主要活动的警报数。 | |
| 工作效率 | 按分配的警报状态 | 显示分配给特定管理员的警报数,按警报状态细分。 |
| 警报在需求审查中的平均天数 | 显示警报在指定日期范围内保持 “需要评审 ”状态的平均天数。 | |
分析报告
为组织完成第一次分析扫描后, 预览体验成员风险管理管理员 角色组的成员将自动收到电子邮件通知,并可以查看用户的潜在风险活动的初始见解和建议。 除非关闭组织的分析,否则每日扫描会继续。 在组织中第一次发生潜在风险活动后,Email针对分析 (数据泄露、盗窃和外泄) 的三个范围内类别,向管理员提供通知。 Email不会向管理员发送通知,以检测每日扫描导致的后续风险管理活动。
注意
如果 Analytics 设置已禁用,然后重新启用,则会重置自动电子邮件通知,并将电子邮件通知发送给预览体验成员风险管理管理员角色组的成员以获取新的扫描见解。
若要查看组织的潜在风险,请转到 预览体验成员风险管理>报告>分析。
注意
如果组织的扫描未完成,则会看到一条消息,指出扫描仍处于活动状态。
对于已完成的分析,你将看到组织中发现的潜在风险,以及解决这些风险的见解和建议。 已识别的风险和特定见解包含在按区域分组的报告中、 (所有类型的Microsoft Entra帐户的用户总数(包括用户、来宾、系统等)) 、具有潜在风险活动的这些用户的百分比,以及帮助缓解这些风险的建议内部风险策略。 报告包括:
- 数据泄露见解:适用于所有用户,这些用户可能包括意外过度共享组织外部的信息或恶意用户的数据泄露。
- 数据盗窃见解:对于离职用户或已删除Microsoft Entra帐户的用户,这些帐户可能包括有风险地共享组织外部的信息或恶意用户的数据盗窃。
- 顶级外泄见解:适用于可能包括在组织外部共享数据的所有用户。
若要显示见解的详细信息,请选择“ 查看详细信息 ”以显示见解的详细信息窗格。 详细信息窗格包括完整的见解结果、内部风险策略建议和 创建策略 ,以帮助你快速创建建议的策略。 选择 “创建策略 ”可转到策略工作流,并自动选择与见解相关的建议策略模板。 例如,如果分析见解适用于 数据盗窃 活动,则会在策略工作流中预先选择 数据盗窃 策略模板。
预览) (案例报告
借助案例 ,可以深入调查并处理策略中定义的风险指标生成的问题。 在需要采取进一步措施解决用户合规性相关问题的情况下,从警报手动创建案例。 案例报告提供案例的趋势信息,帮助你跟踪案例的类型、案例的当前状态、按区域或分配的案例等。 可以按“所有案例”、“已确认病例”和“良性病例”快速筛选所有案例报告。
| 报告类型 | 报告 | 说明 |
|---|---|---|
| 摘要 | 已创建的事例 | 显示指定日期范围内生成的事例数。 |
| 已操作案例 | 显示指定日期范围内具有活动的事例数。 | |
| 人口 | 案例排名靠前的国家/地区 | 根据用户所在的国家或地区显示为用户生成的事例数。 未指定表示其国家或地区未在Microsoft Entra ID中指定。 |
| 具有案例的顶级部门 | 根据用户所属的部门显示为用户生成的事例数。 未指定表示其国家或地区未在Microsoft Entra ID中指定。 | |
| 工作效率 | 按分配的事例状态 | 显示分配给特定管理员的案例数,按警报状态细分。 |
| 具有活动状态的平均天数 | 显示事例在指定日期范围内保持 活动 状态的平均天数。 | |
用户活动报告
用户活动报告允许你检查特定用户的潜在风险活动 (,并在定义的时间段内) ,而无需暂时或显式地将这些活动分配给内部风险管理策略。 在大多数内部风险管理方案中,用户是在策略中显式定义的,他们可能有策略警报 (,具体取决于触发事件) 以及与活动关联的风险分数。 但在某些情况下,你可能希望检查策略中未显式定义的用户的活动。 这些活动可能针对已收到有关用户和潜在风险活动的提示的用户,或者通常不需要分配到内部风险管理策略的用户。
在“内部风险管理 设置” 页上配置指标后,将检测到与所选指标关联的潜在风险活动的用户活动。 此配置意味着,无论用户是否具有触发事件或是否创建警报,所有检测到的用户活动都可供查看。 报表是按用户创建的,可以包括自定义 90 天期间的所有活动。 不支持同一用户的多个报表。
在检查潜在风险活动后,调查人员可以将单个用户的活动视为良性活动。 他们还可以与其他调查人员共享或通过电子邮件发送报表的链接,或选择将用户 (暂时或显式) 分配给内部风险管理策略。 必须将用户分配到 Insider Risk Management 调查员 角色组才能查看 “用户活动报告 ”页。
创建用户活动报表
若要创建用户活动报告,请完成以下步骤:
- 导航到 “内部风险管理>报告>”“用户活动”。
- 选择“ 创建用户活动报告”。
- 选择 开始日期的日期。
- 选择 结束日期的日期。
- 在 “用户” 字段中,按名称或用户主体名称搜索一个或多个用户。
- 选择“ 创建报表”。
用户活动数据可在活动发生后大约 48 小时报告。 例如,若要查看 12 月 1 日的用户活动数据,需要确保在创建报表之前至少经过 48 小时, (最早) 12 月 3 日创建报表。
新报表通常需要长达 10 小时才能准备好审阅。 报表准备就绪后, “报告就绪” 将显示在“用户活动报告”页上的 “状态 ”列中
查看用户活动报告
选择用户以查看详细报告:
所选 用户的“用户活动”报表 包含“ 用户活动”、“ 活动资源管理器”和“ 取证证据 ”选项卡: