建立自訂內部風險管理原則

  • 10 分鐘

內部風險管理原則可協助組織偵測及回應內部活動所造成的潛在風險。 這些原則是針對特定風險案例量身打造,例如資料竊取、資料外洩或安全性違規。 建立和管理自訂原則可有效地確保貴組織在尊重隱私權的同時,主動解決內部風險。

內部風險管理原則概觀

內部風險管理原則會定義使用者的範圍,以及產生警示的活動類型。 原則包括可識別潛在風險行為的條件、閾值和風險指標。

這些原則的主要功能:

  • 原則範本:專為特定風險案例量身打造的預先定義設定。
  • 可自訂的指標:偵測各種活動,例如資料外流或原則違規。
  • 風險評分:根據活動和優先內容指派風險分數。
  • 依據設計的隱私權:包括擬匿名化和角色型存取控制。

原則可以套用至整個組織,或限定於特定使用者、群組或內容類型。

建立自訂內部風險管理原則的步驟

請遵循下列步驟來建立新的內部風險管理原則:

1.選取原則範本

原則範本提供一個起點,可用來設定針對特定風險案例量身打造的自訂原則,例如離職使用者或安全性原則違規的資料竊取。 選擇符合組織需求的範本。

  1. 使用具有內部風險管理適當權限的認證,登入 Microsoft Purview 入口網站

  2. 瀏覽至 [解決方案]>[內部風險管理]>[原則]

  3. 選取 [建立原則]>[自訂原則]

  4. 檢閱可用的範本,然後選擇一個範本。 確認您符合所列的任何必要條件,例如設定 HR 連接器或整合適用於端點的 Microsoft Defender。

    顯示內部風險管理中可用原則範本的螢幕擷取畫面。

  5. 選取下一步以繼續。

2.定義原則詳細資料

在 [為原則命名] 頁面上,提供原則的名稱和描述:

  • 名稱:使用描述性名稱,例如「防止離職使用者的資料遺失」。
  • 描述:或者,描述原則的目的及其解決的風險。

顯示建立內部風險原則時 [為原則命名] 畫面的螢幕擷取畫面。

選取下一步以繼續。

3.界定使用者和群組的範圍

在 [選擇使用者、群組和調適型範圍] 頁面上,定義原則涵蓋的使用者或群組:

  • 所有使用者、群組和調適型範圍:整個組織的廣泛涵蓋範圍。
  • 特定使用者、群組和調適型範圍:將範圍縮小到個人或小組。
  • 排除使用者或群組 (選擇性) (預覽):指定排除項目,例如主管或特定部門。

注意

如果您選取 [所有使用者、群組和調適性範圍],[排除使用者和群組 (選擇性) (預覽)] 頁面便會出現。 使用此頁面來排除原則範圍中的特定使用者或群組。 例如,您可能會排除主管層級職位或特定部門。

如果您的組織使用調適型範圍優先使用者群組,則可以將這些範圍包含在原則中。

4.設定內容優先順序 (選擇性)

  1. 在 [決定是否設定內容優先順序] 頁面上,選擇下列其中一個選項:

    • 我想設定內容的優先順序:啟用優先順序,將較高風險分數指派給涉及特定內容類型的活動。
    • 我不想立即設定內容的優先順序:略過此原則的優先順序。 不會根據內容對風險分數套用任何變更。

  2. 如果您選取 [我想設定內容的優先順序],則可以設定原則來排定特定內容類型的優先順序:

    • SharePoint 網站:指定重要網站來偵測與活動相關的潛在風險。
    • 敏感度標籤:選擇標籤,例如「機密」或「高度機密」。
    • 敏感性資訊類型:選取預先定義或自訂的敏感性資訊類型 (例如,社會安全號碼或信用卡號碼)。
    • 副檔名:定義最多 50 個副檔名來排定優先順序 (例如,.docx、.pdf)。
    • 可訓練的分類器:選取最多五個分類器,以排定與特定模式相關聯的活動優先順序,例如原始程式碼或財務資料。

  3. 若要完成設定,請選取您想要排定優先順序的特定 SharePoint 網站、標籤、敏感性資訊類型、副檔名或可訓練的分類器。 這些設定可確保涉及此內容的活動獲指派較高的風險分數,增加產生高嚴重性警示的可能性。

    螢幕擷取畫面顯示建立內部風險管理原則時要排定優先順序的內容。

5.定義原則觸發程序

在 [選擇此原則的觸發事件] 頁面上,定義將使用者帶入原則範圍的條件。 可用的觸發程序取決於選取的範本:

  • [資料外洩] 或 [依優先使用者的資料外洩]:使用 [使用者符合資料外洩防護 (DLP) 原則] 觸發程序,以根據 DLP 比對的原則。
  • [資料竊取] 或 [依風險性使用者的資料竊取]:使用 [使用者執行外流活動] 觸發程序來指定活動,例如從外部下載或共用檔案。
  • 風險性使用者違反安全性原則:選取 [通訊合規性中的風險觸發程序 (預覽)],以包含已標幟的使用者。
  • 離職使用者的資料竊取:啟用 [HR 資料連接器事件] 觸發程序,根據 HR 回報的事件來指派使用者,例如辭職或終止契約日期。

注意

可用的觸發程序取決於選取的範本。 如果無法使用所需的觸發程序,請使用 [開啟指標] 提示,確定已在組織的設定中啟用它。

螢幕擷取畫面顯示在內部風險管理中定義原則觸發程序的位置。

6.設定原則指標

  1. 在 [指標] 頁面上,定義原則將偵測已指派使用者的活動。 從可用的類別中選取,例如:

    • Office 指標:檔案下載、共用和編輯。
    • 裝置指標:USB 使用量、檔案傳輸或列印。
    • 瀏覽指標:瀏覽受限制或惡意的網站。

  2. 在 [偵測選項] 頁面上,如果適用,請啟用進階偵測功能:

    • 順序偵測:識別相關風險活動的模式 (例如,檔案下載以及之後的外部共用)。
    • 累計外流偵測:偵測一段時間內異常高的活動層級。
    • 風險分數提升器:放大特定指標的風險分數。

  3. 在 [選擇指標的閾值類型] 頁面上,定義原則所產生的警示敏感度:

    • 套用 Microsoft 所提供的閾值:自動套用所選指標的預先設定閾值。
    • 選擇您自己的閾值:調整閾值以符合組織的風險承受能力或優先順序。
    • 針對特定指標,相較於使用者的一般行為,您可以根據異常活動來選擇閾值。

重要

如果某些指標無法選取,請確定它們已在內部風險管理設定中啟用。

7.檢閱並提交

檢閱原則詳細資料,以確保所有設定正確無誤:

  • 確認範本和範圍。
  • 確認已排定優先順序的內容和指標。
  • 解決任何警告或建議。

完成這些步驟以建立您的第一個內部風險管理原則之後,您將會在大約 24 小時後開始收到來自活動指標的警示。