設定內部風險管理的設定

  • 8 分鐘

Microsoft Purview 內部風險管理可讓組織藉由偵測潛在的有害活動來識別並降低內部風險。 設定是此解決方案的基礎部分,會定義如何在整個組織中對風險進行偵測、評分及管理。 了解這些設定及其運作方式,可確保您的原則符合組織需求,同時減少不必要的警示和雜訊。

內部風險管理設定的運作方式

內部風險管理設定會全域運作,不論您選擇的範本為何,都會影響所有原則。 這些設定可讓您:

  • 自訂如何對使用者活動進行分析和評分。
  • 優先評估特定使用者或群組的活動。
  • 確保符合隱私權和資料處理需求。
  • 藉由改進偵測準則來減少誤判。

量身打造這些設定,您即可專注於與組織最相關的風險,同時維持營運效率。

了解內部風險管理設定

內部風險管理設定會提供可設定的工具,以符合貴組織獨特的合規性和安全性需求。 這些設定會全域套用到所有原則,並協助微調偵測、評分和警示機制。

若要存取並設定這些設定:

  1. 登入 Microsoft Purview 入口網站
  2. 請選取 [設定]>[內部風險管理]
  3. 請選取您想要設定的設定類別。

隱私權

請選擇警示和案例中的使用者名稱為匿名或顯示。 將使用者名稱匿名可協助組織在調查期間維護員工隱私權。

原則指標

啟用並調整追蹤下載敏感性檔案或轉寄電子郵件等活動的指標。 設定這些指標的閾值可確保警示會反映組織的風險承受能力。

偵測群組

建立偵測群組,將特定閾值或準則套用至不同的使用者集合。 例如,您可以為高風險角色的使用者指派更多量身打造的閾值,例如 IT 系統管理員或主管。

全域排除項目 (預覽)

將特定使用者、群組或活動排除在原則偵測之外。 例如,可以排除服務帳戶或例行系統管理工作,以減少不必要的警示。

原則時間範圍

定義觸發原則時要檢閱活動的時段。 此設定可讓組織專注於相關的活動期間,例如原則違規後的 30 天。

智慧型偵測

使用智慧型偵測來識別不尋常的活動、調整警示磁碟區,並納入適用於端點的 Microsoft Defender 等外部工具的警示。 此設定也可讓組織優先處理與特定網域或活動相關的風險。

優先注意使用者群組

將較高風險評分閾值指派給關鍵角色或具有提高權限的使用者。 例如,具有敏感性資料存取權的使用者可能需要更詳細的活動評估。

優先順序實體資產

識別和追蹤與敏感性位置相關的活動,例如資料中心或安全設施。 將此活動與其他使用者事件相互關聯可提供額外的風險深入解析。

通知

設定系統管理員和其他內部風險管理角色群組的電子郵件通知。 您可以針對新的警示、未解決的警告或高嚴重性案例觸發通知。

資料共用

啟用警示匯出至 SIEM 或 SOAR 平台等外部工具。 使用 Office 365 管理活動 API,此整合可讓您集中進行警示彙總和調查。

分析

執行分析掃描,以評估風險趨勢,並在建立原則之前識別潛在的關注領域。 此功能無需原則部署即可提供深入解析。

內置提醒自訂

直接從 [警示儀表板] 調整原則的閾值。 此功能可根據警示的具體情況即時調整偵測準則。

Power Automate 流程 (預覽)

使用 Power Automate 流程自動執行案例更新或張貼案例筆記等工作。 這可以簡化工作流程,並在調查期間提高效率。

Microsoft Teams

讓私人 Teams 頻道能夠促進調查人員之間的共同作業。 Teams 可用於安全地共用證據、協調動作和追蹤回應。

設定內部風險設定

請遵循下列步驟來有效地進行設定:

  1. 定義組織目標:識別組織想要解決的內部風險類型,例如資料外流或濫用敏感性資訊。
  2. 調整隱私權設定:根據組織的隱私權和合規性需求來決定是否在案例和警示中將使用者名稱匿名。
  3. 執行分析掃描:使用分析來取得對整個組織潛在風險的深入解析,並在部署原則之前微調您的設定。
  4. 啟用相關指標:選取符合組織已識別風險的指標,並設定適當的閾值,以將不必要的警示降到最低。
  5. 建立偵測群組:針對高風險使用者或部門量身打造閾值,以確保準確且專注的風險評分。
  6. 建立系統管理員通知:設定通知,讓重要的利害關係人知道高優先順序的警示和案例。
  7. 與外部工具整合:如有需要,請設定匯出設定,以將警示資料傳送至 SIEM 或 SOAR 平台。
  8. 測試和改進設定:定期檢閱警示、調整閾值,並隨著組織需求的發展更新設定。

設定之後,您即可將內部風險管理與其他工具和資料來源整合,以擴充其功能。 這些整合有助於增強偵測、改進原則,以及簡化調查。