在內部風險管理中使用報告
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
使用 Microsoft Purview 內部風險管理 中的報告來瞭解測試人員風險計劃的情境。 報告會針對與內部風險相關的所有領域提供更深入的見解和摘要資訊,包括警示、案例、用戶活動,以及跨Microsoft服務的合格風險活動所產生的分析,以協助識別潛在風險區域的深入解析。
在 Microsoft Purview 入口網站中瀏覽至測試人員風險管理>報告,即可取得下列報告:
- 警示 (預覽) :檢視所產生警示 的趨勢 、一段時間對警示採取的動作,以及依原則發出的警示。
- 分析:檢視在組織中偵測到的匿名用戶活動 摘要 。
- 案例 (預覽) :檢視已建立案例 的趨勢 、隨時間對案例採取的動作,以及原則和區域的案例狀態。
- 用戶活動:檢閱最近的 用戶活動,無論使用者是否包含在原則或警示中。
使用報告
若要開始並檢視測試人員風險管理報告,您必須是適用角色或角色群組的成員。 檢視警示和案例報告的許可權需求不同,以及檢視報表以進行分析所需的許可權。 如果您的組織使用管理單位,這些報告的存取權可能會有所不同。 如需詳細資訊,請參閱:
自訂圖表
針對每個報表區域,預先定義的報表篩選控件和日期選取器可用來協助您快速將深入解析的範圍限定在特定準則或日期範圍。 針對每個區域選取頁面頂端的篩選條件,以快速將區域中的所有報表範圍設定為篩選設定。 針對報告日期,請選取特定月份,或選取 [過去 3 個月 ] 以檢視報表區域的所有數據。
您可能也想要挑選每個報表區域中預設要顯示的報表。 若要自定義每個區域中顯示的報表,請選取 [自定義檢視]。 在 [ 自定義檢視 ] 飛出視窗窗格中,您可以選擇要顯示的報表,以及要在每個區域中隱藏哪些報表。
圖表詳細數據
若要深入瞭解報表中包含的結果,請選 取 [檢視 報表的詳細數據]。 在詳細數據檢視中,您可以使用篩選來設定資訊的範圍,並依日期或原則變更檢視。 若要匯出報表中包含的數據,請選取 [ 匯 出] 以下載報表圖表的影像或具有報表值的 .csv 檔。
預覽 (警示報告)
調查潛在風險的用戶活動是將組織內部風險降至最低的重要第一步。 這些風險可能是從內部風險管理原則產生警示的活動。 警示報告提供警示磁碟區的深入解析、管理警示的進度、常見的警示來源,以及分級所花費的時間。 您可以依 [所有警示]、[已確認的警示] 和 [已關閉的警示] 快速篩選所有警示報告。
| 報告類型 | 報告 | 描述 |
|---|---|---|
| 摘要 | 產生的警示 | 顯示在指定日期範圍內產生的低、中和高嚴重性警示數目。 |
| 警示已採取行動 | 顯示在指定日期範圍內確認為案例或已關閉的警示數目。 | |
| 關閉原因 | 顯示。。。 | |
| 人口 | 具有警示的熱門國家/地區 | 根據使用者所在的國家或地區,顯示為用戶產生的警示數目。 [未指定] 表示其國家或地區未在 Microsoft Entra ID 中指定。 |
| 部門產生的警示 | 根據使用者所處的部門,顯示為用戶產生的警示數目。 未指定表示其部門未在 Microsoft Entra ID 中指定。 | |
| 深入資訊 | 依最上層觸發事件發出的警示 | 根據在指定日期範圍內偵測到的最上層觸發事件,顯示警示數目。 |
| 依產生警示的頂端活動發出警示 | 根據在指定日期範圍內偵測到的最上層活動,顯示警示數目。 | |
| 生產力 | 依指派的警示狀態 | 顯示指派給特定系統管理員的警示數目,並依警示狀態細分。 |
| 平均天數警示位於需求檢閱中 | 顯示警示在指定日期範圍內維持在 [ 需要檢閱 ] 狀態的平均天數。 | |
分析報告
為您的組織完成第一次分析掃描之後, 測試人員風險管理系統管理員 角色群組的成員會自動收到電子郵件通知,並可檢視用戶潛在風險活動的初始深入解析和建議。 除非您關閉組織的分析,否則每日掃描會繼續進行。 系統管理員 Email 會針對組織中第一個潛在風險活動實例之後的分析 (數據外泄、竊取和外泄) 三個範圍內類別提供通知。 Email 通知不會傳送給系統管理員,以進行每日掃描所產生的後續風險管理活動偵測。
注意事項
如果 [分析] 設定已停用,然後重新啟用,則會重設自動電子郵件通知,並將電子郵件通知傳送給 測試人員風險管理系統管理員 角色群組的成員,以取得新的掃描深入解析。
若要檢視組織的潛在風險,請移至 測試人員風險管理>報告>分析。
注意事項
如果組織的掃描未完成,您會看到一則訊息,指出掃描仍在使用中。
如需完成的分析,您會看到組織中探索到的潛在風險,以及解決這些風險的深入解析和建議。 識別的風險和特定深入解析會包含在依區域分組的報告中、 (所有類型 Microsoft Entra 帳戶的用戶總數,包括具有已識別風險的使用者、來賓、系統等) 、這些具有潛在風險活動的使用者百分比,以及建議的內部風險原則,以協助降低這些風險。 報告包括:
- 數據外洩深入解析:針對可能包含意外過度共享組織外部資訊或惡意用戶數據外泄的所有使用者。
- 數據竊取深入解析:對於離職使用者或已刪除 Microsoft Entra 帳戶的使用者,這些帳戶可能包含有風險的組織外部資訊共用,或惡意意圖的使用者竊取數據。
- 熱門外洩深入解析:適用於可能包含在組織外部共享數據的所有使用者。
若要顯示深入解析的詳細資訊,請選 取 [檢視詳細 數據] 以顯示深入解析的詳細數據窗格。 詳細數據窗格包含完整的深入解析結果、內部風險原則建議,以及 建立 原則以快速協助您建立建議的原則。 選 取 [建立原則 ] 會帶您前往原則工作流程,並自動選取與深入解析相關的建議原則範本。 例如,如果分析深入解析適用於 數據竊取 活動,則會在原則工作流程中為您預先選取 數據竊取 原則範本。
案例報告 (預覽)
案例 可讓您深入調查並處理原則中定義的風險指標所產生的問題。 在需要採取進一步動作來解決使用者的合規性相關問題的情況下,會從警示手動建立案例。 案例報告提供案例的趨勢資訊,可協助您追蹤案例類型、案例的目前狀態、依區域或指派的案例等等。 您可以依 [ 所有案例]、[ 已確認的案例] 和 [ 良性案例] 快速篩選所有案例報告。
| 報告類型 | 報告 | 描述 |
|---|---|---|
| 摘要 | 建立的案例 | 顯示指定日期範圍期間產生的案例數目。 |
| 已採取動作的案例 | 顯示在指定日期範圍內具有活動的案例數目。 | |
| 人口 | 具有案例的熱門國家/地區 | 根據使用者所在的國家或地區,顯示為用戶產生的案例數目。 [未指定] 表示其國家或地區未在 Microsoft Entra ID 中指定。 |
| 案例最常用的部門 | 根據使用者所處的部門,顯示為用戶產生的案例數目。 [未指定] 表示其國家或地區未在 Microsoft Entra ID 中指定。 | |
| 生產力 | 依指派的案例狀態 | 顯示指派給特定系統管理員的案例數目,並依警示狀態細分。 |
| 使用中狀態的平均天數 | 顯示案例在指定日期範圍內維持在作用 中狀態的平均 天數。 | |
使用者活動報告
用戶活動報告可讓您檢查特定使用者 (的潛在風險活動,以及) 定義的時間週期,而不需要暫時或明確地將這些活動指派給測試人員風險管理原則。 在大部分的內部風險管理案例中,使用者會在原則中明確定義,而且根據觸發事件) 和與活動相關聯的風險分數,可能會有 (的原則警示。 但在某些情況下,您可能會想要檢查原則中未明確定義之用戶的活動。 這些活動可能適用於您收到使用者和潛在風險活動相關提示的使用者,或通常不需要指派給測試人員風險管理原則的使用者。
在 [測試人員 風險管理設定 ] 頁面上設定指標之後,系統會偵測到與所選指標相關聯之潛在風險活動的用戶活動。 此設定表示使用者偵測到的所有活動都可供檢閱,不論是否有觸發事件或是否建立警示。 報表是以每位用戶為基礎建立,而且可以包含自定義90天期間的所有活動。 不支援相同使用者的多個報表。
檢查潛在風險活動之後,調查人員可以將個別用戶的活動視為良性關閉。 他們也可以與其他調查人員共用或傳送報表連結,或選擇將用戶暫時或明確地 (指派給內部風險管理原則) 。 用戶必須指派給 測試人員風險管理調查人員 角色群組,才能檢視 [用戶活動報告 ] 頁面。
建立用戶活動報告
若要建立用戶活動報告,請完成下列步驟:
- 流覽至 [測試人員風險管理>報告>] [用戶活動]。
- 選 取 [建立用戶活動報告]。
- 選取 開始日期的日期。
- 選取 結束日期的日期。
- 在 [ 使用者] 欄位中,依名稱或用戶主體名稱搜尋一或多個使用者。
- 選 取 [建立報表]。
用戶活動數據可在活動發生約 48 小時後報告。 例如,若要檢閱 12 月 1 日的使用者活動數據,您必須先確定至少經過 48 小時,才能建立報表 (您最早會在 12 月 3 日建立報表) 。
新報告通常最多需要 10 小時,才能準備好供檢閱。 當報表就緒時,[用戶活動報告] 頁面上的 [狀態] 數據行中會顯示 [報表就緒]
檢視用戶活動報告
選取使用者以檢視詳細報告:
選取使用者的 使用者活動報告 包含 [ 用戶活動]、[ 活動總管] 和 [ 鑑識辨識辨識項 ] 索引標籤: