在内部风险管理中配置智能检测
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
注意
以前包含在 智能检测 设置中的全局排除设置现在包含在 全局排除 (预览) 设置中。
使用 可以使用 Microsoft Purview 内部风险管理 中的智能检测设置来:
- 通过输入每日事件的最低数量,提高异常文件下载活动的分数。
- 增加或减少高、中和低警报的数量和分布。
- 导入并筛选从内部风险管理模板创建的策略中使用的活动的 Defender for Endpoint 警报。
- 指定未实现的域以提高潜在风险活动的风险分数。
- 指定第三方域以针对潜在风险下载活动生成警报。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
文件活动检测
可以使用此部分来指定提高用户认为异常的下载活动的风险评分所需的每日事件数。 例如,如果输入“25”,如果用户在过去 30 天内平均下载了 10 个文件,但策略检测到他们在一天下载了 20 个文件,则即使该用户不寻常,该用户的分数也不会提升,因为该用户当天下载的文件数小于 25。
警报量
内部风险策略检测到的潜在风险活动将分配一个特定的风险评分,从而确定警报严重性 (低、中、高) 。 默认情况下,内部风险管理会生成一定数量的低、中和高严重性警报,但你可以根据需求增加或减少特定级别的警报量。
若要调整所有内部风险管理策略的警报量,请选择以下设置之一:
- 更少的警报:你将看到所有高严重性警报、更少的中等严重性警报,并且没有低严重性警报。 如果选择此设置级别,可能会错过一些真正值。
- 默认卷:你将看到所有高严重性警报以及均衡的中等严重性和低严重性警报。
- 更多警报:你将看到所有中等严重性、高严重性警报以及大多数低严重性警报。 此设置级别可能会导致更多的误报。
Microsoft Defender for Endpoint警报状态
重要
若要导入安全违规警报,必须在组织中配置Microsoft Defender for Endpoint,并在 Defender 安全中心为内部风险管理启用 Defender for Endpoint。 若要详细了解如何配置 Defender for Endpoint,实现预览体验计划风险管理集成,请参阅 在Defender for Endpoint中配置高级功能。
Microsoft Defender for Endpoint是一个企业终结点安全平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。 若要更好地了解组织中的安全违规情况,可以导入并筛选从内部风险管理安全违规策略模板创建的策略中使用的活动的 Defender for Endpoint 警报。
根据你感兴趣的信号类型,可以选择根据 Defender for Endpoint 警报会审状态将警报导入到内部风险管理。 可以在要导入的全局设置中定义以下一个或多个警报会审状态:
- 未知
- 新增
- 正在进行
- 已解决
来自 Defender for Endpoint 的警报每天导入。 根据所选的会审状态,你可能会看到与 Defender for Endpoint 中的会审状态更改相同的警报的多个用户活动。
例如,如果为此设置选择“新建”、“正在进行”和“已解决”,则生成Microsoft Defender for Endpoint警报且状态为“新建”时,会在内部风险管理中为用户导入初始警报活动。 当 Defender for Endpoint 会审状态更改为 “正在进行”时,将导入此警报的第二个活动。 设置“ 已解决 ”的最终 Defender for Endpoint 会审状态时,将导入此警报的第三个活动。 此功能允许调查人员跟踪 Defender for Endpoint 警报的进度,并选择其调查所需的可见性级别。
域
可以指定未访问域和第三方域以提升检测:
- 未注册的域: 指定未启用的域时,使用该域发生的风险管理活动将具有更高的风险分数。 例如,你可能想要指定涉及与某人共享内容 (的活动,例如向具有 gmail.com 地址的人发送电子邮件) 或涉及用户从未启用的域将内容下载到设备的活动。 最多可以添加 500 个未加入的域。
- 第三方域: 如果组织将第三方域用于商业目的 (例如云存储) ,请将其包含在 “第三方域 ”部分中,以接收与设备指示器相关的潜在风险活动的警报 。使用浏览器从第三方站点下载内容。 最多可以添加 500 个第三方域。
提示
还可以指定要 被内部风险管理策略从评分中排除的域。
添加未加入的域
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
选择页面右上角的 “设置” ,然后选择“ 预览体验成员风险管理 ”转到内部风险管理设置。
在 “预览体验成员风险设置”下,选择“ 智能检测”。
向下滚动到“ 未指定的域 ”部分,然后选择“ 添加域”。
输入域。
提示
如果不想一次输入一个域,可以通过在上一页上选择“从 CSV 文件导入域”,将其导入为 CSV 文件 。
如果要在输入的域中包含所有子域,请选中“ 包括多级子域 ”复选框。
[!注意 可以使用通配符来帮助匹配根域或子域的变体。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,请使用通配符条目“*.wingtiptoys.com”来匹配这些子域 (和同一级别) 的任何其他子域。 若要为根域指定多级子域,必须选中“ 包括多级子域 ”复选框。
按 Enter。 对要添加的每个域重复此过程。
选择添加域。
添加第三方域
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
选择页面右上角的 “设置” ,然后选择“ 预览体验成员风险管理 ”转到内部风险管理设置。
在 “预览体验成员风险设置”下,选择“ 智能检测”。
向下滚动到 “第三方域 ”部分,然后选择“ 添加域”。
输入域。
提示
如果不想一次输入一个域,可以通过在上一页上选择“从 CSV 文件导入域”,将其导入为 CSV 文件 。
如果要在输入的域中包含所有子域,请选中“ 包括多级子域 ”复选框。
[!注意 可以使用通配符来帮助匹配根域或子域的变体。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,请使用通配符条目“*.wingtiptoys.com”来匹配这些子域 (和同一级别) 的任何其他子域。 若要为根域指定多级子域,必须选中“ 包括多级子域 ”复选框。
按 Enter。 对要添加的每个域重复此过程。
选择添加域。