Wprowadzenie do dowodów kryminalistycznych dotyczących zarządzania ryzykiem wewnętrznym (wersja zapoznawcza)

Ważna

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview skoreluje różne sygnały w celu zidentyfikowania potencjalnych złośliwych lub niezamierzonych zagrożeń wewnętrznych, takich jak kradzież adresów IP, wyciek danych i naruszenia zabezpieczeń. Zarządzanie ryzykiem wewnętrznym umożliwia klientom tworzenie zasad zarządzania zabezpieczeniami i zgodnością. Skompilowani z zachowaniem prywatności domyślnie pseudonimizowane są użytkownicy, a kontrole dostępu na podstawie ról i dzienniki inspekcji są dostępne, aby zapewnić prywatność na poziomie użytkownika.

Konfigurowanie dowodów kryminalistycznych

Konfigurowanie dowodów kryminalistycznych w organizacji jest podobne do konfigurowania innych zasad z szablonów zasad zarządzania ryzykiem wewnętrznym. Ogólnie rzecz biorąc, wykonasz te same podstawowe kroki konfiguracji, aby skonfigurować dowody kryminalistyczne, ale istnieje kilka obszarów, które wymagają akcji konfiguracji specyficznych dla funkcji przed rozpoczęciem podstawowych kroków konfiguracji.

Porada

Jeśli nie jesteś klientem E5, możesz bezpłatnie wypróbować wszystkie funkcje premium w usłudze Microsoft Purview. Użyj 90-dniowej wersji próbnej rozwiązań Purview, aby dowiedzieć się, jak niezawodne możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Krok 1. Potwierdzanie subskrypcji i konfigurowanie dostępu do magazynu danych

Przed rozpoczęciem pracy z dowodami kryminalistycznymi należy potwierdzić subskrypcję zarządzania ryzykiem wewnętrznym i wszelkie dodatki.

Ponadto należy dodać następującą domenę do listy dozwolonych zapory w celu obsługi magazynu dowodów kryminalistycznych w organizacji:

  • compliancedrive.microsoft.com

Przechwytywanie i przechwytywanie danych jest przechowywane w tej domenie i jest przypisywane tylko do organizacji. Żadna inna organizacja platformy Microsoft 365 nie ma dostępu do przechwytywania dowodów kryminalistycznych dla Twojej organizacji.

Krok 2. Konfigurowanie obsługiwanych urządzeń

Urządzenia użytkowników kwalifikujące się do przechwytywania dowodów kryminalistycznych muszą zostać dołączone do portal zgodności Microsoft Purview i muszą mieć zainstalowanego klienta usługi Microsoft Purview.

Ważna

Klient usługi Microsoft Purview automatycznie zbiera ogólne dane diagnostyczne związane z konfiguracją urządzenia i metrykami wydajności. Obejmuje to dane dotyczące błędów krytycznych, zużycia pamięci RAM, błędów procesów i innych danych. Te dane pomagają nam ocenić kondycję klienta i zidentyfikować wszelkie problemy. Aby uzyskać więcej informacji na temat sposobu używania danych diagnostycznych, zobacz Korzystanie z oprogramowania z usługami online w warunkach produktu firmy Microsoft.

Aby uzyskać listę wymagań dotyczących urządzeń i konfiguracji, zobacz Informacje o dowodach kryminalistycznych (wersja zapoznawcza). Aby dołączyć obsługiwane urządzenia, wykonaj kroki opisane w artykule Omówienie dołączania Windows 10 i Windows 11 urządzeń do platformy Microsoft 365.

Aby zainstalować klienta usługi Microsoft Purview, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Dowody kryminalistyczne zarządzania> ryzykiem wewnętrznym(wersja zapoznawcza)>Instalacja klienta.

  2. Wybierz pozycję Pobierz pakiet instalatora (wersja x64), aby pobrać pakiet instalacyjny dla systemu Windows.

  3. Po pobraniu pakietu instalacyjnego użyj preferowanej metody, aby zainstalować klienta na urządzeniach użytkowników. Te opcje mogą obejmować ręczne instalowanie klienta na urządzeniach lub narzędziach ułatwiających automatyzację instalacji klienta:

    • Microsoft Endpoint Manager: Program Microsoft Endpoint Manager to zintegrowane rozwiązanie do zarządzania wszystkimi urządzeniami. Firma Microsoft łączy Configuration Manager i Intune, bez złożonej migracji i z uproszczonym licencjonowaniem.
    • Rozwiązania do zarządzania urządzeniami innych firm: jeśli organizacja korzysta z rozwiązań do zarządzania urządzeniami innych firm, zapoznaj się z dokumentacją tych narzędzi, aby zainstalować klienta.

Krok 3. Konfigurowanie ustawień

Dowody kryminalistyczne mają kilka ustawień konfiguracji, które zapewniają elastyczność dla typów przechwytywanych działań użytkowników związanych z zabezpieczeniami, przechwytywania parametrów, limitów przepustowości i opcji przechwytywania w trybie offline. Przechwytywanie dowodów kryminalistycznych umożliwia tworzenie zasad na podstawie wymagań w zaledwie kilku krokach, a dodanie użytkowników do zasad wymaga podwójnej autoryzacji.

Aby skonfigurować ustawienia dowodów kryminalistycznych, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Insider risk management>Forensic evidence (preview)Forensic evidence settings (Dowody kryminalistyczne).>

  2. Wybierz pozycję Przechwytywanie dowodów kryminalistycznych , aby umożliwić przechwytywanie wsparcia w zasadach dowodów kryminalistycznych. Jeśli zostanie to wyłączone później, spowoduje to usunięcie wszystkich wcześniej dodanych użytkowników na potrzeby zasad dowodów kryminalistycznych.

    Ważna

    Klient usługi Microsoft Purview używany do przechwytywania aktywności na urządzeniach użytkowników jest licencjonowany w ramach korzystania z oprogramowania z usługami online w warunkach produktu firmy Microsoft. Należy pamiętać, że klienci są wyłącznie odpowiedzialni za korzystanie z rozwiązania do zarządzania ryzykiem wewnętrznym, w tym klienta usługi Microsoft Purview, zgodnie ze wszystkimi obowiązującymi przepisami.

  3. W sekcji Przechwytywanie określ , kiedy należy uruchomić i zatrzymać przechwytywanie działań. Dostępne wartości to 10 sekund, 30 sekund, 1 minuta, 3 minuty lub 5 minut.

  4. W sekcji Przekazywanie limitu przepustowości zdefiniuj ilość danych przechwytywania do przekazania na konto magazynu danych na użytkownika dziennie. Dostępne wartości to 100 MB, 250 MB, 500 MB, 1 GB lub 2 GB.

  5. W sekcji Przechwytywanie w trybie offline włącz przechwytywanie w trybie offline w razie potrzeby. Po włączeniu działanie w trybie offline użytkowników jest przechwytywane i przekazywane do konta magazynu danych przy następnym przejściu do trybu online.

  6. W sekcji Limit przechwytywania pamięci podręcznej w trybie offline zdefiniuj maksymalny rozmiar pamięci podręcznej do przechowywania na urządzeniach użytkowników po włączeniu przechwytywania w trybie offline. Dostępne wartości to 100 MB, 250 MB, 500 MB, 1 GB lub 2 GB.

  7. Wybierz Zapisz.

Krok 4. Tworzenie zasad

Zasady dowodów kryminalistycznych definiują zakres działań użytkowników związanych z zabezpieczeniami w celu przechwytywania na skonfigurowanych urządzeniach. Możesz mieć jedną zasadę, która przechwytuje wszystkie zatwierdzone działania wykonywane przez użytkowników na ich urządzeniach, oraz dodatkowe zasady, które przechwytują tylko określone działania (takie jak drukowanie lub eksfiltrowanie plików). Po utworzeniu te zasady zostaną uwzględnione w żądaniach dowodów kryminalistycznych w celu kontrolowania działań do przechwycenia dla użytkowników, których żądania zostały zatwierdzone.

  1. W portal zgodności Microsoft Purview przejdź do obszaru Dowody kryminalistyczne zarządzania> ryzykiem wewnętrznym(wersja zapoznawcza)>Zasady dowodów kryminalistycznych.

  2. Wybierz pozycję Utwórz zasady dowodów kryminalistycznych.

  3. Na stronie Zakres wybierzesz zakres działań użytkownika związanych z zabezpieczeniami do przechwycenia. Wybierz jedną z następujących opcji:

    • Określone działania: ta opcja przechwytuje tylko działania wykryte przez zasady, które są uwzględniane przez użytkowników. Działania te są definiowane przez wskaźniki wybrane w zasadach dowodów kryminalistycznych. Przechwytywanie dla tej opcji będzie dostępne do przeglądu na karcie Dowody kryminalistyczne (wersja zapoznawcza) na pulpicie nawigacyjnym Alerty lub Przypadki .
    • Wszystkie działania: ta opcja przechwytuje wszystkie działania wykonywane przez użytkowników. Przechwytywanie dla tej opcji będzie dostępne do przeglądu na karcie Dowody kryminalistyczne (wersja zapoznawcza) na pulpicie nawigacyjnym Raporty aktywności użytkownika (wersja zapoznawcza ).
  4. Wybierz pozycję Dalej.

  5. Na stronie Nazwa i opis wypełnij następujące pola:

    • Nazwa (wymagana): wprowadź przyjazną nazwę zasad dowodów kryminalistycznych. Tej nazwy nie można zmienić po utworzeniu zasad.
    • Opis (opcjonalnie): wprowadź opis zasad dowodów kryminalistycznych.
  6. Wybierz pozycję Dalej.

  7. Jeśli wybrano opcję Wszystkie działania w kroku 3, na stronie Działania urządzenia zostanie wyświetlony ostatni krok w kreatorze zasad. Nie ma żadnych działań urządzenia do skonfigurowania po wybraniu opcji Wszystkie działania .

    Jeśli wybrano opcję Określone działania w kroku 3, wybierz działania urządzenia do przechwycenia na stronie Działania urządzenia . Zasady przechwytują tylko wybrane działania. Jeśli wskaźniki nie są wybieralne, musisz włączyć te wskaźniki dla swojej organizacji, zanim będzie można wybrać te wskaźniki w zasadach dowodów kryminalistycznych.

    Po wybraniu wskaźników wybierz pozycję Dalej.

  8. Na stronie Zakończ przejrzyj ustawienia wybrane dla zasad oraz wszelkie sugestie lub ostrzeżenia dotyczące wybranych opcji. Wybierz pozycję Edytuj , aby zmienić dowolną z wartości zasad, lub wybierz pozycję Prześlij , aby utworzyć i aktywować zasady.

Po wykonaniu kroków konfiguracji zasad przejdź do kroku 5.

Krok 5. Definiowanie i zatwierdzanie użytkowników do przechwytywania

Aby można było przechwycić działania użytkowników związane z zabezpieczeniami, administratorzy muszą postępować zgodnie z procesem podwójnej autoryzacji w dowodach kryminalistycznych. Ten proces nakazuje, aby włączanie przechwytywania wizualizacji dla określonych użytkowników było definiowane i zatwierdzane przez odpowiednie osoby w organizacji.

Ważna

W wersji zapoznawczej maksymalnie 5 współbieżnych użytkowników kwalifikuje się do przechwytywania dowodów kryminalistycznych. Przechwytywanie dla grup nie jest obsługiwane w wersji zapoznawczej.

Należy zażądać włączenia przechwytywania dowodów kryminalistycznych dla określonych użytkowników. Po przesłaniu żądania osoby zatwierdzające w organizacji są powiadamiane pocztą e-mail i mogą zatwierdzić lub odrzucić żądanie. Jeśli użytkownik zostanie zatwierdzony, pojawi się na karcie Zatwierdzone użytkowników i będzie kwalifikował się do przechwycenia.

  • Aby zażądać zatwierdzenia przechwytywania dowodów kryminalistycznych dla użytkowników, wykonaj te kroki konfiguracji.
  • Aby zatwierdzić (lub odrzucić) żądania dotyczące przechwytywania dowodów kryminalistycznych dla użytkowników, wykonaj te kroki konfiguracji.

Następne kroki

Po skonfigurowaniu zasad dowodów kryminalistycznych może upłynąć do 48 godzin, aż pierwsze kwalifikujące się przechwytywanie klipów będzie dostępne do przeglądu w alertach dotyczących innych zasad lub jako działania w raportach aktywności użytkowników. Aby uzyskać więcej informacji na temat zarządzania dowodami kryminalistycznymi i przeglądania przechwytywania klipów, zobacz artykuł Manage information risk management forensic evidence (Zarządzanie dowodami kryminalistycznymi zarządzania ryzykiem informacyjnym ).