بدء استخدام الأدلة الجنائية لإدارة المخاطر الداخلية

هام

الأدلة الجنائية هي ميزة إضافية للاشتراك في Insider Risk Management تمنح فرق الأمان رؤى مرئية حول حوادث أمان البيانات الداخلية المحتملة، مع تضمين خصوصية المستخدم. تتضمن الأدلة الجنائية مشغلات أحداث قابلة للتخصيص وعناصر تحكم حماية خصوصية المستخدم المضمنة، ما يمكن فرق الأمان من التحقيق بشكل أفضل في مخاطر البيانات الداخلية المحتملة وفهمها والاستجابة لها مثل النقل غير المصرح به للبيانات الحساسة.

تضع المنظمات السياسات المناسبة لنفسها، بما في ذلك الأحداث الخطرة ذات الأولوية القصوى لالتقاط الأدلة الجنائية والبيانات الأكثر حساسية. تكون الأدلة الجنائية متوقفة عن التشغيل بشكل افتراضي، ويتطلب إنشاء النهج تخويلا مزدوجا ويمكن إخفاء أسماء المستخدمين بالاسم المستعار (الذي يتم تشغيله افتراضيا لإدارة مخاطر Insider). يؤدي إعداد النهج ومراجعة التنبيهات الأمنية داخل Insider Risk Management إلى الاستفادة من ضوابط الوصول القوية المستندة إلى الأدوار (RBAC)، ما يضمن أن الأفراد المعينين في المؤسسة يتخذون الإجراءات الصحيحة مع قدرات تدقيق إضافية.

هام

يربط إدارة المخاطر الداخلية في Microsoft Purview إشارات مختلفة لتحديد المخاطر الداخلية الضارة أو غير المقصودة المحتملة، مثل سرقة IP وتسرب البيانات وانتهاكات الأمان. تمكن إدارة المخاطر الداخلية العملاء من إنشاء نهج لإدارة الأمان والتوافق. يتم إنشاء المستخدمين باستخدام الخصوصية حسب التصميم، بشكل افتراضي، ويتم وضع عناصر التحكم في الوصول المستندة إلى الأدوار وسجلات التدقيق للمساعدة في ضمان الخصوصية على مستوى المستخدم.

تكوين الأدلة الجنائية

يشبه تكوين الأدلة الجنائية في مؤسستك تكوين نهج أخرى من قوالب نهج إدارة المخاطر الداخلية. بشكل عام، ستتبع نفس خطوات التكوين الأساسية لإعداد الأدلة الجنائية، ولكن هناك بعض المجالات التي تحتاج إلى إجراءات تكوين خاصة بالميزة قبل البدء في خطوات التكوين الأساسية.

تلميح

إذا لم تكن عميل E5، فاستخدم الإصدار التجريبي من حلول Microsoft Purview لمدة 90 يوما لاستكشاف كيفية مساعدة قدرات Purview الإضافية لمؤسستك في إدارة احتياجات أمان البيانات والامتثال. ابدأ الآن في مركز الإصدارات التجريبية مدخل التوافق في Microsoft Purview. تعرف على تفاصيل حول شروط التسجيل والإختبر.

الخطوة 1: تأكيد اشتراكك وتكوين الوصول إلى تخزين البيانات

قبل البدء في استخدام الأدلة الجنائية، يجب عليك تأكيد اشتراكك في إدارة المخاطر الداخلية وأي وظائف إضافية.

بالإضافة إلى ذلك، ستحتاج إلى إضافة المجال التالي إلى قائمة السماح لجدار الحماية لدعم تخزين التقاط الأدلة الجنائية لمؤسستك:

• compliancedrive.microsoft.com

يتم تخزين عمليات الالتقاط والتقاط البيانات في هذا المجال ويتم تعيينها فقط لمؤسستك. لا توجد مؤسسة Microsoft 365 أخرى لديها حق الوصول إلى لقطات الأدلة الجنائية لمؤسستك.

ملاحظة

يتم تخزين بيانات الأدلة الجنائية في منطقة واحدة حيث يتم تعيين Exchange Online Protection (EOP) أو منطقة التبادل.

الخطوة 2: تكوين الأجهزة المدعومة

يجب إلحاق أجهزة المستخدم المؤهلة لالتقاط الأدلة الجنائية في مدخل التوافق في Microsoft Purview ويجب أن يكون عميل Microsoft Purview مثبتا.

هام

يجمع عميل Microsoft Purview تلقائيا بيانات التشخيص العامة المتعلقة بتكوين الجهاز ومقاييس الأداء. يتضمن ذلك بيانات حول الأخطاء الهامة واستهلاك ذاكرة الوصول العشوائي وفشل العملية وبيانات أخرى. تساعدنا هذه البيانات في تقييم صحة العميل وتحديد أي مشكلات. لمزيد من التفاصيل حول كيفية استخدام البيانات التشخيصية، راجع استخدام البرامج مع الخدمات عبر الإنترنت على شروط منتج Microsoft.

للحصول على قائمة بمتطلبات الجهاز والتكوين، راجع التعرف على الأدلة الجنائية. لإلحاق الأجهزة المدعومة، أكمل الخطوات الموضحة في مقالة نظرة عامة على Windows 10 Windows 11 والأجهزة في Microsoft 365.

لتثبيت عميل Microsoft Purview، أكمل الخطوات التالية:

1. في مدخل التوافق في Microsoft Purview، انتقل إلىتثبيت عميلالأدلة> الجنائية لإدارة> المخاطر الداخلية.

2. حدد تنزيل حزمة المثبت (إصدار x64) لتنزيل حزمة التثبيت لنظام التشغيل Windows.

3. بعد تنزيل حزمة التثبيت، استخدم الأسلوب المفضل لديك لتثبيت العميل على أجهزة المستخدمين. قد تتضمن هذه الخيارات تثبيت العميل يدويا على الأجهزة أو الأدوات للمساعدة في أتمتة تثبيت العميل:

   • Microsoft Intune: Microsoft Intune هو حل متكامل لإدارة جميع أجهزتك. تجمع Microsoft Configuration ManagerوIntune، دون ترحيل معقد، ومع ترخيص مبسط.
   • حلول إدارة الأجهزة التابعة لجهة خارجية: إذا كانت مؤسستك تستخدم حلول إدارة الأجهزة التابعة لجهة خارجية، فشاهد وثائق هذه الأدوات لتثبيت العميل.

الخطوة 3: تكوين الإعدادات

تحتوي الأدلة الجنائية على العديد من إعدادات التكوين التي توفر مرونة أنواع نشاط المستخدم المتعلق بالأمان الذي تم التقاطه، والتقاط المعلمات، وحدود النطاق الترددي، وخيارات الالتقاط دون اتصال. يتيح لك التقاط الأدلة الجنائية إنشاء نهج استنادا إلى متطلباتك في بضع خطوات فقط، وتتطلب إضافة المستخدمين إلى النهج تخويلا مزدوجا.

لتكوين إعدادات الأدلة الجنائية، أكمل الخطوات التالية:

1. في مدخل التوافق في Microsoft Purview، انتقل إلى Insider risk management>Forensic evidence>Forensic evidence settings.

2. حدد التقاط الأدلة الجنائية لتمكين التقاط الدعم في نهج الأدلة الجنائية الخاصة بك. إذا تم إيقاف تشغيل هذا لاحقا، سيؤدي ذلك إلى إزالة جميع المستخدمين الذين تمت إضافتهم مسبقا لنهج الأدلة الجنائية.

   هام

   تم ترخيص عميل Microsoft Purview المستخدم لالتقاط النشاط على أجهزة المستخدمين ضمن استخدام البرامج مع الخدمات عبر الإنترنت على شروط منتج Microsoft. لاحظ أن العملاء مسؤولون فقط عن استخدام حل إدارة المخاطر الداخلية، بما في ذلك عميل Microsoft Purview، وفقا لجميع القوانين المعمول بها.

3. في قسم التقاط النافذة ، حدد وقت بدء تسجيل النشاط وإيقافه. القيم المتوفرة هي 10 ثوان أو 30 ثانية أو دقيقة واحدة أو 3 دقائق أو 5 دقائق.

4. في قسم Upload bandwidth limit ، حدد مقدار بيانات الالتقاط لتحميلها في حساب تخزين البيانات لكل مستخدم، يوميا. القيم المتوفرة هي 100 ميغابايت أو 250 ميغابايت أو 500 ميغابايت أو 1 غيغابايت أو 2 غيغابايت.

5. في قسم حد ذاكرة التخزين المؤقت دون اتصال بالتقاط ، حدد الحد الأقصى لحجم ذاكرة التخزين المؤقت للتخزين على أجهزة المستخدمين عند تمكين الالتقاط دون اتصال. القيم المتوفرة هي 100 ميغابايت أو 250 ميغابايت أو 500 ميغابايت أو 1 غيغابايت أو 2 غيغابايت.

6. حدد حفظ.

الخطوة 4: إنشاء نهج

تحدد نهج الأدلة الجنائية نطاق نشاط المستخدم المتعلق بالأمان لالتقاطه للأجهزة المكونة. هناك خياران لالتقاط الأدلة الجنائية:

• التقاط أنشطة محددة فقط (مثل طباعة الملفات أو النقل غير المصرح بها). باستخدام هذا الخيار، يمكنك اختيار أنشطة الجهاز التي تريد التقاطها وسيتم التقاط الأنشطة المحددة فقط بواسطة النهج. يمكنك أيضا اختيار التقاط نشاط لتطبيقات سطح المكتب و/أو مواقع ويب معينة. وبهذه الطريقة يمكنك التركيز على الأنشطة والتطبيقات ومواقع الويب التي تشكل خطرا فقط.
• التقاط جميع الأنشطة التي يقوم بها المستخدمون المعتمدون على أجهزتهم. يستخدم هذا الخيار عادة لفترة زمنية محددة، على سبيل المثال، عندما يكون مستخدم معين متورطا في نشاط محفوف بالمخاطر قد يؤدي إلى حادث أمان. للحفاظ على السعة وخصوصية المستخدم، يمكنك اختيار استبعاد تطبيقات سطح المكتب و/أو مواقع ويب معينة من الالتقاط.

بعد إنشاء نهج، ستقوم بتضمينه في طلبات الأدلة الجنائية للتحكم في النشاط الذي يجب التقاطه للمستخدمين الذين تمت الموافقة على طلباتهم.

ملاحظة

السياسات الجنائية المستمرة (التقاط جميع الأنشطة) لها الأسبقية على سياسات الأدلة الجنائية الانتقائية (التقاط أنشطة محددة فقط).

التقاط أنشطة محددة فقط

1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة> مخاطر Insider سياساتالأدلة الجنائية للأدلة>الجنائية.

2. حدد Create forensic evidence policy.

3. في صفحة Scope ، حدد Specific activities. يلتقط هذا الخيار فقط الأنشطة التي تم اكتشافها بواسطة النهج التي يتم تضمين المستخدمين فيها. وتحدد هذه الأنشطة بالمؤشرات المحددة في سياسات الأدلة الجنائية. ستتوفر اللقطات لهذا الخيار للمراجعة على علامة التبويب أدلة الطب الشرعي (معاينة) في لوحة معلومات التنبيهات أو الحالات .

4. حدد التالي.

5. في صفحة الاسم والوصف ، أكمل الحقول التالية:

   • الاسم (مطلوب): أدخل اسما مألوفا لنهج الأدلة الجنائية. لا يمكن تغيير هذا الاسم بعد إنشاء النهج.
   • الوصف (اختياري): أدخل وصفا لنهج الأدلة الجنائية.

6. حدد التالي.

7. في صفحة اختيار أنشطة الجهاز لالتقاطها :

   1. حدد أي أنشطة جهاز تريد التقاطها. سيتم التقاط الأنشطة المحددة فقط بواسطة النهج.

      ملاحظة

      إذا لم تكن المؤشرات قابلة للتحديد، فستتم مطالبتك بتشغيلها.

   2. يمكنك أيضا اختيار التقاط نشاط لتطبيقات سطح المكتب و/أو مواقع ويب معينة في النهج الخاص بك عن طريق تحديد خانة الاختيار فتح تطبيق أو موقع ويب معين ضمن أنشطة استعراض التطبيقات والويب لالتقاطها.

   هام

   إذا كنت ترغب في التقاط أنشطة الاستعراض (لتضمين عناوين URL معينة أو استبعادها في نهج الأدلة الجنائية)، فتأكد من تثبيت ملحقات المستعرض الضرورية. تحتاج أيضا إلى تشغيل مؤشر استعراض واحد على الأقل. إذا لم تكن قد قمت بالفعل بتشغيل مؤشر استعراض واحد أو أكثر، فستتم مطالبتك بذلك إذا اخترت تضمين تطبيقات سطح المكتب أو مواقع الويب أو استبعادها. الحدث المشغل لالتقاط أنشطة الاستعراض هو تحديث URL في شريط URL الذي يحتوي على عنوان URL المحدد.

   3. حدد التالي.

8. (اختياري) إذا اخترت التقاط نشاط لتطبيقات ومواقع ويب معينة لسطح المكتب، في صفحة إضافة تطبيقات ومواقع ويب تريد التقاط نشاط لها :

   1. لإضافة تطبيق سطح مكتب، حدد إضافة تطبيقات سطح المكتب، وأدخل اسم ملف قابل للتنفيذ (على سبيل المثال، teams.exe)، ثم حدد إضافة. كرر هذه العملية لكل تطبيق سطح مكتب تريد إضافته (حتى 25 تطبيقا). للعثور على اسم ملف قابل للتنفيذ للتطبيق، افتح مدير المهام، ثم اعرض خصائص التطبيق. فيما يلي قائمة بأسماء exe لبعض التطبيقات الشائعة: Microsoft Edge (msedge.exe) وMicrosoft Excel (Excel.exe) وأداة القطع (SnippingTool.exe) وMicrosoft Teams (Teams.exe) وMicrosoft Word (WinWord.exe) واتصال سطح المكتب البعيد لـ Microsoft (mstsc.exe).

   ملاحظة

   في بعض الأحيان، قد تختلف أسماء exe لتطبيق ما استنادا إلى الجهاز والأذونات التي تم فتح التطبيق بها. على سبيل المثال، على جهاز مؤسسة Windows 11، عند فتح Windows PowerShell بدون أذونات المسؤول، يتم WindowsTerminal.exe اسم exe ولكن عند فتحه بأذونات المسؤول، يتغير اسم exe إلى powershell.exe. تأكد من تضمين/استبعاد كلا الاسمين السابقين في مثل هذه السيناريوهات.

   2. لإضافة تطبيق ويب أو موقع ويب، حدد إضافة تطبيقات ويب ومواقع ويب، وأدخل عنوان URL (على سبيل المثال، https://teams.microsoft.com)، ثم حدد إضافة. كرر هذه العملية لكل تطبيق ويب أو موقع ويب تريد إضافته. يمكنك إضافة ما يصل إلى 25 عنوان URL بطول حرف 100 لكل عنوان URL.

   تلميح

   إذا كان التطبيق يحتوي على إصدار سطح المكتب والويب، فتأكد من إضافة كل من سطح المكتب القابل للتنفيذ وعنوان URL للويب للتأكد من التقاط النشاط لكليهما.

   3. حدد التالي.

9. في صفحة مراجعة الإعدادات والانتهاء ، راجع الإعدادات التي اخترتها للنهج وأي اقتراحات أو تحذيرات لتحديداتك. قم بتحرير أي من قيم النهج أو حدد إرسال لإنشاء النهج وتنشيطه.

10. بعد إكمال خطوات تكوين النهج، تابع إلى الخطوة 5.

التقاط جميع الأنشطة

1. في مدخل التوافق في Microsoft Purview، انتقل إلى Insider risk management>Forensic evidence (preview)>نهج الأدلة الجنائية.

2. حدد Create forensic evidence policy.

3. في صفحة Scope ، حدد All activities. يلتقط هذا الخيار أي نشاط يقوم به المستخدمون. ستكون اللقطات لهذا الخيار متاحة للمراجعة في علامة التبويب الأدلة الجنائية (معاينة) في لوحة معلومات تقارير نشاط المستخدم (معاينة ).

4. حدد التالي.

5. في صفحة الاسم والوصف ، أكمل الحقول التالية:

   • الاسم (مطلوب): أدخل اسما مألوفا لنهج الأدلة الجنائية. لا يمكن تغيير هذا الاسم بعد إنشاء النهج.
   • الوصف (اختياري): أدخل وصفا لنهج الأدلة الجنائية.

6. حدد التالي.

7. في صفحة اختيار أنشطة الجهاز لالتقاطها ، إذا كنت تريد استبعاد بعض تطبيقات سطح المكتب و/أو تطبيقات الويب أو مواقع الويب من الالتقاط، ضمن أنشطة استعراض التطبيقات والويب المراد التقاطها، حدد خانة الاختيار استبعاد تطبيقات أو مواقع ويب معينة .

8. حدد التالي.

9. إذا اخترت استبعاد تطبيقات ومواقع ويب معينة لسطح المكتب من الالتقاط، في صفحة استبعاد التطبيقات/عناوين URL :

   • لاستبعاد تطبيق سطح المكتب من الالتقاط، حدد استبعاد تطبيقات سطح المكتب، وأدخل اسم ملف قابل للتنفيذ (على سبيل المثال، teams.exe)، ثم حدد إضافة. كرر هذه العملية لكل تطبيق سطح مكتب تريد استبعاده (حتى 25 تطبيقا). للعثور على اسم ملف قابل للتنفيذ لتطبيق ما، افتح مدير المهام، ثم اعرض خصائص التطبيق.
   • لاستبعاد تطبيق ويب أو موقع ويب، حدد استبعاد تطبيقات الويب ومواقع الويب، وأدخل عنوان URL (على سبيل المثال، https://teams.microsoft.com)، ثم حدد إضافة. كرر هذه العملية لكل تطبيق ويب أو موقع ويب تريد استبعاده. يمكنك استبعاد ما يصل إلى 25 عنوان URL بطول حرف 100 لكل عنوان URL.

   تلميح

   إذا كان التطبيق يحتوي على إصدار سطح المكتب والويب، فتأكد من إضافة كل من سطح المكتب القابل للتنفيذ وعنوان URL للويب للتأكد من استبعاد كليهما.

10. في صفحة مراجعة الإعدادات والانتهاء ، راجع الإعدادات التي اخترتها للنهج وأي اقتراحات أو تحذيرات لتحديداتك. قم بتحرير أي من قيم النهج أو حدد إرسال لإنشاء النهج وتنشيطه.

11. بعد إكمال خطوات تكوين النهج، تابع إلى الخطوة 5.

الخطوة 5: تحديد المستخدمين والموافقة عليهم لالتقاط

قبل أن يمكن التقاط أنشطة المستخدم المتعلقة بالأمان، يجب على المسؤولين اتباع عملية التخويل المزدوج في الأدلة الجنائية. تنص هذه العملية على أن تمكين الالتقاط المرئي لمستخدمين محددين يتم تعريفه والموافقة عليه من قبل الأشخاص القابلين للتطبيق في مؤسستك.

يجب أن تطلب تمكين التقاط الأدلة الجنائية لمستخدمين محددين. عند إرسال طلب، يتم إعلام الموافقين في مؤسستك بالبريد الإلكتروني ويمكنهم الموافقة على الطلب أو رفضه. إذا تمت الموافقة عليه، فسيظهر المستخدم في علامة التبويب المستخدمين المعتمدين وسيكون مؤهلا للتقاط.

• لطلب الموافقة على التقاط الأدلة الجنائية للمستخدمين، أكمل خطوات التكوين هذه.
• للموافقة على طلبات (أو رفض) التقاط الأدلة الجنائية للمستخدمين، أكمل خطوات التكوين هذه.

الخطوات التالية

بعد تكوين نهج الأدلة الجنائية، قد يستغرق الأمر ما يصل إلى 48 ساعة حتى تتوفر أول لقطات مقطع مؤهلة للمراجعة في التنبيهات للنهج الأخرى أو كنشاذ في تقارير نشاط المستخدم. لمزيد من المعلومات حول إدارة الأدلة الجنائية ومراجعة لقطات القصاصات، راجع مقالة إدارة الأدلة الجنائية لإدارة مخاطر المعلومات .