共用方式為


對內部風險管理案例採取動作

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

案例是內部風險管理的核心,可讓您深入調查並處理原則中定義的風險指標所產生的問題。 在需要採取進一步動作來解決使用者的合規性相關問題的情況下,會從警示手動建立案例。 每個案例的範圍都是單一使用者,而使用者的多個警示可以新增至現有案例或新案例。

調查案例的詳細數據之後,您可以採取下列動作:

  • 傳送通知給使用者
  • 以良性方式解決案例
  • 與您的 ServiceNow 實例或電子郵件收件者共用案例
  • 將電子檔探索案例呈報 (進階) 調查

如需如何在 內部風險管理 中調查和管理案例的概觀,請參閱測試人員風險管理調查和呈報影片。

提示

開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

案例儀錶板

提示

若要查看案例的報告,請移至 [ 報告] 頁面。 [報表 ] 頁面上的 每個報表小工具都會顯示過去 30 天的資訊:

  • 使用中案例:受調查的作用中案例總數。
  • 過去 30 天的案例:建立的案例總數,依 [ 作用 中] 和 [ 已關閉 ] 狀態排序。
  • 統計數據:使用中案例的平均時間,以小時、天或月為單位列出。

測試人員風險管理 案例儀錶板 可讓您檢視和處理案例。 除了下列案例屬性的目前狀態之外,案例佇列還會列出貴組織的所有作用中和已關閉案例:

  • 案例標識碼:案例的標識碼。
  • 案例名稱:案例的名稱,在確認警示並建立案例時定義。
  • 狀態:案例的狀態為 [作用中] 或 [已關閉]
  • 使用者:案例的使用者。 如果啟用使用者名稱的匿名,則會顯示匿名資訊。
  • 開啟的時間案例:開啟案例之後所經過的時間。
  • 原則警示總數:案例中包含的原則相符項目數目。 如果在案例中新增新的警示,此數目可能會增加。
  • 案例上次更新時間:在案例狀態中新增案例附註或變更之後所經過的時間。
  • 上次更新者:上次更新案例的內部風險管理分析師或調查人員名稱。

注意事項

如果您的原則 受限於一或多個管理單位,則只能將案例的擁有權授與具有適當角色群組許可權的內部風險管理使用者,且警示中醒目提示的用戶必須位於系統管理單位的範圍內。 例如,如果系統管理範圍只適用於德國的使用者,則內部風險管理使用者只能看到德國使用者的警示。 不受限制的系統管理員可以查看組織中所有使用者的所有案例。

使用 搜尋 控件來搜尋案例標識碼,或搜尋案例名稱中的特定文字。 使用案例篩選來依下列屬性排序案例:

  • 狀態
  • 案例開啟時間、開始日期和結束日期
  • 上次更新日期、開始日期和結束日期

指派案例

如果您是具有適當許可權的系統管理員,您可以將案例的擁有權指派給自己,或指派給具有測試人員風險管理、測試人員風險管理分析師或測試人員風險管理管理角色的內部風險管理使用者。 指派案例之後,您也可以將它重新指派給具有任何相同角色的使用者。 您一次只能將案例指派給一位系統管理員。

如果系統管理員指派給案例,您可以依系統管理員進行篩選。

從案例儀錶板指派案例

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 在 [ 案例] 儀錶板上,選取您要指派的案例 () 。
  5. 在案例佇列上方的命令行中,選取 [ 指派]
  6. 在畫面右側的 [ 指派擁有者 ] 窗格上,搜尋具有適當許可權的系統管理員,然後選取該管理員的複選框。
  7. 選取 [指派]

從 [案例詳細數據] 頁面指派案例

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例。
  5. 在案例的詳細數據窗格中,選取 [ 指派]
  6. 在 [ 建議的聯繫人 ] 列表中,選取適當的系統管理員。

篩選案例

視組織中作用中的內部風險管理原則數目和類型而定,檢閱大量案例佇列可能會是一項挑戰。 使用案例篩選可協助分析師和調查人員依數個屬性排序案例。 若要篩選 [案例] 儀錶板上的警示,請選取 [篩選] 控件。 您可以依一或多個屬性來篩選案例:

  • 狀態:選取一或多個狀態值來篩選案例清單。 選項為 [ 作用中 ] 和 [ 已關閉]
  • 開啟的時間案例:選取開啟案例的開始和結束日期。
  • 上次更新時間:選取案例更新時的開始和結束日期。

篩選案例、儲存篩選集的檢視、自定義數據行,或搜尋警示

視組織中作用中的內部風險管理原則數目和類型而定,檢閱大量案例佇列可能會是一項挑戰。 若要協助您追蹤案例,您可以:

  • 依各種屬性篩選案例。
  • 儲存篩選集的檢視以供稍後重複使用。
  • 顯示或隱藏資料行。
  • 搜尋警示。

篩選案例

  1. 選取 [新增篩選]

  2. 選取下列一或多個屬性:

    屬性 描述
    指派給 指派警示的系統管理員,如果已指派) ,則會將警示指派給 (。
    上次更新案例 上次更新案例的開始和結束日期。
    狀態 案例的目前狀態。 選項為 [ 作用中 ] 和 [ 已關閉]
    開啟的時間大小寫 開啟案例的開始和結束日期。

    您選取的屬性會新增至篩選列。

  3. 在篩選列中選取屬性,然後選取要篩選依據的值。 例如,選取 [ 上次活動日期 ] 屬性,在 [ 開始日期 ] 和 [ 結束日期] 字 段中輸入或選取日期,然後選取 [ 套用]

    提示

    如果您想要在任何時間點重新開始,請選取篩選列上的 [全部重設 ]。

儲存篩選集的檢視以稍後重複使用

  1. 套用上述程式中所述的篩選之後 ,請選 取篩選列上方的 [儲存],輸入篩選集的名稱,然後選取 [ 儲存]

    篩選集會新增為篩選列上方的卡片。 它包含一個數字,顯示符合篩選集中準則的案例計數。

    注意事項

    您最多可以儲存五個篩選集。 如果您需要刪除篩選集,請選取卡片右上角 (三個點) 的省略號,然後選取 [ 刪除]

  2. 若要重新套用已儲存的篩選集,只要選取篩選集的卡片即可。

顯示或隱藏資料行

  1. 在頁面右側,選取 [ 自定義數據行]

  2. 選取或清除您想要顯示或隱藏之資料行 () 複選框。

數據行設定會跨會話和瀏覽器儲存。

搜尋警示

使用 搜尋 控件來搜尋用戶主體名稱, (UPN) 、指派的系統管理員名稱或警示標識符。

調查案例

對內部風險管理警示進行更深入的調查,對於採取適當的更正動作至關重要。 內部風險管理案例是集中管理工具,可深入探討用戶風險活動歷程記錄、警示詳細數據、風險事件的順序,以及探索暴露在風險中的內容和訊息。 風險分析師和調查人員也會使用案例來集中檢閱意見反應和附註,以及處理案例解決。

選取案例會開啟案例管理工具,並允許分析師和調查人員深入調查案例詳細資料。

案例概觀

[ 案例概觀] 索引標籤會摘要說明風險分析師和調查人員的案例詳細數據。 其中包含關於 此案例 區域中的下列資訊

  • 案例標識碼:案例的標識碼。
  • 狀態:案例的目前狀態為 [作用中] 或 [已關閉]。
  • 案例建立日期:建立案例的日期和時間。
  • 用戶的風險分數:案例使用者目前的計算風險層級。 此分數會每隔 24 小時計算一次,並使用與使用者相關聯之所有作用中警示的警示風險分數。 在測試人員風險管理設定頁面的 [原則指標] 區段中,當偵測到使用者為潛在高影響使用者使用者是優先順序使用者群組風險提升器的成員時,[使用者詳細數據] 頁面會包含使用者計算風險層級的詳細資訊。
  • Email:案例用戶的電子郵件別名。
  • 組織或部門:指派用戶的組織或部門。
  • 管理員名稱:使用者的管理員名稱。
  • 管理員電子郵件:用戶經理的電子郵件別名。

測試人員風險管理案例詳細數據

[ 案例概觀] 索引標籤也包含 [ 警示 ] 區段,其中包含與案例相關聯之原則比對警示的下列資訊:

  • 原則相符專案:與可能造成安全性事件之潛在風險用戶活動之比對警示相關聯的測試人員風險管理原則名稱。
  • 狀態:警示的狀態。
  • 嚴重性:警示的嚴重性。
  • 偵測到的時間:產生警示之後所經過的時間。

警示

[ 警示] 索引 標籤會摘要說明案例中包含的目前警示。 新的警示可能會新增至現有的案例,並在指派警示時新增至 警示 佇列。 佇列中會列出下列警示屬性:

  • 提醒
  • 警示標識碼
  • 狀態
  • 嚴重性
  • 偵測時間

從佇列中選取警示,以顯示 [ 警示詳細數據 ] 頁面。

使用搜尋控件來搜尋警示標識碼,或搜尋警示名稱中的特定文字。 使用警示篩選器,依下列屬性排序案例:

  • 狀態
  • 嚴重性
  • 偵測到的時間、開始日期和結束日期

使用篩選控件依數個屬性篩選警示,包括:

  • 狀態:選取一或多個狀態值來篩選警示清單。 選項包括已確認已解除需要檢閱以及已解決
  • 嚴重性:選取一或多個警示風險嚴重性層級來篩選警示清單。 選項包括
  • 偵測到的時間:選取警示建立時的開始和結束日期。
  • 原則:選取一或多個原則來篩選所選原則所產生的警示。

使用者活動

[ 用戶活動] 索引卷標可讓風險分析師和調查人員檢閱用戶活動詳細數據,並使用與風險警示和案例相關聯之所有潛在風險活動的可視化表示法,判斷這些具風險的活動是否可能導致安全性事件。 例如,在警示分級程式中,分析師可能需要檢閱與案例相關聯的所有風險活動,以取得詳細數據。 在案例中,風險調查人員可以檢閱用戶活動詳細數據和泡泡圖,以協助瞭解與案例相關聯的風險活動整體範圍。 如需用戶活動圖表的詳細資訊,請參閱 測試人員風險管理活動 一文。

活動總管 (預覽)

[ 活動總管] 索引標籤 可讓風險分析師和調查人員檢閱與風險警示相關聯的案例活動詳細數據。 例如,在案例管理動作中,調查人員和分析師可能需要檢閱與案例相關聯的所有風險活動,以取得詳細數據。 透過 活動總管,檢閱者可以快速檢查偵測到潛在風險活動的時間軸,並識別並篩選與警示相關聯的所有風險活動。

如需活動總管的詳細資訊,請參閱 測試人員風險管理活動 一文。

鑑識辨識項

[ 鑑識辨識辨識項 ] 索引卷標可讓風險調查人員檢閱與案例中包含的風險活動相關聯的視覺擷取。 例如,在案例管理動作中,調查人員可能需要協助釐清受檢閱的用戶活動內容。 檢視活動的實際剪輯可協助調查人員判斷用戶活動是否具有潛在風險,並可能導致安全性事件。

如需鑑識辨識項的詳細資訊,請參 閱瞭解內部風險管理鑑識辨識項 一文。

內容總管

[ 內容總管] 索引 標籤可讓風險調查人員檢閱與風險警示相關聯之所有個別檔案和電子郵件訊息的複本。 例如,如果在使用者從 SharePoint Online 下載數百個檔案且活動觸發原則警示時建立警示,則會擷取警示的所有下載檔,並從原始記憶體來源複製到測試人員風險管理案例。

內容總管是功能強大的工具,具有基本和進階的搜尋和篩選功能。 若要深入瞭解如何使用內容總管,請參閱 測試人員風險管理內容總管

測試人員風險管理案例內容總管。

案例附註

案例中的 [案例注意事項 ] 索引卷標是風險分析師和調查人員分享有關其案例工作意見、意見反應和深入解析的地方。 附註是案例的永久新增專案,無法在儲存記事之後加以編輯或刪除。 從警示建立案例時,在確認警示和建立內部風險案例對話方塊中輸入的註解會自動新增為案例備註。

案例備忘稿儀錶板會顯示使用者建立記事的附註,以及儲存記事後所經過的時間。 若要搜尋特定關鍵詞的案例附註文字欄位,請在案例儀錶板上使用 [搜尋 ],然後輸入特定的關鍵詞。

新增案例附注

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例,然後選取 [案例注意事項] 索引標籤
  5. 取 [新增案例注意事項]
  6. 在 [ 新增案例附注 ] 對話框中,輸入附註。
  7. 取 [儲存 ] 將附註新增至案例。

參與者

風險分析師和調查人員可以將其他審查者新增至案例中的參與者索引標籤。 根據預設,指派測試 人員風險管理調查人員測試人員風險管理 角色的所有用戶都會列為每個作用中和已結案案例的參與者。

您可以藉由將使用者新增為參與者來授與案例的暫時存取權,但有下列限制:

  • 分析師和調查人員可以新增參與者
  • 分析師無法新增為參與者
  • 參與者無法新增參與者

參與者擁有特定案例的所有案例管理控制,但下列專案除外:

  • 確認或關閉警示的權限
  • 編輯案例參與者的權限

將參與者新增至案例

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例,然後選取 [ 參與者] 索引標籤
  5. 選取 [新增參與者]
  6. 在 [ 新增參與者 ] 對話框中,開始輸入您要新增的使用者名稱,然後從建議的使用者清單中選取使用者。 此清單是從租用戶訂用帳戶的 Microsoft Entra ID 產生。
  7. 取 [新增 ] 以將使用者新增為參與者。

案例動作

風險調查人員可以根據案例的嚴重性、用戶的風險歷程記錄,以及貴組織的風險指導方針,以數種方法之一對案例採取動作。 在某些情況下,您可能需要向使用者或數據調查呈報案例,以便與組織的其他區域共同作業,並深入探討風險活動。 測試人員風險管理與其他Microsoft Purview 解決方案緊密整合,以協助您進行端對端解析管理。

傳送電子郵件通知

在大部分情況下,建立內部風險警示的用戶動作是無意或意外的。 透過電子郵件傳送提醒通知給用戶是記錄案例檢閱和動作的有效方法,也是提醒使用者公司原則或將其指向重新整理訓練的方法。 您為內部風險管理基礎結構 建立的通知範本會 產生通知。

請務必記住,傳送電子郵件通知給使用者 並不會 將案例解析為 「已關閉」。 在某些情況下,您可能會想要在將通知傳送給用戶之後,讓案例保持開啟,以尋找更多風險活動,而不需開啟新案例。 如果想要在傳送通知後解決案例,您必須在傳送通知後選取解決案例作後續步驟。

將通知傳送給指派給案例的使用者

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例,然後選取案例動作工具列上的 [ 傳送電子郵件通知 ]。
  5. 在 [ 傳送電子郵件通知 ] 對話框中,選取 [選擇通知範本 ] 下拉式控件,以選取通知的通知範本。 此選取項目會預先填入通知中的其他欄位。
  6. 檢視通知欄位,並視需要更新。 輸入的值將會覆寫範本中的值。
  7. 取 [傳送 ] 以將通知傳送給使用者。 所有已傳送的通知都會新增至案例備忘稿儀錶板上的 案例備忘 稿佇列。

呈報調查

針對用戶的風險活動需要額外的法律檢閱時,呈報用戶調查案例。 此呈報會在您的 Microsoft 365 組織中開啟 (Premium) 案例的新 Microsoft Purview 電子文件探索。 電子文件探索 (進階版) 提供端對端工作流程,可讓您保留、收集、檢閱、分析及匯出回應您組織內部及外部法律調查的內容。 此外也可讓您的法律小組管理整個法務保存措施工作流程,以與涉及案例的監管人通訊。 從內部風險管理案例升級至電子檔探索 (進階) 案例,可協助您的法律小組採取適當的動作並管理內容保留。 若要深入瞭解 eDiscovery (Premium) 案例,請參閱 Microsoft Purview 電子文件探索 (Premium) 概觀

將案例呈報給用戶調查

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例,然後選取 [ 呈報] 以在 案例動作工具列上進行調查。
  5. 在 [ 呈報調查 ] 對話框中,輸入新使用者調查的名稱。 如有需要,請輸入案例的相關附注,然後選取 [ 呈報]
  6. 檢視通知欄位,並視需要更新。 輸入的值將會覆寫範本上的值。
  7. 選取 [確認 ] 以建立用戶調查案例。

將測試人員風險管理案例呈報至新的用戶調查案例之後,您可以在 Microsoft Purview 入口網站的>電子檔探索階區域中檢閱新案例。

針對案例使用Power Automate流程執行自動化工作

使用建議的Power Automate流程,風險調查人員和分析師可以快速採取行動:

  • 在內部風險案例中向 HR 或企業要求使用者的相關信息。
  • 當用戶有測試人員風險警示時通知管理員。
  • 在 ServiceNow 中建立測試人員風險管理案例的記錄。
  • 將使用者新增至內部風險原則時通知使用者。

若要執行、管理或建立內部風險管理案例的Power Automate 流程:

  1. 選取案例動作工具列上的 [自動化 ]。
  2. 選擇要執行的 Power Automate 流程,然後選取 [ 執行流程]
  3. 流程完成之後,選取 [ 完成]

若要深入瞭解適用於內部風險管理的Power Automate流程,請參閱 開始使用內部風險管理設定

檢視或建立案例的Microsoft Teams 小組

當Microsoft在設定中啟用測試人員風險管理的Teams整合時,每次確認警示並建立案例時,都會自動建立MicrosoftTeams小組。 風險調查人員和分析師可以快速開啟 Microsoft Teams,然後在案例動作工具列上選取 [ 檢視Microsoft Teams 小組 ],直接流覽至小組瞭解案例。

對於啟用Microsoft小組整合之前開啟的案例,風險調查人員和分析師可以在案例動作工具欄上選取 [建立Microsoft Teams 小組],為案例建立新的 Microsoft Teams 小組

解決案例時,相關聯的Microsoft小組會自動封存 (隱藏,並變成只讀) 。

若要深入瞭解Microsoft Teams 以進行內部風險管理,請參閱 開始使用測試人員風險管理設定

解決案例

風險分析師和調查人員完成其檢閱和調查之後,可以解決案例,以處理目前包含在案例中的所有警示。 解決案例會新增解決分類、將案例狀態變更為 [已關閉],並將解決動作原因自動新增至 案例備忘 稿儀錶板上的案例備忘稿佇列。 案例解決之後,會標示為以下兩種狀態:

  • 良性:原則相符警示評估為低風險、非嚴重或誤判的情況分類。
  • 已確認的原則違規:原則相符警示的分類會評估為有風險、嚴重或惡意意圖的結果。

解決案例

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [案例]。
  4. 選取案例,然後在案例動作工具欄上選取 [解決案例 ]。
  5. 在 [ 解決案例 ] 對話框中,選取 [ 解析為 ] 下拉式清單控件,以選取案例的解析分類。 這些選項為 [良性 ] 或 [已確認的原則違規]
  6. 在 [ 解決案例 ] 對話框的 [動作 採取 的文字] 字段中,輸入解析分類的原因。
  7. 取 [解決 ] 以關閉案例。