确定内部风险管理策略的优先物理资产
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
确定对优先物理资产的访问并将访问活动关联到用户事件是Microsoft Purview 内部风险管理合规性基础结构的重要组成部分。 这些物理资产表示组织中的优先位置,例如公司大楼、数据中心或服务器机房。 内部风险活动可能与用户在非正常时间工作、尝试访问这些未经授权的敏感区域或安全区域以及请求访问高级区域而没有合法需求相关联。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
启用优先物理资产并配置 物理标记数据连接器 后,内部风险管理可将来自物理控制和访问系统的信号与其他用户风险活动集成。 通过检查物理访问系统的行为模式并将这些活动与其他内部风险事件相关联,内部风险管理可以帮助合规性调查人员和分析师针对警报做出更明智的响应决策。
对优先物理资产的访问在见解中评分和标识,与访问非优先级资产的方式不同。 例如,你的组织有一个用于管理和批准对正常工作和敏感项目区域的物理访问的用户的坏处系统。 有多个用户正在处理敏感项目,项目完成后,这些用户将返回到组织的其他区域。 当敏感项目接近完成时,你需要确保项目工作保持机密,并且对项目区域的访问受到严格控制。
选择在 Microsoft 365 中启用物理坏点数据连接器,以从物理坏点系统导入访问信息,并在内部风险管理中指定优先物理资产。 通过从坏处系统导入信息并将物理访问信息与内部风险管理中确定的其他风险活动相关联,你注意到项目中的某个用户正在正常工作时间后访问项目办公室,并且还会从其正常工作区域将大量数据导出到个人云存储服务。 与联机活动关联的此物理访问活动可能指向可能的数据盗窃,合规性调查人员和分析师可以根据此用户的情况采取适当的操作。
配置优先级物理资产
若要配置优先物理资产,请配置物理坏点连接器并使用内部风险管理解决方案中的设置控制。 若要配置优先物理资产,必须是 Insider Risk Management 或 Insider Risk Management 管理员 角色组的成员。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
按照内部风险管理入门一文中的 内部风险管理 配置步骤进行操作。 在步骤 3 中,请确保配置物理标记连接器。
重要
要使内部风险管理策略使用与离职和终止用户相关的信号数据与物理控制和访问平台的事件数据相关联,还必须配置Microsoft 365 HR 连接器。 如果在未启用 Microsoft 365 HR 连接器的情况下启用物理标记连接器,则内部风险管理策略将仅处理组织中用户物理访问活动的事件。
使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 ,选择页面右上角的 “设置” ,选择“ 预览体验成员风险管理 ”以打开内部风险管理设置,然后选择“ 优先物理资产”。
在 “优先级物理资产 ”页上,可以手动添加物理坏点连接器导入的物理资产 ID,也可以导入物理坏点连接器导入的所有物理资产 ID 的 CSV 文件:
- 若要手动添加物理资产 ID,请选择 “添加优先级物理资产”,输入物理资产 ID,然后选择“ 添加”。 输入其他物理资产 ID,然后选择“ 添加优先级物理资产 ”以保存输入的所有资产。
- 若要从 CSV 文件添加物理资产 ID 的列表,请选择 “导入优先级物理资产”。 在“文件资源管理器”对话框中,选择要导入的 CSV 文件,然后选择“ 打开”。 CSV 文件中的物理资产 ID 将添加到列表中。
在“设置”中,选择“ 策略指示器”。
在“策略指示器”页上,转到“物理访问指示器”部分,然后选择“终止后的物理访问或对敏感资产检查访问失败”框。
选择“保存”。
删除优先物理资产
必须是 Insider Risk Management 或 Insider Risk Management 管理员 角色组的成员才能删除优先物理资产。
重要
删除优先级物理资产会将其从以前包含的任何活动策略的检查中删除。 不会删除由与优先级物理资产关联的活动生成的警报。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 以 Insider Risk Management 或 Insider Risk Management管理员角色组的成员身份登录到 Microsoft Purview 门户。
- 选择页面右上角的“设置”。
- 选择“ 预览体验成员风险管理 ”,转到内部风险管理设置。
- 选择“ 优先物理资产”。
- 在 “优先级物理资产 ”页上,选择要删除的资产。
- 选择“删除”。