Zarządzanie dowodami kryminalistycznymi dotyczącymi zarządzania ryzykiem wewnętrznym

  • Artykuł
  • Czas czytania: 16 min

Ważna

Dowody kryminalistyczne to wbudowana funkcja dodatku w usłudze Insider Risk Management, która zapewnia zespołom ds. zabezpieczeń wgląd w potencjalne zdarzenia związane z bezpieczeństwem danych poufnych z wbudowaną prywatnością użytkowników. Dowody kryminalistyczne obejmują dostosowywalne wyzwalacze zdarzeń i wbudowane mechanizmy ochrony prywatności użytkowników, dzięki czemu zespoły ds. zabezpieczeń mogą lepiej badać, rozumieć i reagować na potencjalne zagrożenia związane z danymi poufnymi, takie jak nieautoryzowane eksfiltrowanie danych poufnych.

Organizacje określają odpowiednie zasady dla siebie, w tym to, jakie ryzykowne zdarzenia mają najwyższy priorytet w zakresie przechwytywania dowodów kryminalistycznych i jakie dane są najbardziej wrażliwe. Dowody kryminalistyczne są domyślnie wyłączone, tworzenie zasad wymaga podwójnej autoryzacji, a nazwy użytkowników mogą być maskowane pseudonimizacją (która jest domyślnie włączona w przypadku zarządzania ryzykiem wewnętrznym). Konfigurowanie zasad i przeglądanie alertów zabezpieczeń w usłudze Insider Risk Management wykorzystuje silne mechanizmy kontroli dostępu oparte na rolach (RBAC), zapewniając, że wyznaczone osoby w organizacji podejmują odpowiednie działania z dodatkowymi możliwościami inspekcji.

Ważna

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview skoreluje różne sygnały w celu zidentyfikowania potencjalnych złośliwych lub niezamierzonych zagrożeń wewnętrznych, takich jak kradzież adresów IP, wyciek danych i naruszenia zabezpieczeń. Zarządzanie ryzykiem wewnętrznym umożliwia klientom tworzenie zasad zarządzania zabezpieczeniami i zgodnością. Skompilowani z zachowaniem prywatności domyślnie pseudonimizowane są użytkownicy, a kontrole dostępu na podstawie ról i dzienniki inspekcji są dostępne, aby zapewnić prywatność na poziomie użytkownika.

Po wykonaniu kroków konfiguracji i utworzeniu zasad dowodów kryminalistycznych zaczniesz wyświetlać alerty dotyczące potencjalnie ryzykownych działań użytkowników związanych z zabezpieczeniami, które spełniają warunki dla wskaźników zdefiniowanych w zasadach.

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Pulpit nawigacyjny

Pulpit nawigacyjny dowodów kryminalistycznych to widok podsumowania kluczowych obszarów konfiguracji dowodów kryminalistycznych w organizacji. W wersji zapoznawczej pulpit nawigacyjny zawiera tylko sekcję kondycji urządzenia dowodów kryminalistycznych . Wybierz pozycję Wyświetl raport kondycji urządzenia , aby otworzyć kartę Kondycja urządzenia i raport. Inne sekcje zostaną uwzględnione w przyszłych wersjach.

Zarządzanie użytkownikami

Musisz zażądać i zatwierdzić konkretnych użytkowników, zanim będą oni kwalifikować się do przechwytywania dowodów kryminalistycznych. Po prostu dodanie użytkowników do zasad dowodów kryminalistycznych nie automatycznie uprawnia tych użytkowników do przechwytywania. Możesz zażądać i zatwierdzić użytkowników przed utworzeniem zasad dowodów kryminalistycznych lub po ich utworzeniu, ale przechwytywanie klipu skojarzone ze wskaźnikami zasad zostanie utworzone i będzie dostępne do przeglądania tylko po zatwierdzeniu użytkowników.

Użytkownicy przypisani do grup ról Insider Risk Management lub Insider Risk Management Administratorzy mogą przesyłać żądania zatwierdzenia do użytkowników przypisanych do grupy ról Osoby zatwierdzające zarządzanie ryzykiem wewnętrznym .

Żądanie przechwytywania zatwierdzeń

Należy zażądać włączenia przechwytywania dowodów kryminalistycznych dla konkretnych użytkowników. Po przesłaniu żądania osoby zatwierdzające w organizacji są powiadamiane pocztą e-mail i mogą zatwierdzić lub odrzucić żądanie. Jeśli użytkownik zostanie zatwierdzony lub pojawi się na karcie Zatwierdzone użytkowników i będzie uprawniony do przechwycenia. Jeśli żądanie nie zostanie rozwiązane, wygaśnie 6 miesięcy od dnia jego przesłania.

Aby skonfigurować zatwierdzonych użytkowników na potrzeby przechwytywania dowodów kryminalistycznych, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Zarządzanie> ryzykiem wewnętrznymDowody> kryminalistyczneZarządzanie użytkownikami.

  2. Wybierz kartę Zarządzanie żądaniami dowodów kryminalistycznych .

  3. Wybierz pozycję Utwórz żądanie.

  4. Na stronie Użytkownicy wybierz pozycję Dodaj użytkowników.

  5. Użyj funkcji Wyszukaj , aby zlokalizować określonego użytkownika lub wybrać jednego lub więcej użytkowników z listy. Wybierz pozycję Dodaj, a następnie wybierz pozycję Dalej.

  6. Na stronie Zasady dotyczące dowodów kryminalistycznych wybierz zasady dowodów kryminalistycznych dla dodanych użytkowników. Wybrana zasada określa zakres działań do przechwycenia dla użytkowników.

  7. Wybierz pozycję Dalej.

  8. Na stronie Uzasadnienie poinformuj recenzenta, dlaczego żądasz włączenia przechwytywania dla użytkowników dodanych w polu tekstowym Uzasadnienie włączenia dowodów kryminalistycznych przechwytywania . Jest to pole wymagane. Po zakończeniu wybierz pozycję Dalej.

  9. Na stronie powiadomień Email możesz użyć szablonu powiadomień, aby wysłać wiadomość e-mail do użytkowników z informacją, że przechwytywanie dowodów kryminalistycznych zostanie włączone dla ich urządzenia zgodnie z zasadami organizacji. Wiadomość e-mail zostanie wysłana do użytkowników tylko wtedy, gdy ich żądanie zostanie zatwierdzone.

    Zaznacz pole wyboru Wyślij powiadomienie e-mail do zatwierdzonych użytkowników . Wybierz istniejący szablon lub utwórz nowy. Aby utworzyć nowy szablon, wybierz pozycję Utwórz szablon powiadomień i wypełnij następujące wymagane pola w okienku Nowy szablon powiadomień e-mail .

  10. Wybierz pozycję Dalej.

  11. Na stronie Zakończ przejrzyj ustawienia przed przesłaniem żądania. Wybierz pozycję Edytuj użytkowników lub Edytuj uzasadnienie , aby zmienić dowolną z wartości żądania, lub wybierz pozycję Prześlij , aby utworzyć i wysłać żądanie do recenzentów.

Aby wyświetlić oczekujące żądania zatwierdzenia, przejdź do obszaruDowody> kryminalistyczne dotyczące zarządzania> ryzykiem wewnętrznymOczekujące na żądania. W tym miejscu zobaczysz użytkowników z oczekującymi żądaniami, ich adresem e-mail, datą przesłania żądania i tym, którzy przesłali żądanie zatwierdzenia. Jeśli żaden użytkownik nie jest wyświetlany, nie ma żadnych oczekujących żądań zatwierdzenia dla żadnych użytkowników.

Użytkownicy przypisani do grupy ról Osoby zatwierdzające zarządzanie ryzykiem wewnętrznym mogą wybrać użytkownika na karcie Żądanie dowodów kryminalistycznych i przejrzeć żądanie. Po przejrzeniu żądania ci użytkownicy mogą zatwierdzić lub odrzucić wniosek o przechwycenie dowodów kryminalistycznych. Zatwierdzenie lub odrzucenie żądania przechwytywania powoduje usunięcie oczekującego żądania dla użytkowników z tego widoku.

Zatwierdzanie lub odrzucanie żądań przechwytywania

Po zakończeniu żądań użytkownicy przypisani do grupy ról Osoby zatwierdzające zarządzanie ryzykiem wewnętrznym otrzymają powiadomienie e-mail o żądaniu zatwierdzenia. Aby zatwierdzić lub odrzucić żądania, recenzenci muszą wykonać następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Dowodykryminalistyczne>dotyczące zarządzania> ryzykiem wewnętrznymOczekujące na wnioski.
  2. Wybierz użytkownika do przejrzenia.
  3. W okienku Przeglądanie żądania dowodów kryminalistycznych (wersja zapoznawcza) przejrzyj uzasadnienie przesłane przez żądającego. Wybierz pozycję Zatwierdź lub Odrzuć zgodnie z wymaganiami.
  4. Na stronie Żądanie zatwierdzone lub Żądanie odrzucone wybierz pozycję Zamknij.

Zatwierdzenie dowodów kryminalistycznych zarządzania ryzykiem wewnętrznym.

Odwoływanie przechwytywania zatwierdzeń

W razie potrzeby możesz odwołać zatwierdzenie dla konkretnych użytkowników i wykluczyć je z przechwytywania dowodów kryminalistycznych. Odwołanie zatwierdzenia nie powoduje usunięcia ani usunięcia żadnych istniejących przechwytywania dla tych użytkowników. Tylko przyszłe przechwytywanie działań dla tych użytkowników jest wyłączone.

Aby odwołać zatwierdzenia dla użytkowników, użytkownicy przypisani do grupy ról Osoby zatwierdzające zarządzanie ryzykiem wewnętrznym muszą wykonać następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Zarządzanie> ryzykiem wewnętrznymDowody> kryminalistyczneZarządzanie użytkownikami.
  2. Wybierz kartę Zatwierdzone użytkownicy .
  3. Wybierz użytkownika, a następnie wybierz pozycję Usuń.
  4. Na stronie potwierdzenia usunięcia wybierz pozycję Usuń , aby odwołać zatwierdzenie przechwytywania, lub wybierz pozycję Anuluj , aby zamknąć stronę potwierdzenia.

Tworzenie szablonów powiadomień i zarządzanie nimi

Możesz utworzyć szablon powiadomień i użyć go, aby wysłać wiadomość e-mail do użytkowników z informacją, że przechwytywanie dowodów kryminalistycznych zostanie włączone dla ich urządzenia zgodnie z zasadami organizacji. Wiadomość e-mail jest wysyłana do użytkowników tylko wtedy, gdy ich żądanie zostanie zatwierdzone.

Powiadomienie o dowodach kryminalistycznych zarządzania ryzykiem wewnętrznym.

Aby utworzyć nowy szablon powiadomień, wykonaj następujące kroki:

  1. W portal zgodności Microsoft Purview przejdź doszablonów powiadomień dotyczących zarządzania> ryzykiem wewnętrznymdowodów> kryminalistycznych.
  2. Wybierz pozycję Utwórz szablon powiadomień.
  3. W okienku Szablon nowego powiadomienia e-mail wypełnij następujące wymagane pola:
    • Nazwa szablonu
    • Wyślij z
    • Temat
    • Treść komunikatu
  4. Wybierz Zapisz.

Aby usunąć istniejący szablon powiadomień, wybierz szablon i wybierz pozycję Usuń.

Wyświetlanie przechwyconych klipów

Przechwycone klipy można wyświetlać i eksplorować, wybierając kartę Dowody kryminalistyczne po otwarciu Zarządzanie ryzykiem wewnętrznym w Microsoft Purview. Możesz również wybrać kartę Dowody kryminalistyczne z innych obszarów w rozwiązaniu, aby wyświetlić listę przechwyconych klipów w kontekście:

  • Pulpit nawigacyjny alertów. Klipy dostępne na pulpicie nawigacyjnym Alerty odpowiadają opcji przechwytywania określonych działań użytkownika podczas tworzenia zasad dowodów kryminalistycznych. Przechwycone klipy są definiowane przez wskaźniki wybrane w zasadach dowodów kryminalistycznych.
  • Raporty aktywności użytkowników. Klipy dostępne z raportów aktywności użytkownika odpowiadają opcji przechwytywania wszelkich działań związanych z zabezpieczeniami wykonywanych przez użytkowników uwzględnionych w zasadach dowodów kryminalistycznych.
  • Pulpit nawigacyjny przypadków. Klipy dostępne na pulpicie nawigacyjnym Cases to alerty, które zostały eskalowane do przypadków.

Uwaga

Jeśli jesteś członkiem grupy ról Insider Risk Management Investigators i grupy ról Administratorzy zarządzania ryzykiem wewnętrznym, po otwarciu Zarządzanie ryzykiem wewnętrznym w Microsoft Purview zostanie wyświetlony przycisk Przejrzyj przechwycone klipy. Jeśli wybierzesz przycisk Przejrzyj przechwycone klipy , zmieni się on na przycisk Otwórz dowody kryminalistyczne . Celem tego przycisku jest przechodzenie między listą przechwyconych klipów i ustawień, jeśli masz obie role. Dowiedz się więcej o grupach ról

Po wybraniu karty Dowody kryminalistyczne przechwycone klipy i skojarzone informacje są wyświetlane na liście. Jeśli wybierzesz przechwycony klip z listy, na środku ekranu zostanie wyświetlony odtwarzacz wideo, a po prawej stronie odtwarzacza wideo zostanie wyświetlona transkrypcja działań i zdarzeń z klipu.

Insider risk management forensic evidence captured clips list.

Każdy przechwycony klip zawiera następujące informacje:

  • Data/godzina (UTC): data, godzina (UTC) i czas trwania przechwytywania.
  • Urządzenie: nazwa urządzenia w Windows 10/11.
  • Działania: typ działania zarządzania ryzykiem wewnętrznym uwzględniony w przechwytywaniu. Te działania są oparte na wskaźnikach globalnych i wskaźnikach zasad przypisanych do skojarzonych zasad.
  • Użytkownik: nazwa użytkownika.
  • Adres URL (jeśli dotyczy): adres URL, do który użytkownik uzyskiwał dostęp podczas wykonywania działania.
  • Aplikacja (jeśli ma zastosowanie): aplikacja, do którą użytkownik uzyskiwał dostęp podczas wykonywania działania.
  • Tytuł aktywnego okna: tytuł okna, do których użytkownik uzyskiwał dostęp podczas wykonywania działania.

Aby wyświetlić przechwycony klip:

  1. W razie potrzeby skonfiguruj filtry w górnej części listy.

  2. Wybierz klip z listy.

  3. Za pomocą kontrolek odtwarzacza wideo wybierz kontrolkę Odtwarzanie , aby przejrzeć cały klip od początku do końca.

  4. Aby ograniczyć przegląd do określonego działania lub zdarzenia w klipie, wybierz działanie lub zdarzenie w transkrypcji. Możesz również użyć pola wyszukiwania powyżej transkrypcji, aby wyszukać określone działania lub zdarzenia.

    Uwaga

    Czerwony trójkąt w transkrypcji oznacza działanie.

Filtrowanie przechwyconej listy klipów

Filtry powyżej listy przechwyconych klipów umożliwiają filtrowanie pod kątem określonych działań i informacji.

  • Każdy filtr obsługuje maksymalnie 10 unikatowych identyfikatorów, więc na przykład można filtrować maksymalnie 10 użytkowników jednocześnie.
  • Użyj filtru nazwy adresu URL , aby dopasować nazwę domeny lub wyszukać dowolne słowo kluczowe po dopasowaniu domeny. Na przykład wprowadzenie słowa kluczowego "SharePoint" zwraca dowolny adres URL, który zawiera ciąg "SharePoint" w dowolnym miejscu w adresie URL.
  • Filtr Nazwy aplikacji umożliwia filtrowanie według wartości Zawiera dowolny z elementów lub Zawiera wszystkie z. Jeśli na przykład wybierzesz pozycję Zawiera dowolny z elementów i wprowadzisz ciąg "Contoso.com,Contoso2.com", możesz mieć jeden klip, który przechwytuje Contoso.com i inny, który przechwytuje Contoso2.com. Jeśli wybierzesz pozycję Zawiera wszystko i wprowadzisz ciąg "Contoso.com,Contoso2.com", wszystkie przechwycenia będą musiały zawierać obie domeny.
  • Filtr tytułu okna Aktywne zachowuje się tak samo jak filtr nazw aplikacji .

Usuwanie klipów

Użytkownicy przypisani do grupy ról Badacze zarządzania ryzykiem wewnętrznym mogą usuwać poszczególne klipy z listy przechwyconych klipów. W tym celu:

  1. Zaznacz pole wyboru obok przechwytywania.
  2. Wybierz przycisk Usuń (Kosz).

Użytkownicy przypisani do grupy ról Administratorzy zarządzania ryzykiem wewnętrznym mogą wykonywać zbiorcze usuwanie za pomocą ustawień. W tym celu:

  1. W portal zgodności Microsoft Purview przejdź do obszaru Insider risk management Forensic evidenceForensic evidence settings (Ustawienia dowodów>kryminalistycznychw ramach zarządzania> ryzykiem wewnętrznym).
  2. Upewnij się, że opcja Zezwalaj na usuwanie danych użytkownika kryminalistycznego przez administratora lub badacza jest ustawiona na Wartość Włączone.
  3. W obszarze Usuń dane użytkownika kliknij pozycję Wybierz użytkownika, a następnie wybierz użytkownika, dla który chcesz usunąć klipy.

Ważna

Klipy dowodowe kryminalistyczne są usuwane 120 dni po ich przechwyceniu. Możesz wyeksportować lub przenieść klipy dowodów kryminalistycznych przed ich usunięciem.

Pulpit nawigacyjny alertów

W przypadku alertów generowanych przez zasady możesz przejrzeć przechwytywanie dowodów kryminalistycznych na karcie Dowody kryminalistyczne na pulpicie nawigacyjnym Alerty . Jeśli dla alertu jest dostępnych co najmniej jedno przechwycenie, zobaczysz również link Wyświetl powiadomienie o dowodach kryminalistycznych w działaniu, które generuje sekcję nagłówka alertu. Możesz wybrać link powiadomienia lub kartę Dowody kryminalistyczne , aby przejrzeć listę przechwytywania działań.

Aktywność użytkownika dowodów kryminalistycznych zarządzania ryzykiem wewnętrznym.

Przegląd alertu pod kątem potencjalnie ryzykownych działań, które mogą zawierać przechwytywanie dowodów kryminalistycznych, jest zasadniczo taki sam jak przegląd alertu bez przechwytywania dowodów kryminalistycznych. Istotną różnicą jest dołączenie wszystkich odpowiednich przechwytów. Karta Dowody kryminalistyczne zapewnia dostęp do wszystkich dostępnych przechwytów skojarzonych z alertem.

Pulpit nawigacyjny przypadków

Jeśli alerty są eskalowane do przypadków, wszystkie skojarzone dowody kryminalistyczne są uwzględniane w ramach sprawy. Przeglądanie dowodów kryminalistycznych w przypadku przypadków jest zgodne z tym samym procesem, co przeglądanie przechwytywania alertów.

Raporty aktywności użytkowników

Raporty aktywności użytkowników umożliwiają badanie działań dla określonych użytkowników w określonym okresie bez konieczności tymczasowego lub jawnego przypisywania ich do zasad zarządzania ryzykiem wewnętrznym. Jeśli te działania użytkownika obejmują działania obsługiwane przez przechwytywanie dowodów kryminalistycznych, klipy są dołączane do działania użytkownika.

Jeśli skonfigurowano dowody kryminalistyczne do przechwytywania wszystkich działań użytkowników związanych z zabezpieczeniami, niezależnie od tego, czy są one uwzględnione w zasadach dowodów kryminalistycznych, aby przejrzeć następujące przechwycenia:

  1. Wybierz pozycję Omówienie zarządzania> ryzykiem wewnętrznym.
  2. W dolnej części ekranu Przegląd w obszarze Badanie aktywności użytkownika wybierz pozycję Zarządzaj raportami.
  3. Wybierz określonego użytkownika, a następnie wybierz kartę Dowody kryminalistyczne .
  4. Zapoznaj się z powyższymi instrukcjami.

Raport kondycji urządzenia (wersja zapoznawcza)

Po skonfigurowaniu urządzeń do obsługi dowodów kryminalistycznych możesz przejrzeć stan kondycji klienta usługi Microsoft Purview dla wszystkich urządzeń w organizacji, przechodząc do obszaruDowody>kryminalistyczne dotyczące zarządzania> ryzykiem wewnętrznymKondycja urządzenia.

Kondycja urządzenia dowodowego z analizy ryzyka związanego z zarządzaniem ryzykiem wewnętrznym.

Aby uzyskać listę minimalnych wymagań dotyczących urządzeń i konfiguracji, zobacz Dowiedz się więcej o dowodach kryminalistycznych. Aby dołączyć obsługiwane urządzenia, wykonaj kroki opisane w artykule Omówienie dołączania Windows 10 i Windows 11 urządzeń do platformy Microsoft 365.

Raport Kondycja urządzenia umożliwia wyświetlanie stanu i kondycji wszystkich urządzeń, na których zainstalowano agenta dowodów kryminalistycznych. Każdy widżet raportu w raporcie wyświetla informacje z ostatnich 24 godzin.

  • Urządzenia w trybie online: całkowita liczba urządzeń aktualnie w trybie online.
  • Urządzenia w trybie offline: całkowita liczba urządzeń aktualnie w trybie offline.
  • Urządzenia z ostrzeżeniami: całkowita liczba urządzeń z ostrzeżeniem.
  • Urządzenia z błędami: całkowita liczba urządzeń z błędem.

Kolejka kondycji urządzenia zawiera listę wszystkich urządzeń skonfigurowanych pod kątem dowodów kryminalistycznych w organizacji. Ponadto w raporcie wymieniono stan następujących atrybutów urządzenia:

  • Nazwa urządzenia: nazwa urządzenia zdefiniowana przez atrybut ComputerName urządzenia.
  • Stan urządzenia: stan klienta usługi Microsoft Purview na urządzeniu. Wartości stanu są następujące:
    • W dobrej kondycji: klient na urządzeniu działa prawidłowo, a funkcje przechwytywania dowodów kryminalistycznych są w pełni obsługiwane.
    • Ostrzeżenie: Klient na urządzeniu ma funkcje ostrzegania, a funkcje przechwytywania dowodów kryminalistycznych mogą nie być w pełni obsługiwane.
    • Błąd: Klient na urządzeniu ma błąd, a funkcje przechwytywania dowodów kryminalistycznych są wyłączone lub nie są w pełni obsługiwane.
  • Szczegóły stanu: więcej informacji o stanie urządzenia.
  • Ostatnia synchronizacja (UTC): data i godzina ostatniej synchronizacji stanu urządzenia.
  • Nazwa użytkownika: nazwa użytkownika zalogowanego na urządzeniu podczas wykonywania synchronizacji stanu.
  • Wersja systemu Windows: wersja systemu Microsoft Windows zainstalowana na urządzeniu.
  • Wersja klienta: wersja klienta usługi Microsoft Purview zainstalowana na urządzeniu.

Stan kondycji urządzenia zapewnia wgląd w potencjalne problemy z urządzeniami i klientem usługi Microsoft Purview. Kolumna Stan urządzenia na stronie Kondycja urządzenia może ostrzegać o problemach z urządzeniami, które mogą uniemożliwić przechwytywanie aktywności użytkownika lub dlaczego ilość dowodów kryminalistycznych jest nietypowa. Stan kondycji urządzenia może również potwierdzić, że urządzenia uwzględnione w przechwytywaniu dowodów kryminalistycznych są w dobrej kondycji i nie wymagają uwagi ani zmian konfiguracji. W poniższej tabeli wymieniono potencjalne komunikaty szczegółów stanu i zalecane akcje, które można podjąć w celu rozwiązania problemów z ostrzeżeniami i błędami:

Szczegóły stanu Stan Sugerowana akcja
Wystąpił wewnętrzny błąd serwera. W rezultacie może brakować danych przechwytywania. Error Tworzenie biletu pomocy technicznej u firmy Microsoft w celu dalszego zbadania
Przepustowość przekazywania osiągnęła 90% skonfigurowanego limitu na tym urządzeniu. Przechwycenia mogą zostać wkrótce zastąpione. Ostrzeżenie Zwiększ limit przepustowości przekazywania na stronie Ustawień dowodów kryminalistycznych .
Na tym urządzeniu osiągnięto skonfigurowany limit przepustowości przekazywania. W tym dniu nie będzie przekazywanych więcej przechwytów. Error Zwiększ limit przepustowości przekazywania na stronie Ustawień dowodów kryminalistycznych .
Magazyn w trybie offline osiągnął 90% skonfigurowanego limitu na tym urządzeniu. Przechwycenia mogą zostać wkrótce zastąpione. Ostrzeżenie Zwiększ limit pamięci podręcznej przechwytywania w trybie offline na stronie ustawień dowodów kryminalistycznych .
Na tym urządzeniu osiągnięto skonfigurowany limit magazynu w trybie offline. W związku z tym przechwytywanie w trybie offline jest zastępowane. Error Zwiększ limit pamięci podręcznej przechwytywania w trybie offline na stronie ustawień dowodów kryminalistycznych .
Użycie procesora CPU na urządzeniu przekroczyło maksymalny próg. Error Proces przechwytywania został zatrzymany i zostanie uruchomiony ponownie w ciągu kilku minut.
Użycie pamięci na urządzeniu przekroczyło maksymalny próg. Error Proces przechwytywania został zatrzymany i zostanie uruchomiony ponownie w ciągu kilku minut.
Użycie procesora GPU na urządzeniu przekroczyło maksymalny próg. Error Proces przechwytywania został zatrzymany i zostanie uruchomiony ponownie w ciągu kilku minut.
Klient usługi Microsoft Purview zainstalowany na urządzeniu nie może zsynchronizować z zasadami dowodów kryminalistycznych. Ostrzeżenie Nawiązywanie połączenia z klientem ponownej instalacji sieci &
Klient usługi Microsoft Purview zainstalowany na urządzeniu nie został zsynchronizowany z zasadami dowodów kryminalistycznych od ponad 24 godzin. Error Nawiązywanie połączenia z klientem ponownej instalacji sieci &
Klient usługi Microsoft Purview nie może przechwycić działania, ponieważ na tym urządzeniu nie wykryto karty graficznej. Error Dodaj kartę graficzną lub zastąp urządzenie kartą graficzną
Klient usługi Microsoft Purview nie może przechwycić działania, ponieważ na tym urządzeniu nie wykryto monitorów wyświetlania. Error Dodawanie monitorów wyświetlania dla tego urządzenia
Klient usługi Microsoft Purview nie może przechwycić działania, ponieważ monitory wyświetlania na tym urządzeniu zostały wyłączone lub odłączone. Error Łączenie/włączanie monitorów wyświetlania dla urządzenia
Urządzenie nie może uzyskać dostępu do katalogu, w którym są przechowywane dowody kryminalistyczne. Error Ponowne instalowanie klienta na tym urządzeniu
Inicjowanie kodera nie powiodło się. Error Zainstaluj ponownie klienta na tym urządzeniu.

Skontaktuj się z pomoc techniczna firmy Microsoft, jeśli zalecane akcje nie rozwiążą problemów z klientem.

Pojemność i rozliczenia

Po skonfigurowaniu dowodów kryminalistycznych możesz zdecydować się na zakup dodatku dowodów kryminalistycznych dla rozwiązania Insider Risk Management dla przechwyconych klipów. Dodatek jest dostępny dla organizacji z dowolną z następujących licencji: Microsoft 365 E5, Zgodność platformy Microsoft 365 E5 lub Microsoft 365 E5 Insider Risk Management.

Dodatek można kupić w jednostkach 100 GB miesięcznie. Zakupiona pojemność jest mierzona na podstawie dowodów kryminalistycznych pozyskanych na poziomie dzierżawy dla użytkowników uwzględnionych w zasadach dowodów kryminalistycznych. 100 GB jest mniej więcej równe około 1100 godzin dowodów kryminalistycznych przechwytuje na dzierżawę, w rozdzielczości wideo 1080p. Możesz pobrać kalkulator pojemności, aby oszacować liczbę gb potrzebnych danych miesięcznie.

Każda licencja dodatku jest ważna przez jeden miesiąc (30 dni) od daty zakupu. Możesz kupić wiele licencji w tym samym czasie, ale każda licencja dodatku dowodów kryminalistycznych jest ważna tylko przez jeden miesiąc od daty zakupu. Nieużywana pojemność zostaje utracona po wygaśnięciu licencji.

100 GB jest obliczane na podstawie ilości dowodów kryminalistycznych pozyskanych z punktów końcowych. Gdy dowody kryminalistyczne zostaną pozyskane, zostaną one zatrzymane przez 120 dni. Możesz w razie potrzeby wyeksportować dowody kryminalistyczne po 120-dniowym okresie przechowywania.

Plany płatności

Istnieją dwa plany płatności dostępne podczas zakupu dodatku za pośrednictwem Centrum administracyjne platformy Microsoft 365:

  • Płatność roczna (dostępna we wszystkich kanałach). Opcja zobowiązania rocznego umożliwia zakup liczby licencji określonych w każdym miesiącu przez 12 miesięcy. Jest ona odpowiednia dla klientów, którzy chcą mieć pewność, że co miesiąc mają dostępną pojemność do pozyskiwania dowodów kryminalistycznych bez przerwy. Ten plan płatności automatycznie uzupełni liczbę licencji zakupionych w każdym miesiącu. Licencja jest nadal ważna przez miesiąc od daty zakupu, a niewykorzystana pojemność zostanie utracona po wygaśnięciu licencji. Klienci mogą zdecydować się na jednorazowe rozliczenie lub podzielić rachunek na 12 miesięcznych płatności.
  • Płatność miesięczna (dostępna tylko w sieci Web bezpośrednio). Jeśli nie chcesz podejmować rocznych zobowiązań, możesz kupować liczbę licencji potrzebnych co miesiąc. Licencja jest ważna przez miesiąc od daty zakupu, a niewykorzystana pojemność zostanie utracona po wygaśnięciu licencji.

Czy mogę wypróbować możliwości kryminalistyczne przed jej zakupem?

Każda dzierżawa, która ma licencję Microsoft 365 E5, Zgodność platformy Microsoft 365 E5 lub Microsoft 365 E5 Insider Risk Management, może zarejestrować się, aby uzyskać licencję próbną 20 GB, aby wypróbować możliwości dowodów kryminalistycznych.

Uwaga

Licencja próbna 20 GB jest dostępna tylko dla klientów na starszej platformie handlowej. 

20 GB pojemności dostępnej za pośrednictwem licencji próbnej nie ma żadnego limitu czasu i jest dostępne do momentu użycia pełnych 20 GB. Jeśli nie wykorzystasz pełnych 20 GB w ciągu jednego roku, możesz go ponownie uaktywnić. Jeśli zakupisz licencję dodatku dowodów kryminalistycznych przed użyciem pojemności próbnej, będziesz mógł korzystać z pozostałej pojemności próbnej, dopóki nie zostanie wykorzystana przed rozpoczęciem pomiaru zakupionej pojemności przez system.

Jeśli wykorzystasz 20 GB pojemności próbnej i nie kupisz dodatku kryminalistycznego dla rozwiązania Insider Risk Management, będziesz w stanie wyświetlić wszystkie klipy, które zostały już pozyskane, ale nie będzie można pozyskiwać żadnych nowych klipów.

Tworzenie konta w celu 20 GB licencji próbnej

  1. W portal zgodności Microsoft Purview przejdź do obszaru Analizakryminalistyczna>i rozliczeniadotyczące zarządzania> ryzykiem wewnętrznym.

    Uwaga

    Możesz również zarejestrować się, aby uzyskać licencję próbną, na karciePulpit nawigacyjnydowodów> kryminalistycznych zarządzania> ryzykiem wewnętrznym.

  2. Wybierz pozycję Oświadczenia o pojemności 20 GB.

  3. Postępuj zgodnie z monitami w Centrum administracyjne platformy Microsoft 365.

Zakup dodatku kryminalistycznego dla rozwiązania Insider Risk Management

  1. Przejdź do Centrum administracyjne platformy Microsoft 365>Marketplace>Wszystkie produkty.
  2. Wyszukaj "dowody kryminalistyczne".

Analizowanie pojemności

Po zakupie pojemności (lub zarejestrowaniu się w celu skorzystania z licencji próbnej o rozmiarze 20 GB) możesz użyć strony Pojemność , aby przeanalizować ilość używanej pojemności i pozostałą pojemność. Możesz również analizować ilość pojemności, której używasz co miesiąc, wybierając z listy Użycie pojemności w GB lub wybierając pozycję Wyświetl całe użycie pojemności.

Strona Pojemność dowodów dotyczących zarządzania ryzykiem wewnętrznym.