共用方式為


調查內部風險管理活動

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

調查潛在風險的用戶活動是將組織內部風險降至最低的重要第一步。 這些風險可能是從內部風險管理原則產生警示的活動。 它們也可以是原則偵測到的合規性相關活動風險,但不會立即為使用者建立內部風險管理警示。 您可以使用 使用者活動報告 (預覽) 警示儀錶板來調查這些類型的活動。

提示

開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

使用者活動報告

用戶活動報告 可讓您檢查特定使用者 (的潛在風險活動,以及) 定義的時間週期,而不需要暫時或明確地將這些活動指派給內部風險管理原則。 若要建立和檢視用戶活動報告,請移至 內部風險管理>報告>用戶活動報告

警示儀表板

內部風險管理警示是由內部風險管理原則中定義的風險指標自動產生。 這些警示可為合規性分析師和調查人員提供目前風險狀態的全部檢視,並可讓您的組織針對探索到的潛在風險進行分級和採取動作。 根據預設,原則會產生特定數量的低、中和高嚴重性警示,但您可以 增加或減少警示數量 以符合您的需求。 此外,您可以在使用原則建立工具建立新原則時, 設定原則指標的警示閾值

注意事項

對於產生的任何警示,內部風險管理會為每位用戶產生單一匯總警示。 該使用者的任何新深入解析都會新增至相同的警示。

請參閱 測試人員風險管理警示分級體驗影片 ,以瞭解警示如何為具風險的活動提供詳細數據、內容和相關內容,以及如何讓調查程式更有效率。

重要事項

如果您的原則 受一或多個管理單位限制,您只能看到您所設定範圍之使用者的警示。 例如,如果系統管理範圍只適用於德國的使用者,您就只能看到德國使用者的警示。 不受限制的系統管理員可以查看組織中所有使用者的所有警示。

受限制的系統管理員無法透過管理單位中新增的安全組或通訊群組,存取指派給他們之使用者的警示。 只有不受限制的系統管理員可以看到這類使用者警示。 Microsoft建議將使用者直接新增至管理單位,以確保其警示也會顯示給已指派管理單位的限制系統管理員。

警示的產生方式

下圖顯示如何在內部風險管理中產生警示。

顯示如何產生測試人員風險管理警示的圖形。

篩選警示、儲存篩選集的檢視、自定義數據行,或搜尋警示

根據貴組織中使用中內部風險管理原則的數量和類型,檢閱大量警示佇列可能會是一項挑戰。 若要協助您追蹤警示,您可以:

  • 依各種屬性篩選警示。
  • 儲存篩選集的檢視以供稍後重複使用。
  • 顯示或隱藏資料行。
  • 搜尋警示。
  • 檢視警示報告。

篩選警示

  1. 選取 [新增篩選]

  2. 選取下列一或多個屬性:

    屬性 描述
    產生警示的活動 顯示導致產生警示的活動評估期間,最上層的潛在風險活動和原則相符專案。 此值可隨時間更新。
    警示關閉原因 關閉警示的原因。
    指派給 指派警示的系統管理員,如果已指派) ,則會將警示指派給 (。
    原則 原則的名稱。
    風險因素 可協助判斷用戶活動風險程度的風險因素。 可能的值為 累積外泄活動活動包括優先順序內容順序活動活動包括不允許的網域優先順序使用者群組的成員,以及 潛在高影響的使用者
    嚴重性 用戶的風險嚴重性層級。 選項包括
    狀態 警示的狀態。 選項包括已確認已解除需要檢閱以及已解決
    在UTC) (偵測到的時間 警示建立時的開始和結束日期。 篩選器會在開始日期的UTC 00:00與結束日期的UTC 00:00之間搜尋警示。
    觸發事件 將使用者帶入原則範圍的事件。 觸發事件可能會隨著時間而變更。

    您選取的屬性會新增至篩選列。

  3. 在篩選列中選取屬性,然後選取要篩選依據的值。 例如,選 取 UTC (偵測到的時間) 屬性,在 [開始日期 ] 和 [ 結束日期] 字 段中輸入或選取日期,然後選取 [ 套用]

    提示

    如果您想要在任何時間點重新開始,請選取篩選列上的 [全部重設 ]。

儲存篩選集的檢視以稍後重複使用

  1. 套用上述程式中所述的篩選之後,請選取 [ 儲存],輸入篩選集的名稱,然後選取 [ 儲存]

    篩選集會新增為卡片。 它包含一個數字,顯示符合篩選集中準則的警示計數。

    注意事項

    您最多可以儲存五個篩選集。 如果您需要刪除篩選集,請選取卡片右上角 (三個點) 的省略號,然後選取 [ 刪除]

  2. 若要重新套用已儲存的篩選集,只要選取篩選集的卡片即可。

顯示或隱藏資料行

  1. 在頁面右側,選取 [ 自定義數據行]

  2. 選取或清除您想要顯示或隱藏之資料行 () 複選框。

數據行設定會跨會話和瀏覽器儲存。

搜尋警示

使用 搜尋 控件來搜尋用戶主體名稱, (UPN) 、指派的系統管理員名稱或警示標識符。

檢視警示報告

流覽至 [測試人員風險管理>報告>警示]以檢視 所產生警示的報告、依區域的警示、觸發事件的警示等等。

分級警示

調查內部風險管理中的警示並採取行動包括下列步驟:

  1. 檢閱 警示儀錶板 ,以取得狀態為 [需要檢閱] 的警示。 視需要警示狀態篩選,以協助找出這些類型的警示。
  2. 從嚴重性最高的警示開始。 視需要依警示嚴重性篩選,以協助找出這些類型的警示。
  3. 選取警示以探索詳細資訊,並檢閱警示詳細數據。 如有需要,請使用 [活動總管 ] 來檢閱相關聯潛在風險行為的時間軸,並識別警示的所有風險活動。
  4. 對警示採取行動。 您可以確認並建立警示 的案例 ,或關閉並解決警示。

本節會更詳細地說明上述每個步驟

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

使用 Copilot 摘要警示

您可以選 取 [使用 Copilot 摘要] 或 [Copilot ] 圖示來快速摘要警示,並排定需要進一步調查的警示優先順序。 您可以摘要選取的警示,而不需要開啟警示或檢視警示的詳細數據。 當您在 Microsoft Purview 中摘要說明具有 Microsoft Copilot 的警示時,畫面右側會出現一個 [Copilot] 窗格,其中包含警示摘要。

測試人員風險管理 Copilot 按鈕

警示摘要包含警示的所有基本詳細數據,例如觸發的原則、產生警示的活動、觸發事件、涉及的使用者、其上一個工作日期 (如果適用) 、任何重要用戶屬性,以及使用者的主要風險因素。 Microsoft Purview 中的 Copilot 會從使用者的所有警示和範圍內原則中合併使用者的相關信息,並強調使用者的主要風險因素。

系統會自動列出建議的提示,以協助進一步精簡您的摘要,並協助提供與警示相關聯之活動的額外深入解析。 從下列建議提示中選擇:

  • 列出與此使用者有關的所有數據外流活動
  • 列出與此用戶有關的所有循序活動
  • 使用者是否參與任何不尋常的行為?
  • 顯示使用者在過去 10 天內執行的主要動作
  • 摘要說明用戶過去 30 天的活動

將警示分級

您可以移至 [警示 詳細 數據] 頁面來分級警示。

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要分級的警示。
  5. 在 [ 警示詳細數據 ] 頁面上,您可以檢閱警示的相關信息。 您可以確認警示並建立新案例、確認警示並新增至現有案例,或關閉警示。 此頁面也包含警示的目前狀態,以及列為 [高]、[中] 或 [低] 的警示風險嚴重性層級。 如果警示未分級,嚴重性層級可能會隨著時間增加或減少。 對於誤判,您可以選取 [ 關閉警示],選取多個警示並大量關閉它們。

警示詳細數據頁面的標頭/摘要區段

[ 警示詳細數據 ] 頁面中的本節包含使用者和警示的一般資訊。 在檢閱使用者警示中所包含之偵測到風險管理活動的詳細資訊時,此資訊可供內容使用:

  • 產生此警示的活動:顯示導致產生警示的活動評估期間,潛在風險最高的活動和原則比對。
  • 觸發事件:顯示最新的觸發事件,提示原則開始將風險分數指派給用戶的活動。 如果您已設定與有風險用戶的數據外洩通訊合規性整合,或風險性使用者原則違反安全策略,則這些警示的觸發事件範圍會限於通訊合規性活動。
  • 使用者詳細數據:顯示指派給警示之使用者的一般資訊。 如果啟用匿名,則會匿名使用者名稱、電子郵件地址、別名和組織字段。
  • 使用者警示歷程記錄:顯示用戶過去30天的警示清單。 包含可檢視使用者完整警示歷程記錄的連結。

注意事項

當偵測到用戶為潛在高影響力使用者時,此資訊會在 [ 使用者詳細 數據] 頁面的警示標頭中反白顯示。 使用者詳細數據也包含摘要,其中包含偵測到使用者的原因。 若要深入瞭解如何為潛在高影響力使用者設定原則指標,請參閱 測試人員風險管理設定

從原則產生的警示範圍僅限於包含 優先順序內容 的活動,包括本節中 針對此警示通知評分的只有優先順序內容的活動

提示

若要取得警示的快速概觀,請在警示詳細數據頁面上選取 [ 摘要 ]。 當您選取 [ 摘要] 時,頁面右側會出現 一個 [Copilot ] 窗格,其中包含警示摘要。 警示摘要包含警示的所有基本詳細數據,例如觸發的原則、產生警示的活動、觸發事件、涉及的使用者、其上一個工作日期 (如果適用) 、任何重要用戶屬性,以及使用者的主要風險因素。 Microsoft Purview 中的 Copilot 會從使用者的所有警示和範圍內原則中合併使用者的相關信息,並強調使用者的主要風險因素。 您也可以從警示佇列摘要警示,而不需要使用 Copilot 來開啟警示。 或使用獨立版本的 Microsoft Security Copilot 來調查內部風險管理、Microsoft Purview 數據外洩防護 (DLP) ,以及 Microsoft Defender 全面偵測回應 警示

[所有風險因素] 索引標籤

[ 警示詳細數據 ] 頁面中的這個索引標籤會開啟使用者警示活動的風險因素摘要。 風險因素可協助您判斷此用戶的風險管理活動在檢閱期間有何風險。 風險因素包括下列專案的摘要:

  • 最上層的外泄活動:顯示警示數目最高或事件的外泄活動。
  • 累積外洩活動:顯示與累積外泄活動相關聯的事件。
  • 活動順序:顯示偵測到與風險序列相關聯的潛在風險活動。
  • 此使用者的異常活動:針對被視為有潛在風險的用戶顯示特定活動,因為其不尋常且偏離其一般活動。
  • 優先順序內容:顯示與優先順序內容相關聯的潛在風險活動。
  • 不允許的網域:針對與不允許的網域相關聯的事件,顯示潛在風險的活動。
  • 健康情況記錄存取:顯示與存取健康情況記錄相關聯之事件的潛在風險活動。
  • 有風險的瀏覽器使用方式:針對與流覽至可能不適當的網站相關聯的事件,顯示潛在的風險活動。

透過這些篩選,您只會看到具有這些風險因素的警示,但產生警示的活動可能不會歸類到這些類別中的任何一個。 例如,包含順序活動的警示可能因為使用者將檔案複製到USB裝置而產生。

偵測到的內容

[ 所有風險因素 ] 索引卷標上的本節包含與警示風險活動相關聯的內容,並依主要區域摘要說明活動事件。 選取活動連結會開啟 [活動總管],並顯示活動的詳細數據。

[用戶活動] 索引標籤

[ 用戶活動] 索引標籤是內部風險分析和內部風險管理解決方案中警示和案例調查最強大的工具之一。 此索引標籤的結構可讓您快速檢閱使用者的所有活動,包括所有警示的歷史時程表、警示詳細數據、使用者目前的風險分數,以及風險事件的順序。

測試人員風險管理用戶活動

  1. 案例動作:解決案例的選項位於案例動作工具列上。 在案例中檢視時,您可以解決案例、傳送電子郵件通知給使用者,或呈報案例以進行數據或用戶調查。

  2. 風險啟用時間:列出與案例相關聯之所有風險警示的完整時間,包括對應警示泡泡中可用的所有詳細數據。

  3. 預覽 (篩選和排序)

    • 風險類別:依下列風險類別篩選活動: 風險分數 > 為 15 (的活動,除非依序列) 序列活動
    • 活動類型:依下列類型篩選活動: AccessDeletionCollectionExfiltrationInfiltrationObfuscationSecurityCustom IndicatorDefense Compromise、Privilege EscalationCommunication RiskUser Compromise RiskAI Usage
    • 排序依據:依 發生日期風險分數列出潛在風險活動的時間軸。
  4. 時間篩選:根據預設,用戶活動圖表中會顯示過去三個月的潛在風險活動。 您可以在泡泡圖上選取 [6 個月]、 [3 個月] 或 [1 個月 ] 索引卷標,輕鬆地篩選圖表檢視。

  5. 風險順序:潛在風險活動的時間順序是風險調查的重要層面,而識別這些相關活動是評估組織整體風險的重要部分。 相關警示活動會顯示連線線路,以醒目提示這些活動與較大的風險區域相關聯。 此檢視中也會以相對於序列風險分數的順序活動上放置的圖示來識別序列。 將滑鼠停留在圖示上方,以查看與此順序相關聯之具風險活動的日期和時間。 此活動檢視可協助調查人員實際針對可能被視為隔離或一次性事件的風險活動「連接點」。 選取序列中的圖示或任何泡泡,以顯示所有相關風險活動的詳細數據。 詳細資料包括:

    • 序列的名稱
    • 序列日期或日期範圍
    • 序列的風險分數 。 此分數是序列中每個相關活動合併警示風險嚴重性層級序列的數值分數。
    • 與序列中每個警示相關聯的事件數目。 每個與每個潛在風險活動相關聯的檔案或電子郵件連結也可供使用。
    • 依序顯示活動。 將序列顯示為泡泡圖上的醒目提示線,並展開警示詳細數據,以顯示序列中的所有相關警示。
  6. 風險警示活動和詳細數據:潛在風險活動會以視覺方式顯示為用戶活動圖表中的彩色泡泡。 泡泡是針對不同風險類別所建立。 選取泡泡以顯示每個潛在風險活動的詳細數據。 詳細資料包括:

    • 風險活動日期
    • 風險活動類別目錄。 例如,Email () 附件傳送至組織外部從 SharePoint Online 下載的檔案 ()
    • 警示風險分數。 此分數是警示風險嚴重性層級的分數,以數字表示。
    • 與警示相關聯的事件數目。 您也可以使用與風險活動相關聯之每個檔案或電子郵件的連結。
  7. 累積外洩活動:選取即可檢視用戶活動如何隨著時間建置的可視化圖表。

  8. 風險活動圖例:在用戶活動圖表底部,色彩編碼圖例可協助您快速判斷每個警示的風險類別。

[活動總管] 索引標籤

注意事項

活動總管可在您的組織中提供此功能之後,於具有觸發事件之使用者的警示管理區域中取得。

活動總管會為風險調查人員和分析師提供完整的分析工具,以提供警示的詳細資訊。 透過活動總管,檢閱者可以快速檢閱偵測到潛在風險活動的時間軸,並識別並篩選與警示相關聯的所有風險活動。

使用活動總管

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要分級的警示。
  5. 在 [ 警示詳細數據] 窗格中,選取 [ 開啟展開的檢視]
  6. 在所選警示的頁面上,選取 [ 活動總管] 索引卷 標。

在活動總管中檢閱活動時,調查人員和分析師可以選取特定活動,並開啟 [活動詳細數據] 窗格。 此窗格會顯示調查人員和分析師可在警示分級程式期間使用的活動詳細資訊。 詳細資訊可能會提供警示的內容,並協助識別觸發警示之風險活動的完整範圍。

從啟用時間軸選取活動的事件時,總管中顯示的活動數目可能不符合時間軸中列出的活動事件數目。 發生此差異的原因範例:

  • 累積外洩偵測:累積外洩偵測會分析事件記錄檔,但會套用模型,其中包含將類似活動刪除為計算累積外泄風險的重複數據刪除。 此外,如果您已變更現有的原則或設定,[活動總管] 中顯示的潛在風險活動數目也可能會有所差異。 例如,如果您在建立原則之後修改允許/不允許的網域,或新增新的檔類型排除專案,而且發生潛在的風險活動相符專案,則累積外洩偵測活動會與原則或設定變更之前的結果不同。 累積外洩偵測活動總計是以計算時的原則和設定組態為基礎,不包含原則和設定變更之前的活動。
  • 傳送給外部收件者的電子郵件:傳送給外部收件者的電子郵件有潛在風險的活動,會根據傳送的電子郵件數目來指派風險分數,這可能與活動事件記錄檔不符。

測試人員風險管理活動總管詳細數據。

包含從風險評分中排除之事件的序列

序列可能包含一或多個事件,這些事件會根據您的設定組態從風險評分中排除。 例如,您的組織可能會使用全域 排除 設定 來排除 .png 檔案的風險評分,因為 .png 檔案通常不會有風險。 但 .png 檔案可用來混淆惡意活動。 因此,如果因為模糊化活動而從風險評分中排除的事件屬於序列的一部分,則事件會包含在序列中,因為它在序列的內容中可能很有趣。

活動總管會依序顯示排除事件的下列資訊:

  • 如果序列包含排除 所有 事件的步驟,則深入解析只會包含活動名稱和日期。 選 取 [檢視排除的事件 ] 連結,以篩選活動總管中排除的事件。 如果排除所有事件,用戶活動散佈圖圖示的風險分數為0。
  • 如果序列具有排除 某些 事件的深入解析,則會顯示 () 之未排除事件的事件資訊,但事件計數不包括排除的事件 () 。 選 取 [檢視排除的事件 ] 連結,以篩選活動總管中排除的事件。
  • 如果您選取深入解析的 序列連結 ,您可以向下切入活動詳細資料窗格中的事件序列,包括任何從評分中排除的事件。 從評分中排除的事件會標示為 已排除
活動總管中的篩選警示

若要在 [活動總管] 中篩選警示的數據行資訊,請選取 [ 篩選]。 您可以依警示詳細數據窗格中所列的一或多個屬性來篩選警示。 活動總管也支援可自定義的數據行,以協助調查人員和分析師將儀錶板的焦點放在最重要的資訊上。

使用 [活動範圍]、[ 風險因素] 和 [ 檢閱狀態 篩選] 來顯示和排序下列區域的活動和深入解析。

  • 活動範圍:篩選使用者的所有評分活動。

    • 此使用者的所有評分活動
    • 僅限此警示中的評分活動
  • 風險因素:適用於指派風險分數之所有原則的風險因素活動篩選條件這包括範圍內使用者所有原則的所有活動。

    • 異常活動
    • 包含具有優先順序內容的事件
    • 包含具有不允許網域的事件
    • 順序活動
    • 累積外流活動
    • 健康情況記錄存取活動
    • 有風險的瀏覽器使用方式
  • 檢閱狀態:篩選活動檢閱狀態。

    • 全部
    • 尚未檢閱 (篩選掉屬於已關閉或已解決警示一部分的任何活動)

測試人員風險管理活動總管概觀

儲存篩選的檢視以稍後重複使用

如果您建立篩選並自定義篩選的數據行,您可以儲存變更的檢視,讓您或其他人稍後可以再次快速篩選相同的變更。 當您儲存檢視時,會同時儲存篩選和數據行。 當您載入檢視時,它會載入已儲存的篩選和數據行。

  1. 建立篩選並自定義數據行。

    提示

    如果您想要在任何時間點重新開始,請選取 [ 重設]。 若要變更您已自定義的數據行,請選取 [ 重設數據行]

  2. 當您擁有所需的篩選條件時,請選取 [ 儲存此檢視],輸入檢視的名稱,然後選取 [ 儲存]

    注意事項

    檢視名稱的最大長度為 40 個字元,而且您無法使用任何特殊字元。

  3. 若要稍後重複使用篩選的檢視,請選取 [ 檢視],然後從 [建議的 檢視 ] 索引卷標中選取您要開啟的檢視, (顯示最常使用的檢視) 或 [ 自定義檢視] 索引卷標 (最常使用的篩選器會顯示在清單) 的頂端。

當您以這種方式選取檢視時,它會重設所有現有的篩選條件,並將其取代為您選取的檢視。

警示狀態和嚴重性

注意事項

內部風險管理使用內建警示節流,協助保護和最佳化您的風險調查與檢閱體驗。 此節流可防範可能導致原則警示多載的問題,例如設定錯誤的數據連接器或數據外洩防護原則。 因此,系統可能會延遲顯示使用者的新警示。

您可以將警示分級為下列其中一個狀態:

  • 已確認:已確認並指派給新案例或現有案例的警示。
  • 已關閉:警示在分級程式中關閉為良性。 您可以提供警示關閉的原因,並包含使用者警示歷程記錄中可用的附註,以提供未來參考或其他檢閱者的其他內容。 原因可能包括預期的活動、非實際事件、只減少使用者的警示活動數目,或與警示附註相關的原因。 原因分類選擇包括 此使用者預期的活動活動的影響足以讓我進一步調查,而 此使用者的警示包含太多活動
  • 需要檢閱:尚未採取分級動作的新警示。
  • 已解決:屬於已關閉和已解決案例一部分的警示。

警示風險分數會自動從數個風險活動指標計算。 這些指標包括風險活動類型、活動發生次數和頻率、用戶風險活動的歷程記錄,以及增加可能會提升潛在風險活動嚴重性的活動風險。 警示風險分數會驅動以程序設計方式指派每個警示的風險嚴重性層級,而且無法自定義。 如果警示仍未受試,且風險活動繼續累積到警示,則風險嚴重性層級可能會增加。 風險分析師和調查人員可以使用警示風險嚴重性,協助根據貴組織的風險原則和標準來分級警示。

警示風險嚴重性層級為:

  • 高嚴重性:警示的潛在風險活動和指標會造成重大風險。 相關聯的風險活動是嚴重、重複且強烈地與其他重大風險因素相關聯。
  • 中度嚴重性:警示的潛在風險活動和指標會造成中等風險。 相關聯的風險活動為中度、頻繁,且與其他風險因素有一些相關。
  • 低嚴重性:警示的潛在風險活動和指標會造成輕微風險。 相關聯的風險活動是次要、較不頻繁,而且不會成為其他重大風險因素的核心。

關閉多個警示 (預覽)

這有助於節省分析人員和調查人員一次立即關閉多個警示的分級時間。 [ 關閉警示 ] 命令行選項可讓您選取儀錶板上具有 [ 需要檢閱 ] 狀態的一或多個警示,並在您的分級程式中將這些警示快速關閉為良性。 您一次最多可以選取 400 個警示來關閉。

解除內部風險警示

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取具有 [ 需要檢閱 ] 狀態的警示 (或警示) 。
  5. 在 [警示] 命令行上,選取 [ 解除警示]
  6. 在 [ 關閉警示 詳細數據] 窗格中,檢閱與所選警示相關聯的使用者和原則詳細數據。
  7. 取 [關閉警示] 以將警示解析為良性。

警示報告

若要查看警示的報告,請移至 [ 報告 ] 頁面。 [報表 ] 頁面上的 每個報表小工具都會顯示過去 30 天的資訊:

  • 需要檢閱的警示總數:列出需要檢閱和分級的警示總數,包括依警示嚴重性細分。
  • 開啟過去 30 天的警示:過去 30 天內原則相符專案所建立的警示總數,依高、中、低警示嚴重性層級排序。
  • 解決警示的平均時間:實用警示統計數據的摘要:
    • 解決高嚴重性警示的平均時間,以小時、天或月列出。
    • 解決中嚴重性警示的平均時間,以小時、天或月列出。
    • 解決低嚴重性警示的平均時間,以小時、天或月列出。

指派警示

如果您是系統管理員,且您是 測試人員風險管理測試人員風險管理分析師測試人員風險管理調查人員 角色群組的成員,您可以將警示的擁有權指派給自己或具有其中一個相同角色的測試人員風險管理使用者。 指派警示之後,您也可以將警示重新指派給具有任何相同角色的使用者。 您一次只能將警示指派給一位系統管理員。

注意事項

如果您的原則 受限於一或多個管理單位,則警示的擁有權只能提供給具有適當角色群組許可權的內部風險管理使用者,而警示中醒目提示的用戶必須位於系統管理單位的範圍內。 例如,如果系統管理範圍只適用於德國的使用者,則內部風險管理使用者只能看到德國使用者的警示。 不受限制的系統管理員可以查看組織中所有使用者的所有警示。

指派系統管理員之後,您可以由系統管理員進行搜尋。

注意事項

警示指派不支援包含在 Microsoft Entra 安全組內的系統管理員。 系統管理員必須直接指派給其中一個必要角色。

如果您使用自定義群組,請確定自定義群組包含 案例管理 角色測試人員風險管理分析師測試人員風險管理調查人員角色群組都包含案例管理角色,但如果您使用自定義群組,則必須明確地將案例管理角色新增至群組。

從警示儀錶板指派警示

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要指派的警示 () 。
  5. 在警示佇列的命令行中,選取 [ 指派]
  6. 在畫面右側的 [ 指派擁有者 ] 窗格中,搜尋具有適當許可權的系統管理員,然後選取該管理員的複選框。
  7. 選取 [指派]

從 [警示詳細數據] 頁面指派警示

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 選取警示。
  5. 在警示的詳細數據窗格中,選取頁面右上角的 [ 指派]
  6. 在 [ 建議的聯繫人 ] 列表中,選取適當的系統管理員。

建立警示的案例

如果您想要進一步調查有風險的活動,您可以建立警示的案例。

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您想要確認的警示,並建立新的案例。
  5. 在 [ 警示詳細數據] 窗格中,選取 [ 動作>確認警示 & 建立案例]
  6. 在 [ 確認警示並建立測試人員風險案例 ] 對話框中,輸入案例的名稱,選取要新增為參與者的使用者,然後視情況新增批注。 批注會自動新增至案例做為案例注意事項。
  7. 取 [建立案例 ] 以建立新案例。

建立案例之後,調查人員和分析師可以管理和處理案例。 如需詳細資訊,請參閱 測試人員風險管理案例 一文。

保留期和專案限制

隨著測試人員風險管理警示的存留期,其將潛在風險活動降到最低的價值,對大部分組織而言會降低。 相反地,作用中案例和相關聯的成品 (警示、深入解析、活動) 一律對組織而言很有價值,而且不應該有自動到期日。 這包括所有與使用中案例相關聯之用戶處於作用中狀態的所有未來警示和成品。

為了協助將提供有限目前值的較舊項目數目降至最低,下列保留和限制適用於內部風險管理警示、案例和用戶報告:

項目 保留/限制
具有需求檢閱狀態的警示 警示建立后 120 天,然後自動刪除
作用中案例 (和相關聯的成品) 無限期保留,永不過期
已解決案例 (和相關聯的成品) 從案例解決開始 120 天,然後自動刪除
使用中案例數目上限 100
用戶活動報告 從建立報表 120 天,然後自動刪除

管理您的警示的最佳做法

檢閱、調查及處理潛在風險的內部人員警示,是將組織中內部風險降至最低的重要部分。 快速採取動作以將這些風險的影響降至最低,可能會為您的組織節省時間、金錢,以及法規或法律影響。 瞭解管理測試人員風險管理警示佇列的最佳做法

另請參閱