了解内部风险管理设置
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
在开始使用内部风险管理策略之前,请务必了解并选择最能满足组织的合规性需求的内部风险管理设置。 无论在创建策略时选择哪种模板,内部风险管理设置都适用于所有内部风险管理策略。
注意
使用任何内部风险管理页面顶部的 “设置” 更改设置。
下表介绍了每个内部风险管理设置,并提供一个链接,用于详细了解此设置。
Setting | 说明 |
---|---|
隐私 | 选择是显示警报和案例的所有当前和过去策略匹配项的用户名还是匿名版本的用户名。 |
策略指标 | 每个内部风险管理策略模板都基于对应于特定触发器和风险活动的特定指标。 默认情况下禁用所有全局指示器; 必须选择一个或多个指标才能配置内部风险管理策略。 指示器级别设置可帮助你控制组织中风险事件的发生次数如何影响风险评分。 |
检测组 | 如果要为不同的用户组定制检测,请使用 “检测组 ”设置创建内置指示器的变体。 创建检测组有助于减少误报。 |
全局排除项 | 使用 全局排除 设置指定不会由内部风险管理策略评分的全局排除项。 |
策略时间范围 | 通过 策略时间范围 设置,可以根据内部风险管理策略模板的事件和活动,定义在策略匹配后触发的过去和将来的评审周期。 |
智能检测 | 使用智能检测设置可提高异常下载活动的分数、控制警报量、导入和筛选Microsoft Defender for Endpoint警报,并指定未设置和第三方域进行风险评分。 |
导出警报 | 使用 Office 365 管理活动 API 架构,内部风险管理警报信息可导出到安全信息和事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 解决方案。 可以使用Office 365管理活动 API 将警报信息导出到组织可能用于管理或聚合内部风险信息的其他应用程序。 |
数据共享 | 使用数据共享设置执行以下操作之一:1) 使用Office 365管理活动 API 架构将内部风险管理警报信息导出到 SIEM 解决方案;2) 使用Microsoft Defender和 DLP 警报共享内部风险管理用户风险级别。 |
优先级用户组 | 组织中的用户可能具有不同的风险级别,具体取决于其位置、对敏感信息的访问级别或风险历史记录。 确定这些用户的活动的检查和评分的优先级有助于提醒你,了解可能对组织产生更大后果的潜在风险。 使用 “优先级用户组 ”设置来定义组织中需要更仔细检查和更敏感风险评分的用户。 |
优先物理资产 (预览) | 确定对优先物理资产的访问并将访问活动关联到用户事件是合规性基础结构的重要组成部分。 这些物理资产表示组织中的优先位置,例如公司大楼、数据中心或服务器机房。 内部风险活动可能与用户在非正常时间工作、尝试访问这些未经授权的敏感区域或安全区域以及请求访问高级区域而没有合法需求相关联。 |
Power Automate 流 (预览) | Microsoft Power Automate 是一种工作流服务,可跨应用程序和服务自动执行操作。 通过使用模板中的流或手动创建,可以自动执行与这些应用程序和服务关联的常见任务。 为内部风险管理启用 Power Automate 流后,可以自动执行案例和用户的重要任务。 可以将 Power Automate 流配置为检索用户、警报和案例信息,并与利益干系人和其他应用程序共享此信息,以及自动执行内部风险管理中的操作,例如发布到案例说明。 Power Automate 流适用于案例和策略范围内的任何用户。 |
Microsoft Teams (预览版) | 可以启用Microsoft Teams 支持,以便合规性分析师和调查人员可以使用 Teams 协作处理内部风险管理案例。 使用 Teams: - 协调和查看专用 Teams 频道中案例的响应活动 - 安全地共享和存储与单个案例相关的文件和证据 - 检测和审查分析师和调查人员的响应活动 |
分析 | 通过预览体验计划风险分析,无需配置任何预览体验计划风险策略,即可对组织中潜在的预览体验成员风险进行评估。 此评估可以帮助组织确定用户风险更高的潜在领域,并可帮助确定可能考虑配置的预览体验计划风险管理策略的类型和范围。 |
管理员通知 | 使用“管理员通知”设置自动向可选择的预览体验成员风险管理角色组发送电子邮件通知。 可以执行下列操作: - 为新策略生成第一个警报时发送通知电子邮件 - 在生成新的高严重性警报时发送每日电子邮件 - 每周发送一封电子邮件,其中汇总了未解决的警告的策略 |
内联警报自定义 | 使用内联警报自定义,可以在查看警报时直接从警报仪表板快速优化内部风险管理策略。 当风险管理活动满足相关策略中配置的阈值时,将生成警报。 若要减少从此类活动获取的警报数,可以更改阈值或从策略中完全删除风险管理活动。 |
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。