通过创建检测组 (预览版) 微调内部风险管理中的排除项

重要

Microsoft Purview 预览体验成员风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

可以使用 “全局排除项”设置，从内部风险管理策略中排除项的评分。 这些类型的排除项适用于你在租户中创建的所有策略的每个触发器和指示器。 通过使用检测组，可以修改内置的全局排除，使其特定于组织的需求。

还可以使用检测组来修改内置内部风险指标，以便在策略级别为不同的用户组定制检测。 例如，为了减少电子邮件活动的误报数，你可能希望创建一个变体，即向 组织外部的收件人发送带有附件的电子邮件 内置指示器，以仅检测发送到个人域的电子邮件。

创建和使用检测组的过程

若要将检测组用作全局排除的一部分，请创建本文中所述的检测组，然后将其选择为 全局排除的一部分。

使用检测组修改内置指示器包括以下步骤：

1. 按照本文所述创建检测组。 创建变体时，将选择此检测组。
2. 创建变体。
3. 在新策略或现有策略中使用变体。
4. 查看与变体中指定的活动相关的警报。

创建检测组

检测组可帮助你将内置指示器或全局排除范围缩小，以专注于对组织重要的高价值活动。

策略指示器的检测类型

每个策略指示器都包含适用于该指标的某些检测类型。 例如，对于 与组织外部人员共享 SharePoint 文件 指示器，检测类型之一是 域。 共享 SharePoint 文件时，选择要与之共享文件的域。 并非所有指标都具有相同的检测类型。 例如， 域 是 与组织外部人员共享 SharePoint 文件的 检测类型指示器，但它不是 “创建文件或将文件复制到 USB” 指示器的检测类型，因为它在这种情况下不适用。

内部风险管理目前支持七种检测类型：

• 域
• 文件路径
• 文件类型
• 关键字
• 敏感信息类型
• SharePoint 网站
• 可训练的分类器

提示

创建检测组时，可以通过选择组类型的介绍文本中的“ 查看适用指示器 ”链接来查看特定检测的所有适用指示器。

以下过程演示如何为每个组类型创建检测组。

创建域检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。

2. 在右侧面板中的 “类型”下，选择“ 域”。

3. 在右侧面板中，选择“ 新建域组”。

4. 在“ 新建域组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。

5. 在 “添加域” 字段中，输入域，然后按 Enter。 继续以相同的方式添加更多域，或者，如果有一长串要添加的域，可以通过选择“从 CSV 文件导入域”将它们导入为 CSV 文件。 添加的域列在窗格底部。 最多可以创建 10 个域检测组，每个组最多可以有 200 个项目。

   注意

   若要为根域指定多级子域，请选中“ 包括多级子域 ”复选框，添加域，然后按 Enter 将域添加到列表中。 将包含该域中包含的任何子域。 重复相同的过程以添加更多域，然后在完成后选择 “添加域 ”。

   提示

   可以使用通配符来帮助匹配根域或子域的变体。 例如，若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com，请使用通配符条目“*.wingtiptoys.com”来匹配这些子域 (以及同一级别) 的任何其他子域。

6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

免费公共域域组如何检测业务数据外泄到个人电子邮件域

域检测组包括一个名为 “免费公共域 ”的特殊域组，该组包含 (gmail.com 或 yahoo.com 的免费电子邮件提供商列表，例如可用于创建个人电子邮件 ID 的) 。 此列表用于自动突出显示业务数据外泄到个人电子邮件域，以获取 “用户活动 ”和“ 活动资源管理器 ”选项卡上的电子邮件见解。 见解列出了范围内用户发送到免费公共域的电子邮件数。 该列表还用于标识发送到自我的电子邮件 (发送到范围内用户的个人电子邮件帐户) 的算法。 电子邮件见解列出了发送给自己的电子邮件数。

可以像使用任何其他域组一样使用此内置域组，为策略创建内置指示器的变体。 此域组仅适用于向 组织外部的收件人发送带有附件的电子邮件 指示器。 目前，无法编辑或删除 免费公共域 域组。 详细了解如何创建内置指示器的变体

创建文件路径检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 文件路径”。
3. 在右侧面板中，选择“ 新建文件路径组”。
4. 在 “新建文件路径组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。
5. 选择“ 添加文件路径”，选择要从评分中排除的文件路径，然后选择“ 添加”。 最多可以创建 10 个文件路径检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建文件类型检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ 文件类型”。
3. 在右侧面板中，选择“ 新建文件类型组”。
4. 在 “新建文件类型组 ”窗格中，添加组名称 (或接受建议的名称) 和说明 (可选) 。
5. 在 “添加文件类型” 字段中，输入文件扩展名，然后按 Enter。 继续以相同方式添加更多文件扩展名。 添加的扩展列在窗格底部。 最多可以创建 10 个文件类型检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建关键字检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ 关键字”。
3. 在右侧面板中，选择“ 新建关键字组”。
4. 在“ 新建关键字组 ”窗格中，添加组名称 (或接受建议的名称) 和描述 (可选) 。
5. 在 “添加关键字 ”字段中，输入关键字，然后按 Enter。 对要添加的每个关键字重复此过程。 添加的关键字列在窗格底部。 最多可以创建 10 个关键字检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建敏感信息类型检测组

注意

敏感信息类型的排除列表优先于 优先级内容 列表。

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 敏感信息类型”。
3. 在右侧面板中，选择“ 新建敏感信息类型组”。
4. 在 “新建敏感信息类型组 ”窗格中，为 (组添加名称，或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加敏感信息类型”，选择要从评分中排除的敏感信息类型，然后选择“ 添加”。 最多可以创建 10 个敏感信息类型组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建 SharePoint 网站检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板中的 “类型”下，选择“ SharePoint 网站”。
3. 在右侧面板中，选择“ 新建 SharePoint 网站组”。
4. 在 “新建 SharePoint 网站组 ”窗格中，添加组名称 (或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加网站”，选择要从评分中排除的 SharePoint 网站，然后选择“ 添加”。 最多可以创建 10 个 SharePoint 网站检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

创建可训练的分类器检测组

1. 在内部风险管理设置中，选择“ 检测组” (预览) 。
2. 在右侧面板的 “类型”下，选择“ 可训练的分类器”。
3. 在右侧面板中，选择“ 新建可训练的分类器组”。
4. 在 “新建可训练的分类器组 ”窗格中，为 (组添加名称，或接受建议的名称) 和描述 (可选) 。
5. 选择“ 添加可训练分类器”，选择要从评分中排除的可训练分类器，然后选择“ 添加”。 最多可以创建 10 个可训练的分类器检测组，每个组最多可以有 200 个项目。
6. 选择“保存”。 你将看到一个“ 后续步骤 ”对话框，其中建议你执行该过程的下一步，其中包括在变体中使用此检测组。

另请参阅

• 创建内置指示器的变体。
• 在新策略或现有策略中使用变体。
• 调查与变体中指定的活动相关的警报。