Wprowadzenie do dowodów kryminalistycznych dotyczących zarządzania ryzykiem wewnętrznym

  • Artykuł
  • Czas czytania: 10 min

Ważna

Dowody kryminalistyczne to wbudowana funkcja dodatku w usłudze Insider Risk Management, która zapewnia zespołom ds. zabezpieczeń wgląd w potencjalne zdarzenia związane z bezpieczeństwem danych poufnych z wbudowaną prywatnością użytkowników. Dowody kryminalistyczne obejmują dostosowywalne wyzwalacze zdarzeń i wbudowane mechanizmy ochrony prywatności użytkowników, dzięki czemu zespoły ds. zabezpieczeń mogą lepiej badać, rozumieć i reagować na potencjalne zagrożenia związane z danymi poufnymi, takie jak nieautoryzowane eksfiltrowanie danych poufnych.

Organizacje określają odpowiednie zasady dla siebie, w tym to, jakie ryzykowne zdarzenia mają najwyższy priorytet w zakresie przechwytywania dowodów kryminalistycznych i jakie dane są najbardziej wrażliwe. Dowody kryminalistyczne są domyślnie wyłączone, tworzenie zasad wymaga podwójnej autoryzacji, a nazwy użytkowników mogą być maskowane pseudonimizacją (która jest domyślnie włączona w przypadku zarządzania ryzykiem wewnętrznym). Konfigurowanie zasad i przeglądanie alertów zabezpieczeń w usłudze Insider Risk Management wykorzystuje silne mechanizmy kontroli dostępu oparte na rolach (RBAC), zapewniając, że wyznaczone osoby w organizacji podejmują odpowiednie działania z dodatkowymi możliwościami inspekcji.

Ważna

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview skoreluje różne sygnały w celu zidentyfikowania potencjalnych złośliwych lub niezamierzonych zagrożeń wewnętrznych, takich jak kradzież adresów IP, wyciek danych i naruszenia zabezpieczeń. Zarządzanie ryzykiem wewnętrznym umożliwia klientom tworzenie zasad zarządzania zabezpieczeniami i zgodnością. Skompilowani z zachowaniem prywatności domyślnie pseudonimizowane są użytkownicy, a kontrole dostępu na podstawie ról i dzienniki inspekcji są dostępne, aby zapewnić prywatność na poziomie użytkownika.

Konfigurowanie dowodów kryminalistycznych

Konfigurowanie dowodów kryminalistycznych w organizacji jest podobne do konfigurowania innych zasad z szablonów zasad zarządzania ryzykiem wewnętrznym. Ogólnie rzecz biorąc, wykonasz te same podstawowe kroki konfiguracji, aby skonfigurować dowody kryminalistyczne, ale istnieje kilka obszarów, które wymagają akcji konfiguracji specyficznych dla funkcji przed rozpoczęciem podstawowych kroków konfiguracji.

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Krok 1. Potwierdzanie subskrypcji i konfigurowanie dostępu do magazynu danych

Przed rozpoczęciem pracy z dowodami kryminalistycznymi należy potwierdzić subskrypcję zarządzania ryzykiem wewnętrznym i wszelkie dodatki.

Ponadto należy dodać następującą domenę do listy dozwolonych zapory w celu obsługi magazynu dowodów kryminalistycznych w organizacji:

  • compliancedrive.microsoft.com

Przechwytywanie i przechwytywanie danych jest przechowywane w tej domenie i jest przypisywane tylko do organizacji. Żadna inna organizacja platformy Microsoft 365 nie ma dostępu do przechwytywania dowodów kryminalistycznych dla Twojej organizacji.

Uwaga

Dane dowodów kryminalistycznych są przechowywane w jednym regionie, w którym ustawiono Exchange Online Protection (EOP) lub region wymiany.

Krok 2. Konfigurowanie obsługiwanych urządzeń

Urządzenia użytkowników kwalifikujące się do przechwytywania dowodów kryminalistycznych muszą zostać dołączone do portal zgodności Microsoft Purview i muszą mieć zainstalowanego klienta usługi Microsoft Purview.

Ważna

Klient usługi Microsoft Purview automatycznie zbiera ogólne dane diagnostyczne związane z konfiguracją urządzenia i metrykami wydajności. Obejmuje to dane dotyczące błędów krytycznych, zużycia pamięci RAM, błędów procesów i innych danych. Te dane pomagają nam ocenić kondycję klienta i zidentyfikować wszelkie problemy. Aby uzyskać więcej informacji na temat sposobu używania danych diagnostycznych, zobacz Korzystanie z oprogramowania z usługami online w warunkach produktu firmy Microsoft.

Aby uzyskać listę wymagań dotyczących urządzeń i konfiguracji, zobacz Dowiedz się więcej o dowodach kryminalistycznych. Aby dołączyć obsługiwane urządzenia, wykonaj kroki opisane w artykule Omówienie dołączania Windows 10 i Windows 11 urządzeń do platformy Microsoft 365.

Aby zainstalować klienta usługi Microsoft Purview, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź doobszaru Instalacja klientadowodów> kryminalistycznych zarządzania> ryzykiem wewnętrznym.

  2. Wybierz pozycję Pobierz pakiet instalatora (wersja x64), aby pobrać pakiet instalacyjny dla systemu Windows.

  3. Po pobraniu pakietu instalacyjnego użyj preferowanej metody, aby zainstalować klienta na urządzeniach użytkowników. Te opcje mogą obejmować ręczne instalowanie klienta na urządzeniach lub narzędziach ułatwiających automatyzację instalacji klienta:

    • Microsoft Intune: Microsoft Intune to zintegrowane rozwiązanie do zarządzania wszystkimi urządzeniami. Firma Microsoft łączy Configuration Manager i Intune, bez złożonej migracji i z uproszczonym licencjonowaniem.
    • Rozwiązania do zarządzania urządzeniami innych firm: jeśli organizacja korzysta z rozwiązań do zarządzania urządzeniami innych firm, zapoznaj się z dokumentacją tych narzędzi, aby zainstalować klienta.

Krok 3. Konfigurowanie ustawień

Dowody kryminalistyczne mają kilka ustawień konfiguracji, które zapewniają elastyczność dla typów przechwytywanych działań użytkowników związanych z zabezpieczeniami, przechwytywania parametrów, limitów przepustowości i opcji przechwytywania w trybie offline. Przechwytywanie dowodów kryminalistycznych umożliwia tworzenie zasad na podstawie wymagań w zaledwie kilku krokach, a dodanie użytkowników do zasad wymaga podwójnej autoryzacji.

Aby skonfigurować ustawienia dowodów kryminalistycznych, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Insider risk management Forensic evidenceForensic evidence settings (Ustawienia dowodów>kryminalistycznychw ramach zarządzania> ryzykiem wewnętrznym).

  2. Wybierz pozycję Przechwytywanie dowodów kryminalistycznych , aby umożliwić przechwytywanie wsparcia w zasadach dowodów kryminalistycznych. Jeśli zostanie to wyłączone później, spowoduje to usunięcie wszystkich wcześniej dodanych użytkowników na potrzeby zasad dowodów kryminalistycznych.

    Ważna

    Klient usługi Microsoft Purview używany do przechwytywania aktywności na urządzeniach użytkowników jest licencjonowany w ramach korzystania z oprogramowania z usługami online w warunkach produktu firmy Microsoft. Należy pamiętać, że klienci są wyłącznie odpowiedzialni za korzystanie z rozwiązania do zarządzania ryzykiem wewnętrznym, w tym klienta usługi Microsoft Purview, zgodnie ze wszystkimi obowiązującymi przepisami.

  3. W sekcji Przechwytywanie określ , kiedy należy uruchomić i zatrzymać przechwytywanie działań. Dostępne wartości to 10 sekund, 30 sekund, 1 minuta, 3 minuty lub 5 minut.

  4. W sekcji Przekazywanie limitu przepustowości zdefiniuj ilość danych przechwytywania do przekazania na konto magazynu danych na użytkownika dziennie. Dostępne wartości to 100 MB, 250 MB, 500 MB, 1 GB lub 2 GB.

  5. W sekcji Limit przechwytywania pamięci podręcznej w trybie offline zdefiniuj maksymalny rozmiar pamięci podręcznej do przechowywania na urządzeniach użytkowników po włączeniu przechwytywania w trybie offline. Dostępne wartości to 100 MB, 250 MB, 500 MB, 1 GB lub 2 GB.

  6. Wybierz Zapisz.

Krok 4. Tworzenie zasad

Zasady dowodów kryminalistycznych definiują zakres działań użytkowników związanych z zabezpieczeniami w celu przechwytywania dla skonfigurowanych urządzeń. Istnieją dwie opcje przechwytywania dowodów kryminalistycznych:

  • Przechwytywanie tylko określonych działań (takich jak drukowanie lub eksfiltrowanie plików). Za pomocą tej opcji możesz wybrać działania urządzenia, które chcesz przechwycić, a zasady przechwytują tylko wybrane działania. Możesz również wybrać przechwytywanie działań dla określonych aplikacji klasycznych i/lub witryn internetowych. W ten sposób możesz skupić się tylko na działaniach, aplikacjach i witrynach internetowych, które stwarzają ryzyko.
  • Przechwyć wszystkie działania wykonywane przez zatwierdzonych użytkowników na ich urządzeniach. Ta opcja jest zwykle używana przez określony okres czasu, na przykład gdy określony użytkownik jest potencjalnie zaangażowany w ryzykowne działania, które mogą prowadzić do zdarzenia zabezpieczeń. Aby zachować pojemność i prywatność użytkowników, możesz wykluczyć z przechwytywania określone aplikacje klasyczne i/lub witryny internetowe.

Po utworzeniu zasad uwzględnisz ją w żądaniach dowodów kryminalistycznych, aby kontrolować, jakie działania należy przechwycić dla użytkowników, których żądania zostały zatwierdzone.

Uwaga

Ciągłe zasady kryminalistyczne (przechwytywanie wszystkich działań) mają pierwszeństwo przed selektywnymi zasadami dowodów kryminalistycznych (przechwytywanie tylko określonych działań).

Przechwytywanie tylko określonych działań

  1. W portal zgodności Microsoft Purview przejdź do obszaru Insider risk management Forensic evidenceForensic evidence policies (Zasady dowodów>kryminalistycznychw zakresie zarządzania> ryzykiem wewnętrznym).

  2. Wybierz pozycję Utwórz zasady dowodów kryminalistycznych.

  3. Na stronie Zakres wybierz pozycję Określone działania. Ta opcja przechwytuje tylko działania wykryte przez zasady, w których są dołączane użytkownicy. Działania te są definiowane przez wskaźniki wybrane w zasadach dowodów kryminalistycznych. Przechwytywanie dla tej opcji będzie dostępne do przeglądu na karcie Dowody kryminalistyczne (wersja zapoznawcza) na pulpicie nawigacyjnym Alerty lub Przypadki .

  4. Wybierz pozycję Dalej.

  5. Na stronie Nazwa i opis wypełnij następujące pola:

    • Nazwa (wymagana): wprowadź przyjazną nazwę zasad dowodów kryminalistycznych. Tej nazwy nie można zmienić po utworzeniu zasad.
    • Opis (opcjonalnie): wprowadź opis zasad dowodów kryminalistycznych.

  6. Wybierz pozycję Dalej.

  7. Na stronie Wybieranie działań urządzenia do przechwycenia :

    1. Wybierz wszystkie działania urządzenia, które chcesz przechwycić. Zasady przechwytują tylko wybrane działania.

      Uwaga

      Jeśli nie można wybrać wskaźników, zostanie wyświetlony monit o ich włączenie.

    2. Możesz również wybrać przechwytywanie aktywności dla określonych aplikacji klasycznych i/lub witryn internetowych w zasadach, zaznaczając pole wyboru Otwieranie określonej aplikacji lub witryny internetowej w obszarze Działania przeglądania aplikacji i sieci Web do przechwycenia.

    Ważna

    Jeśli chcesz przechwytywać działania przeglądania (aby uwzględnić lub wykluczyć określone adresy URL w zasadach dowodów kryminalistycznych), upewnij się, że zainstalowano niezbędne rozszerzenia przeglądarki. Należy również włączyć co najmniej jeden wskaźnik przeglądania. Jeśli nie włączono jeszcze jednego lub większej liczby wskaźników przeglądania, zostanie wyświetlony monit o to, jeśli zdecydujesz się dołączyć lub wykluczyć aplikacje klasyczne lub witryny internetowe. Zdarzenie wyzwalające przechwytywanie działań przeglądania to aktualizacja adresu URL na pasku adresu URL zawierająca określony adres URL.

    1. Wybierz pozycję Dalej.

  8. (Opcjonalnie) Jeśli wybrano działanie przechwytywania dla określonych aplikacji klasycznych i witryn internetowych, na stronie Dodaj aplikacje i witryny internetowe, które chcesz przechwycić :

    1. Aby dodać aplikację klasyczną, wybierz pozycję Dodaj aplikacje klasyczne, wprowadź nazwę pliku wykonywalnego (na przykład teams.exe), a następnie wybierz pozycję Dodaj. Powtórz ten proces dla każdej aplikacji klasycznej, którą chcesz dodać (maksymalnie 25 aplikacji). Aby znaleźć nazwę pliku wykonywalnego dla aplikacji, otwórz Menedżera zadań, a następnie wyświetl właściwości aplikacji. Poniżej przedstawiono listę nazw exe dla niektórych typowych aplikacji: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), narzędzie snipping (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) i Pulpit zdalny Microsoft Connection (mstsc.exe).

    Uwaga

    Czasami nazwy exe aplikacji mogą się różnić w zależności od urządzenia i uprawnień, z którymi aplikacja została otwarta. Na przykład na urządzeniu Windows 11 przedsiębiorstwie, gdy Windows PowerShell jest otwierany bez uprawnień administratora, nazwa exe jest WindowsTerminal.exe ale po otwarciu z uprawnieniami administratora nazwa exe zmienia się na powershell.exe. Pamiętaj, aby w takich scenariuszach uwzględnić/wykluczyć obie nazwy exe.

    1. Aby dodać aplikację internetową lub witrynę internetową, wybierz pozycję Dodaj aplikacje internetowe i witryny internetowe, wprowadź adres URL (na przykład https://teams.microsoft.com), a następnie wybierz pozycję Dodaj. Powtórz ten proces dla każdej aplikacji internetowej lub witryny internetowej, którą chcesz dodać. Możesz dodać maksymalnie 25 adresów URL o długości znaku 100 dla każdego adresu URL.

    Porada

    Jeśli aplikacja ma wersję klasyczną i internetową, pamiętaj, aby dodać zarówno plik wykonywalny pulpitu, jak i internetowy adres URL, aby upewnić się, że wykonasz działanie przechwytywania dla obu tych elementów.

    1. Wybierz pozycję Dalej.

  9. Na stronie Przeglądanie ustawień i zakończenia przejrzyj ustawienia wybrane dla zasad oraz wszelkie sugestie lub ostrzeżenia dotyczące wybranych opcji. Edytuj dowolne wartości zasad lub wybierz pozycję Prześlij , aby utworzyć i aktywować zasady.

  10. Po wykonaniu kroków konfiguracji zasad przejdź do kroku 5.

Przechwytywanie wszystkich działań

  1. W portal zgodności Microsoft Purview przejdź do obszaru Dowody kryminalistyczne zarządzania> ryzykiem wewnętrznym(wersja zapoznawcza)>Zasady dowodów kryminalistycznych.

  2. Wybierz pozycję Utwórz zasady dowodów kryminalistycznych.

  3. Na stronie Zakres wybierz pozycję Wszystkie działania. Ta opcja przechwytuje wszystkie działania wykonywane przez użytkowników. Przechwytywanie dla tej opcji będzie dostępne do przeglądu na karcie Dowody kryminalistyczne (wersja zapoznawcza) na pulpicie nawigacyjnym Raporty aktywności użytkownika (wersja zapoznawcza ).

  4. Wybierz pozycję Dalej.

  5. Na stronie Nazwa i opis wypełnij następujące pola:

    • Nazwa (wymagana): wprowadź przyjazną nazwę zasad dowodów kryminalistycznych. Tej nazwy nie można zmienić po utworzeniu zasad.
    • Opis (opcjonalnie): wprowadź opis zasad dowodów kryminalistycznych.

  6. Wybierz pozycję Dalej.

  7. Na stronie Wybieranie działań urządzenia do przechwycenia , jeśli chcesz wykluczyć niektóre aplikacje klasyczne i/lub aplikacje internetowe lub witryny internetowe z przechwytywania, w obszarze Działania przeglądania aplikacji i sieci Web do przechwycenia zaznacz pole wyboru Wyklucz określone aplikacje lub witryny internetowe .

  8. Wybierz pozycję Dalej.

  9. Jeśli wybrano wykluczenie określonych aplikacji klasycznych i witryn internetowych z przechwytywania, na stronie Wykluczanie aplikacji/adresów URL :

    • Aby wykluczyć aplikację klasyczną z przechwytywania, wybierz pozycję Wyklucz aplikacje klasyczne, wprowadź nazwę pliku wykonywalnego (na przykład teams.exe), a następnie wybierz pozycję Dodaj. Powtórz ten proces dla każdej aplikacji klasycznej, którą chcesz wykluczyć (maksymalnie 25 aplikacji). Aby znaleźć nazwę pliku wykonywalnego dla aplikacji, otwórz Menedżera zadań, a następnie wyświetl właściwości aplikacji.
    • Aby wykluczyć aplikację internetową lub witrynę internetową, wybierz pozycję Wyklucz aplikacje internetowe i witryny internetowe, wprowadź adres URL (na przykład https://teams.microsoft.com), a następnie wybierz pozycję Dodaj. Powtórz ten proces dla każdej aplikacji internetowej lub witryny internetowej, którą chcesz wykluczyć. Dla każdego adresu URL można wykluczyć maksymalnie 25 adresów URL o długości znaku 100.

    Porada

    Jeśli aplikacja ma wersję klasyczną i internetową, pamiętaj o dodaniu zarówno pliku wykonywalnego pulpitu, jak i internetowego adresu URL, aby upewnić się, że oba te elementy zostały wykluczone.

  10. Na stronie Przeglądanie ustawień i zakończenia przejrzyj ustawienia wybrane dla zasad oraz wszelkie sugestie lub ostrzeżenia dotyczące wybranych opcji. Edytuj dowolne wartości zasad lub wybierz pozycję Prześlij , aby utworzyć i aktywować zasady.

  11. Po wykonaniu kroków konfiguracji zasad przejdź do kroku 5.

Krok 5. Definiowanie i zatwierdzanie użytkowników do przechwytywania

Aby można było przechwycić działania użytkowników związane z zabezpieczeniami, administratorzy muszą postępować zgodnie z procesem podwójnej autoryzacji w dowodach kryminalistycznych. Ten proces nakazuje, aby włączanie przechwytywania wizualizacji dla określonych użytkowników było definiowane i zatwierdzane przez odpowiednie osoby w organizacji.

Należy zażądać włączenia przechwytywania dowodów kryminalistycznych dla określonych użytkowników. Po przesłaniu żądania osoby zatwierdzające w organizacji są powiadamiane pocztą e-mail i mogą zatwierdzić lub odrzucić żądanie. Jeśli użytkownik zostanie zatwierdzony, pojawi się na karcie Zatwierdzone użytkowników i będzie kwalifikował się do przechwycenia.

  • Aby zażądać zatwierdzenia przechwytywania dowodów kryminalistycznych dla użytkowników, wykonaj te kroki konfiguracji.
  • Aby zatwierdzić (lub odrzucić) żądania dotyczące przechwytywania dowodów kryminalistycznych dla użytkowników, wykonaj te kroki konfiguracji.

Następne kroki

Po skonfigurowaniu zasad dowodów kryminalistycznych może upłynąć do 48 godzin, aż pierwsze kwalifikujące się przechwytywanie klipów będzie dostępne do przeglądu w alertach dotyczących innych zasad lub jako działania w raportach aktywności użytkowników. Aby uzyskać więcej informacji na temat zarządzania dowodami kryminalistycznymi i przeglądania przechwytywania klipów, zobacz artykuł Manage information risk management forensic evidence (Zarządzanie dowodami kryminalistycznymi zarządzania ryzykiem informacyjnym ).