Изучение действий по управлению внутренними рисками

  • Статья

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Исследование потенциально рискованных действий пользователей является важным первым шагом в минимизации внутренних рисков для вашей организации. Эти риски могут быть действиями, которые создают оповещения из политик управления внутренними рисками. Они также могут быть рисками из-за действий, связанных с соответствием требованиям, которые обнаруживаются политиками, но не сразу создают оповещения об управлении внутренними рисками для пользователей. Эти типы действий можно исследовать с помощью отчетов о действиях пользователей (предварительная версия) или с помощью панели мониторинга оповещений.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Отчеты об активности пользователей

Отчеты о действиях пользователей позволяют изучить потенциально рискованные действия (для конкретных пользователей и за определенный период времени), не назначая эти действия временно или явно политике управления внутренними рисками. В большинстве сценариев управления внутренними рисками пользователи явно определяются в политиках, и у них могут быть оповещения политики (в зависимости от событий активации) и оценки риска, связанные с действиями. Но в некоторых сценариях может потребоваться изучить действия для пользователей, которые явно не определены в политике. Эти действия могут быть для пользователей, которым вы получили подсказку о пользователе и потенциально рискованных действиях, или пользователей, которым обычно не нужно назначать политику управления внутренними рисками.

После настройки индикаторов на странице параметров управления внутренними рисками обнаруживается активность пользователя для потенциально рискованных действий, связанных с выбранными индикаторами. Эта конфигурация означает, что все обнаруженные действия для пользователей доступны для проверки, независимо от того, есть ли в нем событие активации или создается оповещение. Отчеты создаются для каждого пользователя и могут включать все действия за 90-дневный период. Несколько отчетов для одного пользователя не поддерживаются.

После изучения потенциально рискованных действий следователи могут отклонить действия отдельных пользователей как небезопасные. Они также могут поделиться ссылкой на отчет или отправить ее по электронной почте другим следователям или выбрать назначение пользователей (временно или явно) политике управления внутренними рисками. Пользователи должны быть назначены группе ролей "Следователи управления внутренними рисками " для просмотра страницы "Отчеты о действиях пользователей ".

Обзор отчета о действиях пользователей по управлению внутренними рисками.

Чтобы приступить к работе, выберите Управление отчетами в разделе Исследование действий пользователей на странице Обзор управления внутренними рисками.

Чтобы просмотреть действия пользователя, сначала выберите Create отчет о действиях пользователя и заполните следующие поля в области Новый отчет о действиях пользователей:

  • Пользователь: Поиск пользователя по имени или адресу электронной почты.
  • Дата начала. Используйте элемент управления "Календарь", чтобы выбрать дату начала действий пользователя.
  • Дата окончания. Используйте элемент управления календарь, чтобы выбрать дату окончания действий пользователя. Выбранная дата окончания должна быть больше двух дней после выбранной даты начала и не более 90 дней с выбранной даты начала.

Примечание.

Данные за пределами выбранного диапазона могут быть включены, если пользователь ранее был включен в оповещение.

Данные о действиях пользователей доступны для создания отчетов примерно через 48 часов после выполнения действия. Например, чтобы просмотреть данные о действиях пользователей за 1 декабря, необходимо убедиться, что до создания отчета прошло не менее 48 часов (вы создадите отчет не раньше 3 декабря).

Новые отчеты обычно занимают до 10 часов, прежде чем они будут готовы к проверке. Когда отчет будет готов, отчет готов появится в столбце Состояние на странице Отчет о действиях пользователя. Выберите пользователя, чтобы просмотреть подробный отчет:

Отчет о действиях пользователей управления внутренними рисками

Отчет о действиях пользователя для выбранного пользователя содержит вкладки Действия пользователя, Обозреватель действий и Судебно-медицинские доказательства:

  • Действия пользователей. Используйте это представление диаграммы для изучения потенциально рискованных действий и просмотра потенциально связанных действий, которые происходят последовательно. Эта вкладка структурирована для быстрого просмотра дела, включая исторические временная шкала всех действий, сведения о действиях, текущую оценку риска для пользователя в данном случае, последовательность событий риска и фильтрацию элементов управления для помощи в расследовании.
  • Обозреватель действий. Эта вкладка предоставляет следователям рисков комплексное средство аналитики, предоставляющее подробные сведения о действиях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все потенциально рискованные действия, связанные с оповещениями. Дополнительные сведения об использовании обозревателя действий см. в разделе Обозреватель действий далее в этой статье.

Панель мониторинга оповещений

Оповещения об управлении внутренними рисками автоматически создаются индикаторами риска, определенными в политиках управления внутренними рисками. Эти оповещения дают аналитикам и следователям по соответствию все представление о текущем состоянии риска и позволяют вашей организации рассматривать и принимать меры для обнаруженных потенциальных рисков. По умолчанию политики создают определенное количество оповещений с низким, средним и высоким уровнем серьезности, но вы можете увеличить или уменьшить объем оповещений в соответствии с вашими потребностями. Кроме того, можно настроить пороговое значение оповещений для индикаторов политики при создании новой политики с помощью средства создания политики.

Примечание.

Для всех создаваемых оповещений управление внутренними рисками создает одно агрегированное оповещение для каждого пользователя. Все новые аналитические сведения для этого пользователя добавляются в то же оповещение.

Ознакомьтесь с видео о проверке оповещений управления внутренними рисками , чтобы узнать, как оповещения предоставляют сведения, контекст и связанное содержимое для рискованных действий и как сделать процесс исследования более эффективным.

Примечание.

Если ваши политики ограничены одной или несколькими административными единицами, вы можете видеть оповещения только для пользователей, для которых задана область. Например, если административное область применяется только к пользователям в Германии, оповещения можно просматривать только для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

Панель мониторинга оповещений о внутренних рисках позволяет просматривать оповещения, созданные политиками внутренних рисков, и действовать с их помощью. В каждом мини-приложении отчета отображаются сведения за последние 30 дней.

  • Общее количество оповещений, требующих проверки. Отображается общее количество оповещений, требующих проверки и рассмотрения, включая разбивку по серьезности оповещений.
  • Открытые оповещения за последние 30 дней. Общее количество оповещений, созданных политикой, соответствует за последние 30 дней, отсортированных по высокому, среднему и низкому уровням серьезности оповещений.
  • Среднее время разрешения оповещений. Сводка полезной статистики оповещений:
    • Среднее время закрытия оповещений высокого уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений среднего уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений низкого уровня серьезности в часах, днях или месяцах.

Панель мониторинга оповещений об управлении внутренними рисками

Примечание.

Для защиты и оптимизации системы исследования и анализа рисков в системе управления внутренними рисками используется встроенный механизм регулирования оповещений. Это регулирование защищает от проблем, которые могут привести к перегрузке оповещений политики, таких как неправильно настроенные соединители данных или политики защиты от потери данных. В результате может возникать задержка при отображении новых оповещений для пользователя.

Состояние и серьезность оповещений

Оповещения можно рассматривать в одном из следующих состояний:

  • Подтверждено: оповещение, подтвержденное и назначенное новому или существующему делу.
  • Отклонено: оповещение, отклоненное как некачественное в процессе рассмотрения. Вы можете указать причину для закрытия оповещения и включить заметки, доступные в журнале оповещений пользователя, чтобы предоставить дополнительный контекст для будущих ссылок или для других рецензентов. Причины могут варьироваться от ожидаемых действий, непрактичных событий, простого сокращения количества действий оповещений для пользователя или причины, связанной с заметками об оповещении. Варианты классификации причин включают действие, ожидаемое для этого пользователя, действие достаточно влияет на меня для дальнейшего изучения, а оповещения для этого пользователя содержат слишком много действий.
  • Проверка потребностей: новое оповещение, в котором еще не выполнены действия по рассмотрению.
  • Устранено: оповещение, которое является частью закрытого и разрешенного случая.

Оценки риска оповещений автоматически вычисляются на основе нескольких индикаторов активности риска. Эти показатели включают тип активности с рисками, количество и частоту возникновения действий, историю рискованных действий пользователей и добавление рисков, которые могут повысить серьезность потенциально рискованных действий. Оценка риска оповещений управляет программным назначением уровня серьезности риска для каждого оповещения и не может быть настроена. Если оповещения остаются без изменений и действия риска продолжают накапливаться в оповещении, уровень серьезности риска может увеличиться. Аналитики рисков и следователи могут использовать степень серьезности риска оповещений для рассмотрения оповещений в соответствии с политиками и стандартами риска вашей организации.

Уровни серьезности риска оповещений:

  • Высокий уровень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют значительный риск. Связанные с рисками действия являются серьезными, повторяющимися и сильно связаны с другими значительными факторами риска.
  • Средняя степень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют умеренный риск. Соответствующие небезопасные действия являются умеренными и частыми и некоторым образом связаны с другими значимыми факторами риска.
  • Низкая серьезность. Потенциально рискованные действия и индикаторы для оповещения представляют незначительный риск. Связанные с рисками действия являются незначительными, более редкими и не связаны с другими значительными факторами риска.

Использование кнопки Copilot для создания сводки по оповещению

Вы можете использовать кнопку Copilot , чтобы быстро создать сводку по оповещению, даже не открывая его. При сводных данных по оповещению с помощью Microsoft Copilot в Purview в правой части экрана появится панель Copilot с сводкой оповещений.

Кнопка Copilot для управления внутренними рисками

Сводка оповещений содержит все основные сведения об оповещении, такие как активируемая политика, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Purview объединяет сведения о пользователе из всех оповещений и политик область и подчеркивает основные факторы риска пользователя.

Используйте кнопку Copilot , чтобы быстро суммировать каждое оповещение в очереди оповещений и определять приоритеты оповещений, требующих дальнейшего изучения. Для ложных срабатываний можно выбрать несколько оповещений и закрыть их массово, выбрав Закрыть оповещения.

Совет

Вы также можете использовать автономную версию Microsoft Copilot для безопасности для изучения управления внутренними рисками, защиты от потери данных (DLP) Microsoft Purview и Microsoft Defender XDR оповещений.

Фильтрация оповещений, сохранение представления набора фильтров, настройка столбцов или поиск оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации просмотреть большую очередь оповещений может быть непросто. Для отслеживания оповещений вы можете:

  • Фильтрация оповещений по различным атрибутам.
  • Сохраните представление набора фильтров для повторного использования позже.
  • Отображение или скрытие столбцов.
  • Поиск оповещения.

Фильтрация оповещений

  1. Выберите Добавить фильтр.

  2. Выберите один или несколько из следующих атрибутов:

    Атрибут Описание
    Действие, создающее оповещение Отображает наиболее потенциально рискованное действие и соответствие политик в течение периода оценки действий, который привел к созданию оповещения. Это значение может обновляться с течением времени.
    Причина увольнения оповещений Причина для закрытия оповещения.
    Кому назначено Администратор, которому назначено оповещение для рассмотрения (если назначено).
    Политика Имя политики.
    Факторы риска Факторы риска, которые помогают определить, насколько рискованной может быть активность пользователя. Возможные значения: Совокупные действия кражи, Действия включают приоритетное содержимое, Действия последовательности, Действия включают не разрешенные домены, Член группы пользователей с приоритетом и Потенциальный пользователь с высокой степенью влияния.
    Серьезность Уровень серьезности риска пользователя. Возможные варианты: Высокий, Среднийи Низкий.
    Состояние Состояние оповещения. Доступные параметры: Подтверждено, Закрыто, Требуется проверкаи Устранено.
    Время обнаружения (UTC) Даты начала и окончания создания оповещения. Фильтр выполняет поиск оповещений в формате UTC 00:00 в начальной дате и UTC 00:00 в дате окончания.
    Событие активации Событие, которое привело пользователя к область политики. Событие активации может меняться со временем.

    Выбираемые атрибуты добавляются на панель фильтра.

  3. Выберите атрибут на панели фильтра, а затем выберите значение для фильтрации. Например, выберите атрибут Time detected (UTC), введите или выберите даты в полях Дата начала и Дата окончания , а затем нажмите кнопку Применить.

    Совет

    Если вы хотите начать заново в любой момент, выберите Сбросить все на панели фильтров.

Сохранение представления набора фильтров для повторного использования позже

  1. После применения фильтров, как описано в предыдущей процедуре, нажмите кнопку Сохранить над панелью фильтров, введите имя для набора фильтров и нажмите кнопку Сохранить.

    Набор фильтров добавляется как карта над панелью фильтра. Он включает число, показывающее количество оповещений, соответствующих условиям в наборе фильтров.

    Примечание.

    Можно сохранить до пяти наборов фильтров. Если вам нужно удалить набор фильтров, нажмите кнопку с многоточием (три точки) в правом верхнем углу карта и нажмите кнопку Удалить.

  2. Чтобы повторно применить сохраненный набор фильтров, просто выберите карта для набора фильтров.

Отображение или скрытие столбцов

  1. В правой части страницы выберите Настроить столбцы.

  2. Установите или снимите флажки для столбцов, которые нужно отобразить или скрыть.

Параметры столбцов сохраняются в сеансах и браузерах.

Поиск для оповещений

Используйте элемент управления Поиск для поиска имени участника-пользователя (UPN), назначенного имени администратора или идентификатора оповещения.

Закрыть несколько оповещений (предварительная версия)

Это может помочь сэкономить время рассмотрения для аналитиков и следователей, чтобы немедленно закрыть несколько оповещений одновременно. Параметр Закрыть панель команд оповещений позволяет выбрать одно или несколько оповещений с состоянием Проверка потребностей на панели мониторинга и быстро закрыть эти оповещения как неопасные в процессе рассмотрения. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Закрыть оповещение о внутренних рисках

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещение (или оповещения), которое имеет состояние Проверки потребностей .
  5. На панели команд Оповещений выберите Закрыть оповещения.
  6. На панели Сведений о закрытии оповещений просмотрите сведения о пользователе и политике, связанных с выбранными оповещениями.
  7. Выберите Закрыть оповещения, чтобы разрешить оповещения как неопасные.

Назначение оповещения

Если вы являетесь администратором и являетесь членом группы ролей "Управление внутренними рисками", "Аналитики по управлению внутренними рисками" или "Следователи по управлению внутренними рисками ", вы можете назначить право владения оповещением себе или пользователю управления внутренними рисками с одной из этих же ролей. После назначения оповещения можно также переназначить его пользователю с любой из одинаковых ролей. Вы можете назначить оповещение только одному администратору за раз.

Примечание.

Если ваши политики ограничены одной или несколькими административными единицами, право владения оповещением может быть предоставлено только пользователям управления внутренними рисками с соответствующими разрешениями группы ролей, а пользователь, выделенный в оповещении, должен находиться в область подразделения администрирования. Например, если административное область применяется только к пользователям в Германии, пользователь управления внутренними рисками может видеть только оповещения для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

После назначения администратора можно выполнить поиск по администратору.

Примечание.

Администраторы, содержащиеся в группе безопасности Microsoft Entra, не поддерживают назначение оповещений. Администраторы должны быть напрямую назначены одной из необходимых ролей.

Назначение оповещения на панели мониторинга оповещений

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещения, которые нужно назначить.
  5. На панели кнопок над очередью оповещений выберите Назначить.
  6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
  7. Нажмите Назначить.

Назначение оповещения на странице сведений об оповещениях

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. Выберите оповещение.
  5. В области сведений об оповещении в правом верхнем углу страницы выберите Назначить.
  6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Рассмотрение оповещений

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещений выберите оповещение, которое нужно рассмотреть.
  5. На странице сведений об оповещении можно просмотреть сведения об оповещении. Вы можете подтвердить оповещение и создать новое дело, подтвердить оповещение и добавить его в существующее дело или закрыть оповещение. Эта страница также содержит текущее состояние оповещения и уровень серьезности риска оповещения, перечисленные как Высокий, Средний или Низкий. Уровень серьезности может увеличиваться или уменьшаться с течением времени, если оповещение не проверяется.

Раздел заголовка и сводки

В этом разделе содержатся общие сведения о пользователе и оповещении. Эти сведения доступны для контекста при просмотре подробных сведений об обнаруженном действии управления рисками, включенных в оповещение для пользователя:

  • Действие, создающее это оповещение. Отображает первое потенциально опасное действие и соответствие политик в течение периода оценки действия, который привел к созданию оповещения.
  • Событие триггера. Отображает последнее событие триггера, которое побудило политику начать назначать оценки риска действиям пользователя. Если вы настроили интеграцию с соответствием требованиям к обменуданными для утечек данных пользователями, рискующими пользователями , или нарушений политики безопасности политиками пользователей , вызывающим риск, событие активации для этих оповещений распространяется на действия по соответствию требованиям к обмену данными.
  • Сведения о пользователе. Отображает общие сведения о пользователе, назначенном оповещению. Если анонимизация включена, поля имени пользователя, адреса электронной почты, псевдонима и организации становятся анонимными.
  • Журнал оповещений пользователей. Отображает список оповещений для пользователя за последние 30 дней. Содержит ссылку для просмотра полного журнала оповещений для пользователя.

Примечание.

При обнаружении пользователя как потенциального пользователя с высоким влиянием эта информация выделяется в заголовке оповещения на странице Сведений о пользователе . Сведения о пользователе также включают сводку с причинами, по которым пользователь был обнаружен как таковой. Дополнительные сведения о настройке индикаторов политики для потенциальных пользователей с высоким влиянием см. в статье Параметры управления внутренними рисками.

Оповещения, созданные политиками, которые относятся только к действиям, включающим приоритетное содержимое , включают в себя оценку только действия с приоритетным содержимым для этого уведомления об оповещении в этом разделе.

Совет

Чтобы получить краткий обзор оповещения, нажмите кнопку Суммировать на странице сведений об оповещении. При нажатии кнопки Сводка в правой части страницы появится панель Copilot с сводкой оповещений. Сводка оповещений содержит все основные сведения об оповещении, такие как активируемая политика, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Purview объединяет сведения о пользователе из всех оповещений и политик область и подчеркивает основные факторы риска пользователя. Вы также можете свести итог оповещения из очереди оповещений без необходимости открывать оповещение с помощью кнопки Copilot. Или используйте автономную версию Microsoft Copilot для безопасности для изучения управления внутренними рисками, защиты от потери данных (DLP) Microsoft Purview и Microsoft Defender XDR оповещений.

Все факторы риска

На этой вкладке откроется сводка факторов риска для действий пользователя с оповещениями. Факторы риска помогут определить, насколько рискованны действия этого пользователя по управлению рисками во время проверки. Факторы риска включают в себя сводки для:

  • Основные действия кражи. Отображает действия кражи с наибольшим числом или событиями для оповещения.
  • Действия накопительной кражи. Отображает события, связанные с накопительными действиями кражи.
  • Последовательности действий. Отображает обнаруженные потенциально рискованные действия, связанные с последовательностью рисков.
  • Необычные действия для этого пользователя. Отображает конкретные действия для пользователя, которые считаются потенциально рискованными, так как они необычны и отличаются от типичных действий.
  • Содержимое приоритета. Отображает потенциально рискованные действия, связанные с приоритетным содержимым.
  • Неуправляемые домены. Отображает потенциально рискованные действия для событий, связанных с не разрешенными доменами.
  • Доступ к записям работоспособности. Отображает потенциально рискованные действия для событий, связанных с доступом к записям работоспособности.
  • Рискованное использование браузера. Отображает потенциально рискованные действия для событий, связанных с просмотром потенциально неподходящих веб-сайтов.

При использовании этих фильтров отображаются только оповещения с указанными выше факторами риска, но действия, создающие оповещение, могут не подпадать ни в одну из этих категорий. Например, оповещение, содержащее действия последовательности, могло быть создано просто потому, что пользователь скопировал файл на USB-устройство.

Обнаружено содержимое

Раздел на вкладке Все факторы риска содержит содержимое, связанное с действиями риска для оповещения, и содержит сводку событий действий по ключевым областям. При выборе ссылки на действие открывается обозреватель действий и отображаются дополнительные сведения о действии.

Обозреватель действий

На этой вкладке откроется обозреватель действий. Дополнительные сведения см. в разделе Обозреватель действий этой статьи.

Действия пользователей

Диаграмма активности пользователей является одним из самых мощных средств для анализа внутренних рисков и исследования оповещений и случаев в решении для управления внутренними рисками. Эта вкладка структурирована для быстрого просмотра всех действий пользователя, включая исторические временная шкала всех оповещений, сведения об оповещении, текущую оценку риска для пользователя и последовательность событий риска.

Действия пользователей по управлению внутренними рисками

  1. Действия с вариантами: параметры для разрешения дела находятся на панели инструментов действия дела. При просмотре дела можно разрешить дело, отправить пользователю уведомление по электронной почте или передать дело для анализа данных или пользователей.

  2. Хронология действий по рискам. Приведена полная хронология всех оповещений о рисках, связанных с делом, включая все сведения, доступные в соответствующем пузырьке оповещений.

  3. Фильтры и сортировка (предварительная версия):

    • Категория риска: Фильтрация действий по следующим категориям риска: Действия с оценкой > риска 15 (если только в последовательности) и Действия последовательности.
    • Тип действия: фильтрация действий по следующим типам: Доступ, Удаление, Сбор, Кража, Проникновение, Запутывание и Безопасность.
    • Сортировка по: перечисление временная шкала потенциально рискованных действий по дате возникновения или оценке риска.

  4. Фильтры времени. По умолчанию последние три месяца потенциально рискованных действий отображаются на диаграмме Действия пользователей. Вы можете легко отфильтровать представление диаграммы, выбрав вкладки "6 месяцев", "3 месяца" или " 1 месяц " на пузырьковой диаграмме.

  5. Последовательность рисков. Хронологический порядок потенциально рискованных действий является важным аспектом исследования рисков, и выявление этих связанных действий является важной частью оценки общего риска для вашей организации. Связанные действия оповещений отображаются с соединительными линиями, чтобы подчеркнуть, что эти действия связаны с большей областью риска. Последовательности также определяются в этом представлении значком, расположенным над действиями последовательности относительно оценки риска для последовательности. Наведите указатель мыши на значок, чтобы увидеть дату и время опасного действия, связанного с этой последовательностью. Это представление о действиях может помочь следователям буквально "соединить точки" для действий, связанных с рисками, которые можно было бы рассматривать как изолированные или одноразовые события. Щелкните значок или любой пузырек в последовательности, чтобы отобразить сведения обо всех связанных действиях с рисками. Подробные сведения:

    • Имя последовательности.
    • Дата или диапазон дат последовательности.
    • Оценка риска для последовательности. Эта оценка представляет собой числовую оценку для последовательности объединенных уровней серьезности риска оповещений для каждого связанного действия в последовательности.
    • Количество событий, связанных с каждым оповещением в последовательности. Также доступны ссылки на каждый файл или сообщение электронной почты, связанные с каждым потенциально рискованным действием.
    • Последовательное отображение действий. Отображает последовательность в виде выделенной линии на пузырьковой диаграмме и разворачивает сведения об оповещении, чтобы отобразить все связанные оповещения в последовательности.

  6. Действия и сведения об оповещении о рисках. Потенциально рискованные действия визуально отображаются в виде цветных пузырьков на диаграмме активности пользователей. Пузырьки создаются для разных категорий риска. Выберите пузырек, чтобы отобразить сведения о каждом потенциально рискованном действии. Подробные сведения:

    • Дата действия риска.
    • Категория действия риска. Например, Email с вложениями, отправленными за пределы организации, или файлы, скачанные из SharePoint Online.
    • Оценка риска для оповещения. Эта оценка представляет собой числовую оценку уровня серьезности риска оповещения.
    • Количество событий, связанных с оповещением. Также доступны ссылки на каждый файл или адрес электронной почты, связанные с действием риска.

  7. Совокупные действия кражи. Нажмите эту кнопку, чтобы просмотреть визуальную диаграмму того, как со временем создается активность для пользователя.

  8. Условные обозначения действий риска. В нижней части диаграммы активности пользователей условные обозначения с цветовой кодировкой помогают быстро определить категорию риска для каждого оповещения.

Обозреватель действий

Примечание.

Обозреватель действий доступен в области управления оповещениями для пользователей, активировающих события после того, как эта функция будет доступна в вашей организации.

Обозреватель действий предоставляет экспертам по рискам и аналитикам комплексный инструмент аналитики, предоставляющий подробные сведения об оповещениях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных потенциально рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями.

Использование обозревателя действий

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещений выберите оповещение, которое нужно рассмотреть.
  5. В области Сведений об оповещениях выберите Открыть развернутое представление.
  6. На странице выбранного оповещения выберите вкладку Обозреватель действий .

При просмотре действий в обозревателе действий следователи и аналитики могут выбрать определенное действие и открыть область сведений о действиях. На панели отображаются подробные сведения о действиях, которые следователи и аналитики могут использовать в процессе рассмотрения оповещений. Подробные сведения могут содержать контекст для оповещения и помочь в определении полного область действия риска, которое вызвало оповещение.

При выборе событий действия из временная шкала действия количество действий, отображаемых в обозревателе, может не соответствовать числу событий действий, перечисленных в временная шкала. Примеры того, почему может возникнуть эта разница:

  • Накопительное обнаружение кражи. Накопительное обнаружение кражи анализирует журналы событий, но применяет модель, которая включает дедупликацию аналогичных действий для вычисления совокупного риска кражи. Кроме того, также может быть разница в количестве потенциально рискованных действий, отображаемых в обозревателе действий, если вы внесли изменения в существующую политику или параметры. Например, если изменить разрешенные или не разрешенные домены или добавить новые исключения типов файлов после создания политики и выполнения потенциально опасных действий, действия по обнаружению совокупных краж будут отличаться от результатов до изменения политики или параметров. Суммарные итоги действий обнаружения кражи основаны на политике и конфигурации параметров на момент вычисления и не включают действия до изменения политики и параметров.
  • Сообщения электронной почты внешним получателям. Потенциально рискованное действие для сообщений, отправляемых внешним получателям, назначается оценка риска на основе количества отправленных сообщений, которое может не соответствовать журналам событий действий.

Сведения об обозревателе действий управления внутренними рисками.

Последовательности, содержащие события, исключенные из оценки рисков

Последовательность может содержать одно или несколько событий, которые исключаются из оценки рисков на основе конфигурации параметров. Например, ваша организация может использовать параметр Интеллектуальное обнаружение, чтобы исключить .png файлы из оценки рисков, так как .png файлы обычно не являются рискованными. Но для маскировки вредоносного действия можно использовать файл .png. По этой причине, если событие, исключенное из оценки риска, является частью последовательности из-за действия маскировки, событие включается в последовательность, так как оно может быть интересно в контексте последовательности.

Обозреватель действий отображает следующие сведения для исключенных событий в последовательностях:

  • Если последовательность содержит шаг, на котором исключаются все события, аналитические сведения включают только имя действия и дату. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий. Значок точечной диаграммы действия пользователя имеет оценку риска 0, если все события исключены.
  • Если в последовательности есть аналитические сведения об исключении некоторых событий, отображаются сведения о событиях для неисключаемых событий, но число событий не включает исключенные события. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий.
  • Если выбрать ссылку последовательности для аналитики, можно детализировать последовательность событий в области сведений о действии, включая все события, которые были исключены из оценки. Событие, исключенное из оценки, помечается как исключенное.

Фильтрация оповещений в обозревателе действий

Чтобы отфильтровать оповещения в обозревателе действий для сведений о столбцах, выберите Фильтры. Оповещения можно фильтровать по одному или нескольким атрибутам, перечисленным в области сведений для оповещения. Обозреватель действий также поддерживает настраиваемые столбцы, помогающие следователям и аналитикам сосредоточиться на панели мониторинга на наиболее важных для них сведениях.

Используйте фильтры Область действий, Фактор риска и Проверка состояния для отображения и сортировки действий и аналитических сведений для следующих областей.

  • Действие область. Фильтрует все оцененные действия для пользователя.

    • Все оцененные действия для этого пользователя
    • Только оцененные действия в этом оповещении

  • Фактор риска: фильтры по действиям факторов риска, применимым ко всем политикам, назначающим оценки риска. Это включает в себя все действия для всех политик для пользователей в область.

    • Необычные действия
    • Включает события с приоритетным содержимым
    • Включает события с неотключимым доменом
    • Действия последовательности
    • Совокупные действия кражи
    • Действия по доступу к записям работоспособности
    • Рискованное использование браузера

  • Состояние проверки: состояние проверки действий фильтров.

    • Все
    • Еще не проверено (отфильтровывает все действия, которые были частью оповещений об отклонении или разрешении)

Обзор обозревателя действий по управлению внутренними рисками

Сохранение представления фильтра для повторного использования в дальнейшем

Если вы создаете фильтр и настраиваете столбцы для фильтра, вы можете сохранить представление изменений, чтобы вы или другие пользователи могли быстро фильтровать те же изменения позже. При сохранении представления сохраняются фильтры и столбцы. При загрузке представления загружаются как сохраненные фильтры, так и столбцы.

  1. Create фильтра и настройки столбцов.

    Совет

    Если вы хотите начать заново в любой момент, нажмите кнопку Сбросить. Чтобы изменить настраиваемые столбцы, выберите Сбросить столбцы.

  2. Когда у вас будет нужный фильтр, выберите Сохранить это представление, введите имя представления, а затем нажмите кнопку Сохранить.

    Примечание.

    Максимальная длина имени представления составляет 40 символов, и вы не можете использовать специальные символы.

  3. Чтобы повторно использовать представление фильтра позже, выберите Представления, а затем выберите представление, которое нужно открыть, на вкладке Рекомендуемые представления (отображаются наиболее используемые представления) или на вкладке Пользовательские представления (наиболее часто используемые фильтры отображаются в верхней части списка).

При выборе представления таким образом все существующие фильтры сбрасываются и заменяются выбранным представлением.

Create обращение к оповещению

Вы можете создать обращение к оповещению, если хотите дополнительно изучить потенциально рискованные действия.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещение, которое требуется подтвердить, и создайте новое дело.
  5. В области Сведения об оповещениях выберите Действия>Подтвердить оповещения & создать дело.
  6. В диалоговом окне Подтверждение оповещений и создание случая для внутренних рисков введите имя для дела, выберите пользователей для добавления в качестве участников и добавьте комментарии, если это применимо. Примечания автоматически добавляются в дело в качестве заметки к делу.
  7. Выберите вариант Create, чтобы создать новый вариант.

После создания дела следователи и аналитики могут управлять делом и действовать по ней. Дополнительные сведения см. в статье Об управлении внутренними рисками .

Ограничения хранения и элементов

По мере старения оповещений об управлении внутренними рисками их ценность для минимизации потенциально рискованных действий для большинства организаций снижается. И наоборот, активные случаи и связанные с ними артефакты (оповещения, аналитические сведения, действия) всегда ценны для организаций и не должны иметь автоматической даты окончания срока действия. Сюда входят все будущие оповещения и артефакты в активном состоянии для любого пользователя, связанного с активным делом.

Чтобы свести к минимуму количество старых элементов, которые предоставляют ограниченное текущее значение, для оповещений об управлении внутренними рисками, случаев и пользовательских отчетов применяются следующие ограничения и хранение:

Элемент Хранение и ограничение
Оповещения с состоянием проверки потребностей 120 дней с момента создания оповещений, а затем автоматически удаляется
Активные варианты (и связанные артефакты) Бессрочное хранение, никогда не истечет
Разрешенные случаи (и связанные артефакты) 120 дней с момента разрешения обращения, а затем автоматически удаляется
Максимальное число активных обращений 100
Отчеты о действиях пользователей 120 дней с момента создания отчета, а затем автоматически удаляется

Получение помощи в управлении очередью оповещений о внутренних рисках

Проверка, исследование и использование потенциально рискованных внутренних оповещений — это важная часть минимизации внутренних рисков в организации. Быстрое принятие мер по минимизации влияния этих рисков может сэкономить время, деньги и нормативные или юридические последствия для вашей организации. В этом процессе исправления первый шаг проверки оповещений может показаться наиболее сложной задачей для многих аналитиков и исследователей. В зависимости от ваших обстоятельств вы можете столкнуться с некоторыми незначительными препятствиями при выполнении действий с потенциально рискованными внутренними оповещениями. Ознакомьтесь со следующими рекомендациями и узнайте, как оптимизировать процесс проверки оповещений.

Слишком мало оповещений для просмотра

Если вы получаете слишком мало оповещений:

  • Обновите параметры. Изменения, внесенные в параметры, применяются глобально во всех политиках.

    • Включите дополнительные индикаторы. Выбор дополнительных индикаторов дает политикам большую группу действий для обнаружения.

      Перейдите в раздел Параметры Индикаторы>политики, а затем включите все доступные и соответствующие индикаторы.

    • Создание дополнительных оповещений путем настройки ползунка громкости оповещений . Используйте этот ползунок для просмотра всех оповещений средней и высокой серьезности, а также большинства оповещений с низким уровнем серьезности. Примечание. Настройка ползунка может привести к большему количества ложных срабатываний.

      Перейдите в раздел Параметры>Интеллектуальные обнаружения Том оповещений> и переместите ползунок в раздел Дополнительные оповещения.

  • Определите политику, которая создает недостаточно оповещений:

    • Увеличьте охват пользователей в политике. Политики с небольшим числом пользователей, включенных в область, с меньшей вероятностью создают оповещения. При необходимости рассмотрите возможность увеличения числа пользователей в область для политики.

      Выберите определенную политику на странице Политики, выберите Изменить политику, а затем перейдите на страницу Пользователи и группы, чтобы увеличить количество пользователей в область.

    • Понизите пороговые значения триггера в политике. Политики, основанные на шаблонах утечки данных и рискованном использовании браузера (предварительная версия), позволяют настраивать некоторые пороговые значения триггеров. Эти пороговые значения определяют, когда вы начнете обнаруживать действия пользователей. При снижении пороговых значений триггера снижается условие, чтобы пользователь начал оценивать рискованные действия. Примечание. Если пользователь не отображается на странице Пользователи и группы , это означает, что условия запуска событий еще не выполнены.

      Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения триггера , выберите параметр Использовать пользовательские пороговые значения , а затем задайте пороговые значения.

    • Изменение индикаторов в политике. Индикаторы — это действия, которые должны выполняться пользователем, чтобы считаться рискованными. Если в политике выбрано не так много индикаторов (действий, которые считаются рискованными), то оповещение будет создаваться с меньшей вероятностью.

      Перейдите к определенной политике на странице Политики , выберите Изменить политику, а затем перейдите на страницу Индикаторы .

    • Более низкие пороговые значения индикаторов в политике. После того как пользователи начнут оцениваться (имеют событие триггера), оповещение будет создано только для этих пользователей, если они выполняют действия, превышающие определенное пороговое значение, которое может указывать на риск их действия. Снижение пороговых значений индикаторов приведет к снижению порогового значения, которое пользователи должны превысить, чтобы создать оповещение.

      Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения индикаторов , выберите параметр Настроить пороговые значения и задайте пороговые значения.

Слишком много оповещений для просмотра

Если вы получаете слишком много допустимых оповещений или имеете слишком много устаревших оповещений с низким риском, попробуйте выполнить следующие действия:

  • Включить аналитику. Включение аналитики поможет быстро определить потенциальные области риска для пользователей и определить тип и область политик управления внутренними рисками, которые может потребоваться настроить. Дополнительные сведения об аналитике см. в статье Параметры управления внутренними рисками: Аналитика. Вы также можете получить аналитические сведения из аналитики в режиме реального времени, если хотите воспользоваться преимуществами интерактивного (управляемого данными) порогового интерфейса, который поможет вам настроить соответствующие пороговые значения при создании новой политики или настройке существующей политики. Эти аналитические сведения помогут эффективно скорректировать выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики. Дополнительные сведения см. в статье Использование аналитики в режиме реального времени для управления объемом оповещений.

  • Настройка политик внутренних рисков. Выбор и настройка правильной политики внутренних рисков — это самый простой метод для устранения типа и объема оповещений. Начиная с соответствующего шаблона политики , вы можете сосредоточиться на типах действий и оповещений о рисках, которые вы видите. Другие факторы, которые могут повлиять на объем оповещений, — это размер пользователя и групп в область, а также содержимое и каналы, которые имеют приоритет. Рассмотрите возможность корректировки политик, чтобы уточнить эти области с учетом наиболее важных для вашей организации.

  • Изменение параметров внутренних рисков. Параметры риска предварительной оценки включают широкий спектр параметров конфигурации, которые могут повлиять на объем и типы получаемых оповещений. Обязательно просмотрите и изучите следующие параметры, чтобы отфильтровать шум оповещений:

  • Включение встроенной настройки оповещений. Включение встроенной настройки оповещений позволяет аналитикам и следователям быстро изменять политики при просмотре оповещений. Они могут обновлять пороговые значения для обнаружения действий с помощью рекомендаций Майкрософт, настраивать пользовательские пороговые значения или игнорировать тип действия, создавшего оповещение. Если это не включено, то только пользователи, назначенные группе ролей Управление внутренними рисками , могут использовать встроенную настройку оповещений.

  • Массовое удаление оповещений, если применимо. Это может помочь сэкономить время рассмотрения для аналитиков и следователей, чтобы немедленно закрыть несколько оповещений одновременно. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Не знакомы с процессом рассмотрения оповещений

Изучение оповещений и выполнение действий в управлении внутренними рисками очень просто:

  1. Просмотрите панель мониторинга оповещений на наличие оповещений с состоянием Проверка потребностей. При необходимости фильтруйте по состоянию оповещения, чтобы помочь найти эти типы оповещений.
  2. Начните с оповещений с наивысшей степенью серьезности. При необходимости фильтруйте по серьезности оповещений , чтобы помочь найти эти типы оповещений.
  3. Выберите оповещение, чтобы найти дополнительные сведения и просмотреть сведения об оповещении. При необходимости используйте обозреватель действий, чтобы просмотреть временная шкала связанного потенциально рискованного поведения и определить все действия, связанные с рисками для оповещения.
  4. Действовать в соответствии с оповещением. Вы можете либо подтвердить и создать дело для оповещения, либо закрыть и разрешить оповещение.

Ограничения ресурсов в моей организации

Современные пользователи на рабочем месте часто имеют широкий спектр обязанностей и требований к своему времени. Существует несколько действий, которые можно предпринять для устранения ограничений ресурсов:

  • В первую очередь сосредоточьтесь на оповещениях о самом высоком риске. В зависимости от политик вы можете записывать действия пользователей и создавать оповещения с различной степенью потенциального влияния на усилия по устранению рисков. Фильтрация оповещений по серьезности и определение приоритета для оповещений с высоким уровнем серьезности .
  • Назначьте пользователей аналитиками и следователями. Назначение правильному пользователю соответствующих ролей является важной частью процесса проверки оповещений о внутренних рисках. Убедитесь, что вы назначили соответствующих пользователей группам ролей аналитиков управления внутренними рисками и следователей по управлению внутренними рисками .
  • Используйте автоматизированные функции внутренних рисков для обнаружения действий с наибольшим риском.