在内部风险管理中启用分析

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

启用Microsoft Purview 内部风险管理分析提供了两个重要优势。 启用分析后,可以:

  • 在不配置任何内部风险策略的情况下,对组织中的潜在内部风险进行评估。
  • 接收有关配置指示器阈值设置的实时指导。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

对组织中的内部风险进行评估

Microsoft Purview 内部风险管理分析使你无需配置任何内部风险策略即可对组织中的潜在内部风险进行评估。 此评估可帮助组织识别用户风险较高的潜在区域,并帮助确定想要配置的预览体验成员风险管理策略的类型和范围。 分析扫描为组织提供以下优势:

  • 易于配置:若要开始使用分析扫描,请选择“在分析建议提示时 运行扫描 ”,或转到 “预览体验成员风险设置>分析 ”并启用分析。
  • 隐私设计:扫描的结果和见解作为聚合和匿名的用户活动返回。 审阅者无法识别单个用户名。 由于内部风险管理不会对组织中的任何标识进行分类以便进行分析,因此解决方案会考虑离开组织边界的数据中可能涉及的所有 UPN/标识。 这可能涉及用户帐户、系统帐户、来宾帐户等。
  • 通过整合的见解了解潜在风险:扫描结果可帮助你快速确定用户的潜在风险领域,以及哪些策略最适合帮助缓解这些风险。

查看 内部风险管理分析视频 ,帮助了解分析如何帮助加速识别潜在内部风险。

扫描的区域

分析从多个来源扫描风险管理活动,以帮助识别潜在风险领域的见解。 根据当前配置,分析在以下方面查找符合条件的风险活动:

  • Microsoft 365 个审核日志:包含在所有扫描中,这是识别大多数潜在风险活动的主要源。
  • Exchange Online:包含在所有扫描中,Exchange Online活动可帮助识别附件中的数据通过电子邮件发送给外部联系人或服务的活动。
  • Microsoft Entra ID:包含在所有扫描中,Microsoft Entra历史记录可帮助识别与已删除用户帐户的用户关联的风险活动。
  • Microsoft 365 HR 数据连接器:如果已配置, HR 连接器 事件可帮助识别与已辞职或即将终止日期的用户关联的风险活动。

扫描分析见解基于内部风险管理策略使用的相同风险管理活动信号,并基于单个和顺序用户活动报告结果。 但是,分析的风险评分基于最多 10 天的活动,而内部风险策略使用每日活动获取见解。 首次在组织中启用和运行分析时,你将看到一天的扫描结果。 如果保持启用分析功能,你将看到每日扫描的结果添加到见解报表,其最大范围为前 10 天的活动。

接收有关配置指示器阈值设置的实时指南

手动优化策略以减少“干扰”可能是一种非常耗时的体验,需要执行大量试验和错误来确定策略的所需配置。 如果启用了分析,则可以获取实时见解,以帮助你有效地调整活动发生的指标和阈值的选择,这样就不会收到太少或过多的策略警报。 详细了解如何使用实时分析来帮助管理警报量

启用分析并开始扫描组织中的潜在内部风险

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

若要启用内部风险分析,你必须是 Insider Risk ManagementInsider Risk Management 管理员Microsoft 365 全局管理员 角色组的成员。

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在“概述”选项卡上,向下滚动到“预览体验成员风险分析”卡,然后在“扫描组织中的内部成员风险”下,选择“运行扫描”。 这会为组织启用分析扫描。 分析扫描结果可能需要长达 48 小时才能将见解作为报表提供以供审阅。

提示

还可以通过任何内部风险管理页面顶部的 “设置” 在组织中启用扫描。 选择“ 分析”,然后打开设置。

内部风险管理分析设置

在第一次分析扫描后查看分析见解

若要查看组织中分析扫描的结果,请转到 预览体验成员风险管理>报告>分析。 若要了解有关报表的详细信息,请参阅 在 Insider Risk Management 中使用报表

关闭分析

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

若要关闭内部风险分析,你必须是 Insider Risk ManagementInsider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 选择页面右上角的“设置”。
  3. 选择“ 预览体验成员风险管理 ”,转到内部风险管理设置。
  4. “预览体验成员风险设置”下,选择“ 分析”,然后关闭设置。

禁用分析后: