在内部风险管理中配置策略指示器

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

Microsoft Purview 内部风险管理中的预览体验成员风险策略模板定义要检测和调查的风险活动类型。 每个策略模板都基于与特定触发器和风险活动对应的特定指标。 默认情况下禁用所有全局指示器; 必须选择一个或多个指标才能配置内部风险管理策略

当用户执行与指示器相关的活动时,会收集信号,并由策略触发警报。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

事件和指示器的类型

内部风险管理使用不同类型的事件和指示器来收集信号并创建警报:

  • 触发事件:确定用户在内部风险管理策略中是否处于活动状态的事件。 如果将用户添加到没有触发事件的预览体验成员风险管理策略,则策略不会将该用户评估为潜在风险。 例如,通过离开用户策略模板,将用户 A 添加到从 数据盗窃 创建的策略中,并正确配置了策略和Microsoft 365 HR 连接器。 在 HR 连接器报告用户 A 的终止日期之前,此内部风险管理策略不会评估用户 A 的潜在风险。 触发事件的另一个示例是,如果用户在使用数据泄露策略时具有严重性数据丢失防护 (DLP) 策略警报。

  • 全局设置指示器:在内部风险管理的全局设置中启用的指示器定义了可用于在策略中配置的指标,以及内部风险管理收集的事件信号类型。 例如,如果用户将数据复制到个人云存储服务或便携式存储设备,并且这些指示器仅在全局设置中选择,则用户的潜在风险活动可在活动资源管理器中查看。 如果未在内部风险管理策略中定义此用户,则策略不会将该用户评估为潜在风险,因此不会为该用户分配风险评分或生成警报。

  • 策略指标:内部风险管理策略中包含的指标用于确定范围内用户的风险分数。 策略指示器是从全局设置中定义的指示器启用的,并且仅在用户发生触发事件后激活。 策略指标的示例包括:

    • 用户将数据复制到个人云存储服务或便携式存储设备。
    • 将从 Microsoft Entra ID 中删除用户帐户。
    • 用户与未经授权的外部方共享内部文件和文件夹。

某些策略指示器和序列还可用于自定义特定策略模板的触发事件。 在策略工作流中按优先级用户模板为 “常规数据泄漏 ”或 “数据泄漏 ”配置时,这些指示器或序列可提高策略的灵活性和自定义性,以及当用户在策略范围内时。 此外,还可以为这些触发指标定义风险管理活动阈值,以便在策略中实现更精细的控制。

定义在所有内部风险策略中启用的预览体验成员风险策略指标

  1. 选择 “设置”,然后选择“ 策略指示器”。

  2. 选择一个或多个策略指示器。 在策略工作流中创建或编辑内部风险策略时,无法单独配置“策略 指示器 设置”页上选择的指示器。

    注意

    手动添加的新用户可能需要几个小时才能显示在“用户”仪表板中。 过去 90 天内这些用户的活动可能需要多达 24 小时才能显示。 若要查看手动添加的用户的活动,请在“用户仪表板”中选择该用户,然后在详细信息窗格中打开“用户活动”选项卡。## 两种类型的策略指示器:内置指示器和自定义指示器

指示器和即用即付计费

内部风险管理中包含的某些指标要求你为组织启用 即用即付计费模型 。 根据配置的计费模型,可能会显示一条通知,提示你配置即用即付计费以使用这些指标。

内置指示器与自定义指示器

策略指示器分为两个选项卡:

  • 内置指标:内部风险管理包括许多适用于各种方案的内置指示器,可立即在策略中使用。 选择要激活的指示器,然后在创建内部风险策略时自定义每个指示器级别的指示器阈值。 本文更详细地介绍了内置指示器。
  • 自定义指标:将自定义指标与 预览版 (预览版) 连接器 结合使用,将非Microsoft检测引入内部风险管理。 例如,您可能希望将检测扩展到包括 Salesforce 和 Dropbox,并将其与内部风险管理解决方案提供的内置检测结合使用,该解决方案侧重于 SharePoint Online 和 Exchange Online (Microsoft工作负载,例如) 。 详细了解如何创建自定义指示器

内置指示器

内部风险管理包括以下内置指标。

Office 指示器

其中包括 SharePoint 网站、Microsoft Teams 和电子邮件的策略指示器。

云存储指示器 (预览)

重要

此指标要求你在组织中为此功能启用 即用即付计费模型

其中包括 Google Drive、Box 和 Dropbox 的策略指示器,可用于检测用于确定环境、收集和窃取数据以及中断可用性或损害系统完整性的技术。 若要从云存储指示器中进行选择,必须先连接到Microsoft Defender中 () 的相关云存储应用

配置后,可以关闭不想在设置中使用的应用的指示器。 例如,可以为 Box 和 Google Drive 选择内容下载指示器,但不能为 Dropbox 选择内容下载指示器。

云服务指示器 (预览)

重要

此指标要求你在组织中为此功能启用 即用即付计费模型

其中包括 Amazon S3 和 Azure (SQL Server 的策略指标和存储) ,可用于检测用于避免检测或风险活动的技术。 这些可能包括:

  • 禁用跟踪日志
  • 更新或删除SQL Server防火墙规则
  • 用于窃取数据的技术,例如敏感文档
  • 用于中断可用性或损害系统完整性的技术
  • 用于获取对系统和数据的更高级别权限的技术。

若要从云服务指示器中进行选择,必须先连接到Microsoft Defender中 () 相关的源服务应用

Microsoft Fabric 指标 (预览)

重要

此指标要求你在组织中为此功能启用 即用即付计费模型

其中包括Microsoft Power BI 的策略指示器,可用于检测用于确定环境 (的技术,例如查看 Power BI 报表和仪表板) 以及用于收集相关数据 (的技术,例如) 下载 Power BI 报表。

生成 AI 应用指标 (预览)

其中包括许多生成 AI 应用程序的策略指标。 在策略中使用这些指示器来分析) 输入到这些应用程序中的交互 (提示和响应,并帮助检测不适当或有风险的交互或机密信息的共享。 这些指示以下生成 AI 应用程序:

通信合规性指示器

其中包括检测就业压力因素事件的政策指标,如情绪爆发、欺凌、不接受批评、无法与团队或团体工作或沟通、歧视、暴力威胁、极端主义行为等。 内部风险管理与Microsoft Purview 通信合规性解决方案协同工作,以检测这些类型的压力因素,这些压力因素指示工作场所环境不正常。 就业压力因素事件可能会影响风险人物的用户行为, (不良行为的发起者或目标是否以多种与内部风险相关的方式) 。 适得其反的工作行为可能是更严重违规的前兆,例如破坏公司资产或泄露敏感信息。

此外,可以选择检测与特定 敏感度信息类型匹配的消息, (SCT) 。 将无意或恶意包含的敏感信息包含在用户风险评分及其活动历史记录的消息中,调查人员可提供更多信息,以帮助快速采取措施,缓解潜在的数据泄漏。 最多可以为策略选择 30 个 SIT。 某些方案可能包括帮助检测:

  • 外国招聘
  • 国家参与者偷猎
  • 共享机密公式、财务报告和其他专有属性等敏感信息
  • 共享密码
运作方式

可以从以下通信合规性指标中进行选择:

  • 发送不适当的内容
  • 发送可能具有风险的金融监管文本
  • 发送不适当的图像

还可以选择检测消息中包含的敏感信息类型。

“通信合规性指示器”部分选择“创建策略”时:

  • 在通信合规性中创建一个策略,用于检测Microsoft Exchange Online、Microsoft Teams、Microsoft Viva Engage以及智能 Microsoft 365 Copilot 副驾驶®和Microsoft Copilot中的消息。 通信合规性策略基于所选的指示器和 SCT。 每个指标都与通信合规性使用的特定 可训练分类器 相关联。 每个指示器都与特定的可训练分类器和敏感信息类型相关联。 有关详细信息,请参阅 基于大型语言模型的内容安全分类器

    提示

    可以选择每个指示器旁边的信息图标,以查看指示器使用的可训练分类器。

    在通信合规性方面,可训练的分类器和 SIT 作为策略的条件列出。

  • 通信合规性策略命名为“预览体验成员风险指示器”和时间戳,例如:“内部风险指示器 24-05-01T09.27.17Z”或“内部风险 SIT 指示器 24-05-01T09.27.17Z”。

  • 在内部风险管理中具有 内部风险调查员 角色的任何人将自动添加为通信合规性策略的审阅者。

    注意

    创建通信合规性策略后,若要将审阅者添加到策略,必须 手动将审阅者添加到 通信合规性调查员 角色组

  • 如果关闭 策略指示器 设置中的所有指示器,通信合规性策略将暂停。 如果重新打开任何指示器,则会重新启用策略。

  • 通信合规性指标适用于基于 数据盗窃数据泄露 模板的内部风险管理中的新策略和现有策略。

  • 如果消息中发送的内容与任何可训练的分类器匹配,则会导致通信合规性方面的策略匹配,可以从 策略 ”页进行修正

  • 内部风险管理策略中包含的指标用于确定范围内用户的风险分数。 它们仅在用户发生触发事件后激活。

  • 通信风险 见解显示在内部风险管理 的“活动资源管理器 ”和“ 用户活动 ”选项卡中。 如果从 “活动资源管理器” 或“ 用户活动 ”选项卡向下钻取到策略匹配项,则可以了解有关该活动的详细信息,并访问用于打开通信合规性策略的链接。 在通信合规性策略中,可以看到已发送的消息的内容。

    内部风险管理案例内容资源管理器。

    注意

    必须具有 通信合规性 角色或 通信合规性调查员 角色才能访问通信合规性链接。

在内部风险管理中启用通信合规性指标
  1. 在内部风险管理中,转到“设置策略指标”>,然后滚动到“通信合规性指标 (预览) ”部分。

  2. “检测与特定可训练分类器匹配的消息 (预览) ”下,选择“ 创建策略”。

    在通信合规性中创建策略,通信合规性指示器将在 策略指示器 设置中可用。

    注意

    如果已以这种方式创建了通信合规性策略,但出于任何原因暂停了该策略,则选择“ 创建策略 ”会导致通信合规性策略恢复。 在这种情况下,通信合规性策略列表中的“状态”列将显示“正在恢复”。

  3. “策略 指示器”设置中选择一个或多个通信合规性指示器。

    注意

    如果已创建通信合规性策略,如果选择不同的指标,则会更改通信合规性策略以反映相应的可训练分类器。 关闭所有指示器会暂停通信合规性策略。

  4. 选择“保存”

  5. 若要使用这些指标, 请创建新的内部风险策略编辑现有策略。 这些指示器显示在策略工作流的 “指示器 ”页上。 可以调整指标的阈值,就像在内部风险管理策略中调整任何其他指标一样。

    注意

    目前,对指示器阈值设置的实时分析不适用于通信合规性指示器。

设备指示器

其中包括活动(例如通过网络共享文件或与设备共享文件)的策略指示器。 指示器包括涉及所有文件类型的活动,不包括可执行 (.exe) 和动态链接库 (.dll) 文件活动。 如果选择“设备指示器”,则会为具有 Windows 10 内部版本 1809 或更高版本的设备处理活动,并且 macOS (三个最新版本) 设备。 对于 Windows 和 macOS 设备,必须 首先载入设备。 设备指示器还包括浏览器信号检测,可帮助组织检测和处理在 Microsoft Edge 和 Google Chrome 中查看、复制、共享或打印的不可执行文件的外泄信号。 有关配置 Windows 设备以与内部风险集成的详细信息,请参阅本文中的 启用设备指示器和载入 Windows 设备 。 有关配置 macOS 设备以与内部风险集成的详细信息,请参阅本文中的 启用设备指示器和载入 macOS 设备 。 有关浏览器信号检测的详细信息,请参阅 了解和配置内部风险管理浏览器信号检测

Microsoft Defender for Endpoint指示器 (预览)

其中包括与未经批准或恶意软件安装或绕过安全控制相关的Microsoft Defender for Endpoint指标。 若要在内部风险管理中接收警报,必须启用有效的 Defender for Endpoint 许可证和内部风险集成。 有关为内部风险管理集成配置 Defender for Endpoint 的详细信息,请参阅配置 Microsoft Defender for Endpoint 中的高级功能

运行状况记录访问指示器

其中包括患者医疗记录访问的政策指标。 例如,尝试访问电子医疗记录中的患者医疗记录 (EMR) 系统日志可以与内部风险管理医疗保健策略共享。 若要在内部风险管理中接收这些类型的警报,必须配置特定于医疗保健的数据连接器和 HR 数据连接器

物理访问指示器

其中包括用于物理访问敏感资产的策略指示器。 例如,尝试访问物理坏点系统日志中的受限区域可以与内部风险管理策略共享。 若要在内部风险管理中接收这些类型的警报,必须在内部风险管理中启用优先物理资产,并配置 物理坏点数据连接器 。 若要详细了解如何配置物理访问,请参阅本文中的 优先级物理访问部分

Microsoft Defender for Cloud Apps指示器

其中包括来自Defender for Cloud Apps的共享警报的策略指示器。 在 Defender for Cloud Apps 中自动启用异常情况检测会立即开始检测和整理结果,针对用户以及连接到网络的计算机和设备中的大量行为异常。 若要在内部风险管理策略警报中包含这些活动,请在本节中选择一个或多个指标。 若要详细了解Defender for Cloud Apps分析和异常情况检测,请参阅获取行为分析和异常情况检测

有风险的 AI 使用指标 (预览版)

其中包括Microsoft AI 工具和应用程序的策略指标。 用户的风险提示行为和 AI 生成的包含敏感信息的响应均包含在这些指标中。 例如,用户尝试在 AI 工具或应用程序中共享敏感信息被视为有风险的活动。 同样,返回包含敏感信息的响应的 AI 工具或应用程序也被视为风险行为。

有风险的浏览指示器 (预览)

其中包括与被视为恶意或有风险的网站相关的浏览活动的策略指标,这些网站构成可能导致安全或合规性事件的潜在内部风险。 风险浏览活动是指访问潜在风险网站的用户,例如与恶意软件、色情、暴力和其他未经通知的活动相关的网站。 若要将这些风险管理活动包含在策略警报中,请在本节中选择一个或多个指标。 若要了解如何配置浏览器外泄信号,请参阅 预览体验成员风险管理浏览器信号检测

累积外泄检测

检测用户在过去 30 天内跨所有外泄通道的外泄活动何时超出组织或对等组规范。 例如,如果用户担任销售角色,并且定期与组织外部的客户和合作伙伴通信,则其外部电子邮件活动可能会高于组织的平均水平。 但是,与用户的团队成员或具有类似职务的其他人相比,用户的活动可能并不罕见。 如果用户的累积外泄活动异常且超出组织或对等组规范,则会分配风险评分。

注意

对等组基于组织层次结构、对共享 SharePoint 资源的访问以及Microsoft Entra ID中的职务进行定义。 如果启用累积外泄检测,则组织同意与合规性门户共享Microsoft Entra数据,包括组织层次结构和职务。 如果你的组织不使用Microsoft Entra ID来维护此信息,则检测可能不太准确。

风险评分助推器

这些包括出于以下原因提高活动的风险评分:

  • 高于当天用户通常活动的活动:如果检测到的活动偏离用户的典型行为,则分数会提高。

  • 用户以前已将一个案例解决为策略冲突:如果用户在内部风险管理中曾有一个已作为策略违规解决的案例,则分数会提高。

  • 用户是优先级用户组的成员:如果用户是优先级用户组的成员,则会提升分数。

  • 用户被检测为潜在的高影响用户:启用此功能后,根据以下条件自动将用户标记为潜在的高影响用户:

    • 与组织中的其他人相比,用户与更敏感的内容进行交互。
    • 组织的Microsoft Entra层次结构中的用户级别。
    • 基于Microsoft Entra层次结构向用户报告的用户总数。
    • 用户是具有提升权限的Microsoft Entra内置角色的成员。

    注意

    启用潜在的高影响用户风险分数提升器后,即表示你同意与合规性门户共享Microsoft Entra数据。 如果你的组织不使用敏感度标签或未在Microsoft Entra ID中配置组织层次结构,则此检测可能不太准确。 如果检测到用户既是优先级用户组的成员,又是潜在的高影响用户,则其风险评分只会提高一次。

在某些情况下,你可能希望限制应用于组织中的内部风险策略的内部风险策略指标。 可以通过在全局设置中禁用所有内部风险策略来关闭特定领域的策略指示器。 只能针对优先级用户模板从 “数据泄漏 ”或 “数据泄漏 ”创建的策略修改触发事件。 从所有其他模板创建的策略没有可自定义的触发指示器或事件。

自定义指示器

使用“ 自定义指示器 ”选项卡可以创建自定义指示器,以用作策略中的触发器或策略指示器。

注意

在创建自定义指示器以导入第三方指标数据之前,必须创建预览版) (内部风险指标连接器

  1. 在内部风险管理设置中,选择“ 策略指示器 ”,然后选择“ 自定义指示器 ”选项卡。

  2. 选择 “添加自定义指示器”。

  3. 输入指示器名称和说明 (可选) 。

  4. “数据连接器 ”列表中,选择之前创建的预览体验成员风险指示器连接器。

    选择数据连接器时:

    • 创建连接器时选择的源列的名称将显示在 映射文件的源列 字段中。 如果在创建连接器时未选择源列,则此字段中会显示 “无” ,无需进行选择。
    • “源列中的值 ”列表中,选择要分配给自定义指示器的值。 这些值与创建连接器时指定的源列相关。 例如,如果创建了一个连接器,其中包含 Salesforce 和 Dropbox) (两个指标的数据,则会在列表中看到这些值。
  5. 如果要使用列设置阈值,请在 “映射文件中的数据 ”列表中,选择要用于阈值设置的列;否则,请选择“ 仅用作不带任何阈值的触发事件 ”选项。

    注意

    只有具有 “数字 ”数据类型的字段才会显示在“ 映射文件中的数据 ”列表中,因为“ 数字 ”数据类型是设置阈值所必需的。 在设置连接器时指定数据类型。

  6. 选择 “添加指示器”。 该指示器将添加到 “自定义指示器 ”列表中。

现在,可以在创建或编辑的任何数据盗窃数据泄漏策略中使用自定义指示器

  • 如果使用自定义指示器作为触发器,请在创建或编辑策略时,在 “触发器 ”页上选择自定义触发器。
  • 如果使用自定义指示器作为策略指示器,请在创建或编辑策略时,在 “指示器 ”页上选择自定义指示器。

注意

选择自定义触发器或指示器后,请确保设置自定义阈值 (不建议使用默认阈值) 。 如果选择了“ 仅用作触发事件而不使用任何阈值 ”选项,则无法对自定义指示器设置触发器阈值。

将自定义指示器添加到策略后,基于自定义指标生成的触发器和见解将显示在警报仪表板活动资源管理器用户时间线中。

重要

  • 在自定义指标和关联的策略更新后,请务必等待 24 小时,然后再 上传数据 。 这是因为同步所有组件可能需要几个小时。 如果在更新同步时立即上传数据,可能无法对某些数据进行风险评分。

创建内置指示器的变体

可以 (预览) 创建检测组 ,并将其与内置指示器的变体一起使用, (预览) 为不同的用户组定制检测。 例如,为了减少电子邮件活动的误报数,你可能希望创建一个变体,即向 组织外部的收件人发送带有附件的电子邮件 内置指示器,以仅检测发送到个人域的电子邮件。 变体继承内置指示器的所有属性。 然后,可以使用排除项或包含项修改变体。

  1. 在内部风险管理设置中,选择“ 策略指示器”。

  2. 选择“新建指示器变体” (预览) 。 这将打开屏幕右侧的“ 新建指示器变体 (预览) 窗格。

  3. “基本指示器 ”列表中,选择要为其创建变体的指示器。

    注意

    可以为每个内置指示器创建最多三个变体。 如果已为特定的内置指示器创建了三个变体,则内置指示器将在列表中灰显。 还有一些内置指示器 (Microsoft Defender for Endpoint 指标,例如不支持变体的) 。

  4. 为变体添加名称 (或接受建议的名称) 。 变体名称不能超过 110 个字符。

  5. 添加变量的说明 (可选) 。 说明显示在策略中,以帮助你将其与其他指标或指标变体区分开来。 变体的说明不能超过 256 个字符。

  6. “检测组”下,选择以下选项之一:

    • 忽略涉及所选组中项的活动。 如果要捕获除几个排除项之外的所有内容 请选择此选项。 例如,你可能希望使用此选项来捕获除发送到特定域的电子邮件之外的所有传出电子邮件。

    • 仅检测涉及所选组中项的活动。 如果要指定要捕获 的包含项, 请选择此选项。 例如,如果只想捕获发送到特定域的电子邮件,请选择此选项。

    注意

    如果尚未 创建检测组,则无法选择 “检测组 ”部分中的选项。

  7. “选择一个或多个检测组” 列表中,选择要应用于变体的检测组 () 。 检测组列在相应的检测类型标题下,以帮助你找到相应的组。 对于单个变体,最多可以添加单个类型的五个检测组。 例如,最多可以添加五组域、五组文件类型等。  

    注意

    列表中仅显示适用于变体的检测组。 例如,与 组织外部人员共享 SharePoint 文件夹 的文件类型检测组不会显示,因为它不适用。

  8. 选择“保存”

  9. 在“ 后续步骤 ”对话框中,如果要将新变体应用于特定策略,请选择“ 策略”页 链接。

提示

若要确保变体捕获要检测的所有重要活动,可以在同一策略中应用内置指示器和内置指示器的变体。 然后,可以观察每个指示器在警报中捕获的活动,然后在确保检测到所有内容后仅使用变体指示器。

在策略中使用变体

  1. 转到策略工作流的 “指示器 ”页。

  2. 查找包含一个或多个变体的内置指示器。 具有变体的内置指示器在变体复选框中用蓝色小框标记,指示器描述符文本的末尾会显示一个列表,用于指示所选变体的数量。 打开列表以查看变体。

    注意

    如果选择变体列表中的一个或所有复选框,则内置指示器的第一级复选框将变为蓝色实心复选框。 如果未选择变体列表中的框,则第一级复选框为空。

  3. 选择 下一步

  4. “自定义阈值 ”页中,可以单独自定义变体的阈值。

调查变体提供的见解

将变体添加到策略后,会在仪表板中生成警报,调查人员可以在“活动资源管理器”和“用户活动”选项卡中查看更多详细信息。

编辑变体

  1. 选择指示器说明文本末尾的蓝色文本。 例如,选择 “+2 变体”,如以下屏幕截图示例所示。

    显示要选择的变体文本的屏幕截图。

  2. “查看/编辑指示器 ”页中,选择“ 编辑”。

  3. 进行更改。

变体限制

  • 每个内置指示器最多可以创建三个变体。
  • 对于单个变体,最多可以添加单个类型的五个检测组。 例如,最多可以添加五组域、五组文件类型等。
  • 对于检测组预览版,变体不支持序列、累积外泄活动、风险评分提升器或 实时分析

如何针对全局排除项和优先级内容设置变体的优先级

活动的范围界定发生在内部风险管理中的多个位置。 范围按以下优先级顺序进行:

  1. 全局排除项

  2. 变体范围排除/包含

  3. 优先级内容

启用设备指示器并载入 Windows 设备

若要在 Windows 设备上启用风险活动的检测并包括这些活动的策略指示器,Windows 设备必须满足以下要求,并且必须完成以下载入步骤。 详细了解设备载入要求

步骤 1:准备终结点

确保计划在内部风险管理中报告Windows 10设备满足这些要求。

  1. 设备必须运行Windows 10 x64 内部版本 1809 或更高版本,并且必须安装从 2020 年 2 月 20 日开始的WINDOWS 10更新 (OS 内部版本 17763.1075)
  2. 用于登录Windows 10设备的用户帐户必须是活动的Microsoft Entra帐户。 Windows 10设备可能已Microsoft Entra ID、Microsoft Entra混合、已加入或已注册。
  3. 在终结点设备上安装 Microsoft Edge 浏览器,以检测云上传活动的操作。 请参阅基于Chromium下载新的 Microsoft Edge

注意

终结点 DLP 现在支持虚拟化环境,这意味着内部风险管理解决方案通过终结点 DLP 支持虚拟化环境。 详细了解对终结点 DLP 中虚拟化环境的支持

步骤 2:载入设备

必须先启用设备检查并载入终结点,然后才能检测设备上的内部风险管理活动。 这两个操作都在 Microsoft Purview 中完成。

如果想要启用尚未载入的设备,需要下载相应的脚本并部署它,如本文中所述。

如果已将设备载入Microsoft Defender for Endpoint,则它们将显示在托管设备列表中。

载入设备

在此部署方案中,你启用尚未载入的设备,并且你只想检测 Windows 设备上的内部风险活动。

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 选择页面右上角的“设置”。

  3. “设备载入”下,选择“ 设备”。 在载入设备之前,列表为空。

  4. 选择 “启用设备载入”。

    注意

    启用设备载入通常需要大约 60 秒的时间,但最多需要 30 分钟才能与Microsoft支持人员联系。

  5. 从“ 部署方法 ”列表中选择要部署到这些设备的方式,然后选择“ 下载包”。

  6. 按照 适用于 Windows 计算机的载入工具和方法 中的相应程序进行操作。 此链接会将你定位到登录页面,你可以在其中访问与在步骤 5 中选择的部署程序包相匹配的 Microsoft Defender for Endpoint 过程:

    • 使用组策略载入 Windows 计算机
    • 使用 Microsoft Endpoint Configuration Manager 载入 Windows 10 计算机
    • 使用移动设备管理工具载入 Windows 计算机
    • 使用本地脚本载入 Windows 计算机
    • (VDI) 计算机载入非持久性虚拟桌面基础结构

完成并载入终结点设备后,它应在设备列表中可见,并且终结点设备将开始向内部风险管理报告审核活动日志。

注意

此体验根据许可证强制实施。 如果没有所需的许可证,数据将不可见或不可访问。

如果设备已载入到Microsoft Defender for Endpoint

如果已部署Microsoft Defender for Endpoint并且终结点设备正在其中报告,则终结点设备将显示在托管设备列表中。 可以转到 步骤 2:载入设备,继续将新设备载入到内部风险管理中,以扩大覆盖范围。

启用设备指示器并载入 macOS 设备

(Catalina 10.15 或更高版本) 的 macOS 设备可以载入到 Microsoft 365,以支持使用 Intune 或 JAMF Pro 的内部风险管理策略。 有关详细信息和配置指南,请参阅 将 macOS 设备载入 Microsoft 365 概述 (预览版)

指示器级别设置

使用策略工作流创建策略时,可以配置每日风险事件数应如何影响内部风险警报的风险评分。 这些指示器设置有助于控制组织中风险事件的发生次数如何影响风险评分 (以及这些事件的相关警报严重性) 。

例如,假设你决定在内部风险策略设置中启用 SharePoint 指示器,并在为新的内部风险 数据泄露 策略配置指示器时为 SharePoint 事件选择自定义阈值。 在内部风险策略工作流中,为每个 SharePoint 指标配置三个不同的每日事件级别,以影响与这些事件关联的警报的风险评分。

对于第一个每日事件级别,请将阈值设置为:

  • 每天 10 个或更多事件 ,以降低事件的风险评分影响
  • 每天 20 个或更多事件 ,对事件的风险评分有中等影响
  • 每天 30 个或更多事件 ,对事件的风险评分产生更大影响

这些设置实际上意味着:

  • 如果触发事件后发生了 1-9 个 SharePoint 事件,风险评分的影响最小,并且往往不会生成警报。
  • 如果触发事件后发生了 10-19 个 SharePoint 事件,则风险评分本质上较低,警报严重性级别往往较低。
  • 如果触发事件后发生了 20-29 个 SharePoint 事件,则风险评分本质上较高,警报严重性级别往往为中等级别。
  • 如果触发事件后发生了 30 个或更多个 SharePoint 事件,则风险评分本质上较高,警报严重性级别往往较高。

策略阈值的另一个选项是将策略触发事件分配给超过典型每日用户数的风险管理活动。 每个阈值不是由特定的阈值设置定义的,而是针对范围内策略用户检测到的异常活动动态自定义的。 如果单个指示器支持异常活动的阈值活动,则可以在该指示器的策略工作流中选择“ 活动高于用户当天的常规活动 ”。 如果未列出此选项,则异常活动触发不适用于指示器。 如果 “活动”高于用户 针对某一指标的通常活动选项,但不可选择,则需要在 预览体验成员风险设置>“策略指示器”中启用此选项。

使用实时分析建议设置阈值

可以使用实时分析 (预览) 来利用引导式 (数据驱动的) 阈值配置体验,以便快速为策略指示器选择适当的阈值。 此引导式体验可帮助你有效地调整活动发生的指示器和阈值的选择,以免策略警报太少或太多。

启用分析时:

  • 策略工作流的“指标”页上启用了“应用特定于用户活动的阈值”选项。 如果要让内部风险管理根据组织中过去 10 天的用户活动提供指示器阈值建议,请选择此选项。

    注意

    若要使用此选项,必须至少选择一个内置策略指示器。 内部风险管理不为 自定义指标内置指标的变体提供建议的阈值。

  • 如果在策略工作流的“指示器”页上选择“选择自己的阈值”选项,则阈值设置的默认值基于建议的阈值 (基于组织中的活动) 而不是内置默认值。 你还将看到仪表、前五个指标的列表以及每个指标的见解。

    内部风险管理实时分析

    • A. 该仪表显示其前 10 天内的活动超过策略的选定内置指示器之一 的最低每日阈值 的范围用户的大致数量。 如果为策略中包含的所有用户分配了风险分数,此仪表可帮助你估计可能生成的警报数。

    • B. 前五个指标列表按超过 每日最低阈值的用户数排序。 如果策略生成过多的警报,则可能需要关注这些指标以减少“干扰”。

    • C. 每个指示器的见解显示在该指示器的阈值设置集下方。 该见解显示其前 10 天内的活动超过指标的指定 低阈值 的用户的大致数量。 例如,如果 从 SharePoint 下载内容的 低阈值设置为 100,则见解会显示策略中在过去 10 天内平均执行了 100 个以上的下载活动的用户数。

注意

全局排除 (智能检测) 考虑在实时分析中。

手动调整阈值设置

如果选择“ 选择自己的阈值 ”选项并手动调整特定指示器的阈值设置,则指示器下方的见解会实时更新。 这有助于为每个指标配置适当的阈值,以便在激活策略之前实现最高级别的警报有效性。

若要节省时间并更轻松地了解手动更改阈值的影响,请在见解中选择“ 查看影响” 链接,显示指标图的 “用户数超过每日阈值 ”。 此图提供每个策略指示器的敏感度分析。

内部风险管理视图影响图

重要

如果在创建策略时选择“ 包括特定用户 ”选项,则此图不可用。 必须选择“ 包括所有用户和组” 选项。

可以使用此图分析组织中所选指示器的用户的活动模式。 例如,在上图中, 与组织外部人员共享 SharePoint 文件的 阈值指示器设置为 38。 该图显示有多少用户执行了超过该阈值的操作,以及这些操作的低、中和高严重性警报的分布情况。 选择一个栏以查看每个值的见解。 例如,在上图中,选择了 50 值的栏,并且见解显示,在该阈值下,大约 22 个用户在过去 10 天内至少一天执行了 50 个事件。

使用实时分析的先决条件

若要使用实时分析 (预览版) ,必须 启用内部风险分析见解。 启用分析后,可能需要 24 到 48 小时才能显示见解和建议。