Поделиться через


Начало работы с управлением внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Используйте политики управления внутренними рисками для выявления рискованных действий и средств управления для работы с оповещениями о рисках в организации. Выполните следующие действия, чтобы настроить предварительные требования и настроить политику управления внутренними рисками.

Важно!

Решение для управления внутренними рисками предоставляет возможность на уровне клиента, чтобы помочь клиентам упростить внутреннее управление на уровне пользователя. Администраторы уровня клиента могут настроить разрешения для предоставления доступа к этому решению членам организации, а также настроить соединители данных на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview для импорта соответствующих данных для поддержки идентификации на уровне пользователя потенциально рискованных действий. Клиенты признают, что аналитические сведения, связанные с поведением, характером или производительностью отдельного пользователя, могут быть рассчитаны администратором и предоставлены другим пользователям в организации. Кроме того, клиенты признают, что они должны провести собственное полное расследование, связанное с поведением, характером или производительностью отдельного пользователя, а не просто полагаться на аналитические сведения от службы управления внутренними рисками. Клиенты несут полную ответственность за использование службы управления внутренними рисками и любой связанной функции или службы в соответствии со всеми применимыми законами, включая законы, касающиеся идентификации отдельных пользователей и любых действий по исправлению.

Дополнительные сведения о том, как политики внутренних рисков могут помочь вам управлять рисками в организации, см. в статье Сведения об управлении внутренними рисками.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подписки и лицензирование

Прежде чем приступить к управлению внутренними рисками, необходимо подтвердить подписку на Microsoft 365 и все надстройки. Чтобы получить доступ к управлению внутренними рисками и использовать их, администраторы должны убедиться, что у организации есть поддерживаемая подписка, а пользователям назначены соответствующие лицензии. Дополнительные сведения о подписках и лицензировании см. в разделе Требования к подпискам для управления внутренними рисками.

Важно!

Управление внутренними рисками в настоящее время доступно в клиентах, размещенных в географических регионах и странах, поддерживаемых зависимостями служб Azure. Сведения о поддержке управления внутренними рисками для вашей организации см. в статье Доступность зависимостей Azure по странам или регионам.

Если у вас нет плана Microsoft 365 корпоративный E5 и вы хотите попробовать управление внутренними рисками, вы можете добавить Microsoft 365 в существующую подписку или зарегистрироваться для получения пробной версии Microsoft 365 корпоративный E5.

Выставление счетов с оплатой по мере использования

Некоторые индикаторы, включенные в управление внутренними рисками, доступны только при включении модели выставления счетов с оплатой по мере использования для организации. Дополнительные сведения см . в разделе Настройка индикаторов политики в управлении внутренними рисками.

Рекомендуемые действия помогут вашей организации быстро справиться с управлением внутренними рисками. Рекомендуемые действия, которые включены на странице Обзор , помогут вам выполнить действия по настройке и развертыванию политик.

Рекомендуемые действия для управления внутренними рисками.

Ниже приведены рекомендации, которые помогут вам приступить к работе с конфигурацией управления внутренними рисками или максимально увеличить ее.

  • Включить аудит. Если этот параметр включен, действия пользователей и администраторов в организации записываются в журнал аудита Microsoft 365. Политики внутренних рисков и аналитические проверки используют этот журнал для обнаружения действий с рисками.
  • Получение разрешений на использование управления внутренними рисками. Уровень доступа к функциям управления внутренними рисками зависит от того, какая группа ролей вам назначена. Чтобы получить доступ и настроить рекомендуемые действия, пользователи должны быть назначены группам ролей Управление внутренними рисками или Администраторы управления внутренними рисками .
  • Выберите индикаторы политики. Индикаторы по сути являются действиями по управлению рисками, которые необходимо обнаружить и исследовать. Вы можете выбрать индикаторы для обнаружения действий в нескольких расположениях и службах Microsoft 365.
  • Проверка на наличие потенциальных внутренних рисков. Выполните аналитическое сканирование, чтобы обнаружить потенциальные внутренние риски, возникающие в вашей организации. После оценки результатов просмотрите рекомендуемые политики для настройки.
  • Назначение разрешений другим пользователям. Если есть дополнительные участники команды, которые будут отвечать за управление функциями внутренних рисков, необходимо назначить их соответствующим группам ролей.
  • Создайте первую политику. Для получения оповещений о потенциально рискованных действиях необходимо настроить политики на основе предопределенных шаблонов, определяющих действия пользователей, которые нужно обнаружить и исследовать.

Каждое рекомендуемое действие, включенное в этот интерфейс, имеет четыре атрибута:

  • Действие: имя и описание рекомендуемого действия.
  • Состояние: состояние рекомендуемого действия. Значения не запускаются, выполняются, сохраняются для более поздних версий или завершены.
  • Обязательный или необязательный: является ли рекомендуемое действие обязательным или необязательным, чтобы функции управления внутренними рисками работали должным образом.
  • Предполагаемое время выполнения: предполагаемое время выполнения рекомендуемого действия в минутах.

Выберите рекомендацию из списка, чтобы начать настройку управления внутренними рисками. Каждое рекомендуемое действие поможет вам выполнить необходимые действия для рекомендации, включая любые требования, ожидаемые действия и влияние настройки функции в организации. Каждое рекомендуемое действие автоматически помечается как завершенное при настройке или вам потребуется вручную выбрать действие как завершенное при настройке.

Этап 1 (обязательный). Включение разрешений для управления внутренними рисками

Важно!

После настройки групп ролей может потребоваться до 30 минут, чтобы разрешения группы ролей применялись к назначенным пользователям в вашей организации.

Существует шесть групп ролей, используемых для настройки функций управления внутренними рисками. Чтобы сделать управление внутренними рисками доступным в качестве пункта меню в Microsoft Purview и продолжить выполнение этих действий по настройке, вам необходимо назначить одну из следующих ролей или групп ролей:

В зависимости от того, как вы хотите управлять политиками управления внутренними рисками и оповещениями, вам потребуется назначить пользователей определенным группам ролей для управления различными наборами функций управления внутренними рисками. Вы можете назначить пользователей с различными обязанностями по соответствию определенным группам ролей для управления разными областями функций управления внутренними рисками. Вы также можете назначить все учетные записи пользователей для назначенных администраторов, аналитиков, следователей и зрителей в группу ролей "Управление внутренними рисками ". Используйте одну или несколько групп ролей, чтобы наилучшим образом соответствовать требованиям к управлению соответствием.

При работе с управлением внутренними рисками выберите один из следующих вариантов группы ролей и действий решения:

Действия Управление внутренними рисками Администраторы управления внутренними рисками Аналитики по управлению внутренними рисками Исследователи управления внутренними рисками Аудиторы по управлению внутренними рисками Утверждающие инсайдерские риски
Настройка политик и параметров Да Да Нет Нет Нет Нет
Доступ к аналитике Да Да Да Нет Нет Нет
Доступ & изучение оповещений Да Нет Да Да Нет Нет
Доступ к & расследованию случаев Да Нет Да Да Нет Нет
Доступ & просмотр содержимого Обозреватель Да Нет Нет Да Нет Нет
Настройка шаблонов уведомлений Да Нет Да Да Нет Нет
Просмотр журналов аудита & экспорта Да Нет Нет Нет Да Нет
Доступ к & просмотр записей судебно-медицинских доказательств Да Нет Нет Да Нет Нет
Создание запроса на сбор судебно-медицинских доказательств Да Да Нет Нет Нет Нет
Утверждение запросов на сбор медицинских доказательств Да Нет Нет Нет Нет Да
Настройка адаптивной защиты Да Да Нет Нет Нет Нет
Вкладка "Просмотр адаптивной защиты пользователей" Да Нет Да Да Нет Нет

Важно!

Убедитесь, что во встроенных группах ролей "Управление внутренними рисками " или "Администраторы управления внутренними рисками " всегда есть хотя бы один пользователь (в зависимости от выбранного варианта), чтобы конфигурация управления внутренними рисками не попала в сценарий "нулевой администратор", если определенные пользователи покидают вашу организацию.

Члены следующих ролей могут назначать пользователей группам ролей управления внутренними рисками и иметь те же разрешения решения, включенные в группу ролей Администраторы управления внутренними рисками :

  • Глобальный администратор Microsoft Entra ID
  • Администратор соответствия требованиям Microsoft Entra ID
  • Управление организацией Microsoft Purview
  • Администратор соответствия требованиям Microsoft Purview

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Добавление пользователей в группу ролей Управление внутренними рисками

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Выберите Параметры в правом верхнем углу страницы, выберите Роли и группы, а затем в области навигации слева выберите Группы ролей .
  3. Выберите группу ролей Управление внутренними рисками и нажмите кнопку Изменить.
  4. Выберите Выбрать пользователей, а затем установите флажки для всех пользователей, которые нужно добавить в группу ролей.
  5. Нажмите кнопку Выбрать, а затем нажмите кнопку Далее.
  6. Нажмите кнопку Сохранить , чтобы добавить пользователей в группу ролей, а затем нажмите кнопку Готово.

Рассмотрите административные единицы, если вы хотите область разрешения пользователей в регионе или отделе

Административные единицы в управлении внутренними рисками (предварительная версия) можно использовать для область разрешений пользователей в определенном географическом регионе или отделе. Например, глобальная компания, у которой есть дочерние компании по всему миру, может захотеть создать подразделение администрирования, которое предоставляет немецкий область для исследователей, чтобы они могли видеть действия пользователей только для немецких пользователей.

Чтобы использовать единицы администрирования в управлении внутренними рисками, необходимо сначала создать подразделения администрирования (если они еще не были созданы), а затем назначить их членам групп ролей. После назначения единиц администрирования членам групп ролей эти участники становятся ограниченными администраторами и имеют ограниченный доступ к параметрам управления внутренними рисками, политикам и данным пользователей в организации. Участники, не являющиеся назначенными административными единицами, являются неограниченными администраторами и имеют доступ ко всем параметрам, политикам и данным пользователей.

Важно!

Администраторы с ограниченным доступом не могут получать доступ к оповещениям пользователей, назначенных им через группы безопасности или группы рассылки, добавленные в административные единицы. Такие оповещения пользователей видны только неограниченным администраторам. Корпорация Майкрософт рекомендует добавлять пользователей непосредственно в административные единицы, чтобы убедиться, что их оповещения также видны администраторам с ограниченными правами с назначенными административными единицами.

Влияние области администрирования на роли управления внутренними рисками

В следующей таблице показано, как при принудительном применении единицы администрирования влияют на каждое сочетание задачи и роли управления внутренними рисками.

Примечание.

Область действия в следующей таблице означает, что действия администратора для этой роли ограничены назначенной единицей администрирования.

Задача Управление внутренними рисками на уровне Администратор управления внутренними рисками Аналитики по управлению внутренними рисками в пределах Следователи по управлению внутренними рисками с ограниченной областью Утверждающие инсайдерские риски с ограниченной областью
Настройка глобальных параметров Без ограничений Без ограничений Никогда не разрешено Никогда не разрешено Никогда не разрешено
Настройка политик Области Области Никогда не разрешено Никогда не разрешено Никогда не разрешено
Запуск действий по оценке для пользователей Области Области Области Области Никогда не разрешено
Доступ к аналитике Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено
Доступ и изучение оповещений Области Никогда не разрешено Области Области Никогда не разрешено
Исследование активности пользователей Области Никогда не разрешено Никогда не разрешено Области Никогда не разрешено
Доступ к обращениям и расследование Области Никогда не разрешено Области Области Никогда не разрешено
Доступ и просмотр обозревателя содержимого Без ограничений Никогда не разрешено Никогда не разрешено Без ограничений Никогда не разрешено
Настройка шаблонов уведомлений Без ограничений Никогда не разрешено Без ограничений Без ограничений Никогда не разрешено
Доступ и просмотр записей судебно-медицинских доказательств Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Не разрешено, если область действия ограничена Никогда не разрешено
Создание запроса на сбор судебно-медицинских доказательств Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Утверждение запросов на сбор медицинских доказательств Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено Не разрешено, если область действия ограничена
Настройка адаптивной защиты Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Вкладка "Просмотр адаптивной защиты пользователей" Не разрешено, если область действия ограничена Никогда не разрешено Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено
Просмотр отчета о работоспособности устройства Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Создание быстрых политик Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Настройка политик с учетом приоритета пользователей Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Настройка групп пользователей с приоритетом Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено Никогда не разрешено Никогда не разрешено
Назначение или переназначение оповещений Не разрешено, если область действия ограничена Никогда не разрешено Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено
Назначение или переназначение случаев Не разрешено, если область действия ограничена Никогда не разрешено Не разрешено, если область действия ограничена Не разрешено, если область действия ограничена Никогда не разрешено

Примечание.

Вы можете использовать адаптивные области (предварительная версия для управления внутренними рисками) вместе с подразделениями администрирования. Если группы ролей ограничены одним или несколькими подразделениями администрирования вашей организации, адаптивные области, которые можно выбрать при создании или изменении политики, ограничены подразделениями администрирования.

Шаг 2 (обязательно). Включение журнала аудита Microsoft 365

Управление внутренними рисками использует журналы аудита Microsoft 365 для аналитики пользователей и действий по управлению рисками, определенных в политиках и аналитике. Журналы аудита Microsoft 365 — это сводка всех действий в организации, и политики управления внутренними рисками могут использовать эти действия для формирования аналитических сведений о политике.

По умолчанию аудит для организаций Microsoft 365 включен. Некоторые организации могут отключить аудит по определенным причинам. Если аудит для вашей организации отключен, возможно, его отключил другой администратор. При выполнении этого этапа рекомендуем удостовериться, что включать аудит безопасно.

Пошаговые инструкции по включению аудита см. в статье Включение и отключение поиска в журнале аудита. После включения ведения аудита появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск. Это действие потребуется выполнить только один раз. Подробнее об использовании журнала аудита Microsoft 365 см. в статье Поиск в журнале аудита.

Шаг 3 (необязательно). Включение и просмотр аналитики внутренних рисков

Если включить аналитику управления внутренними рисками, вы можете:

  • Проверьте наличие потенциальных внутренних рисков перед созданием политик. Вы можете провести оценку потенциальных внутренних рисков в организации без настройки политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области повышенного риска пользователей и определить тип и область политик управления внутренними рисками, которые вы можете настроить. Эта оценка также может помочь определить потребности в дополнительном лицензировании или будущей оптимизации существующих политик. Получение результатов проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки. Дополнительные сведения об аналитике см. в статье Параметры управления внутренними рисками. Аналитика и проверка видео аналитики управления внутренними рисками, чтобы понять, как аналитика может помочь ускорить выявление потенциальных внутренних рисков и помочь вам быстро принять меры.
  • Получайте рекомендации в режиме реального времени для параметров пороговых значений индикаторов. Настройка политик вручную для снижения "шума" может занять очень много времени, и вам потребуется много проб и ошибок, чтобы определить нужную конфигурацию для политик. Если аналитика включена, управление внутренними рисками может предоставлять рекомендации по пороговым значениям индикаторов в режиме реального времени. Вы также можете вручную настроить предоставленные рекомендации и в режиме реального времени просмотреть, сколько пользователей будет введено в область политики на основе внесенных изменений. Дополнительные сведения о рекомендациях по пороговым значениям индикаторов в режиме реального времени

Примечание.

Чтобы включить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или "Глобальный администратор Microsoft 365".

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Включение аналитики внутренних рисков

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. На вкладке Обзор на карта Проверка внутренних рисков в организации выберите Запустить проверку. Это действие включает проверку аналитики для вашей организации. Вы также можете включить сканирование, перейдя в раздел Параметры >предварительной оценки рисковАналитика и включив сканирование действий пользователей клиента для выявления потенциальных внутренних рисков.
  4. В области Сведения об аналитике выберите Запустить сканирование, чтобы начать проверку для вашей организации. Получение результатов проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.

Изучив аналитические сведения об аналитике, выберите политики внутренних рисков и настройте соответствующие предварительные требования, которые наилучшим образом соответствуют стратегии снижения внутренних рисков вашей организации.

Большинство политик управления внутренними рисками имеют предварительные требования, которые необходимо настроить для индикаторов политики для создания соответствующих оповещений о действиях. Настройте соответствующие предварительные требования в зависимости от политик, которые вы планируете настроить для своей организации.

Подключение к облачным приложениям в Microsoft Defender

Управление внутренними рисками включает следующие облачные индикаторы (предварительная версия):

  • Индикаторы облачного хранилища, включая Google Диск, Box и Dropbox
  • Индикаторы облачных служб, включая Amazon S3 и Azure (хранилище и SQL Server)

Индикаторы облачного хранилища

Используйте индикаторы облачного хранилища для обнаружения следующих действий в Google Drive, Box и Dropbox:

  • Открытие: Методы, используемые для определения среды
  • Коллекция: Методы, используемые для сбора интересующих данных
  • Фильтрации: Методы, используемые для кражи данных, таких как конфиденциальные документы
  • Удаление (влияние): Методы, используемые для нарушения доступности или нарушения целостности системы

Индикаторы облачной службы

Используйте индикаторы облачных служб для обнаружения следующих действий в Amazon S3 и Azure:

  • Уклонение от обороны: Методы, используемые для предотвращения обнаружения рискованных действий путем отключения журналов трассировки или путем обновления или удаления правил брандмауэра SQL Server
  • Фильтрации: Методы, используемые для кражи данных, таких как конфиденциальные документы
  • Удаление (влияние): Методы, используемые для нарушения доступности или нарушения целостности системы
  • Повышение привилегий: Методы, используемые для получения разрешений более высокого уровня для систем и данных

Предварительные требования для доступа к облачным индикаторам

Чтобы выбрать один из облачных индикаторов в параметрах и политиках управления внутренними рисками, необходимо сначала подключиться к соответствующим облачным приложениям в Microsoft Defender, если вы еще этого не сделали.

После подключения к приложениям индикаторы будут доступны на странице Параметры индикаторов политики и в отдельных политиках .

Настройка соединителя индикатора внутренних рисков (предварительная версия)

Вы можете расширить управление внутренними рисками, импортировав обнаружения для рабочих нагрузок сторонних производителей (сторонних разработчиков). Например, вы можете расширить возможности обнаружения, чтобы включить действия Salesforce и Dropbox и использовать их вместе со встроенными обнаружениями, предоставляемыми решением для управления внутренними рисками, которое ориентировано на службы Майкрософт, такие как SharePoint Online и Exchange Online.

Чтобы перенести собственные обнаружения в решение для управления внутренними рисками, импортируйте предварительно обработанные агрегированные обнаружения из решений для управления информационной безопасностью и событиями безопасности (SIEM), таких как Microsoft Sentinel или Splunk. Для этого импортируйте пример файла в мастер соединителя индикаторов внутренних рисков. Мастер соединителя анализирует пример файла и настраивает требуемую схему.

Примечание.

В настоящее время невозможно импортировать "необработанные" сигналы обнаружения в управление внутренними рисками. Предварительно обработанные агрегаты можно импортировать только в виде файла.

Настраиваемый индикатор можно использовать как:

  • Триггер, используемый для входа пользователя в область политики.
  • Индикатор политики, используемый для оценки риска пользователя.

Пошаговые инструкции по настройке соединителя Индикаторов внутренних рисков для вашей организации см. в статье Соединитель индикаторов внутренних рисков. Настроив соединитель, вернитесь к этим шагам по настройке.

Настройка соединителя отдела кадров Microsoft 365

Управление внутренними рисками поддерживает импорт данных пользователей и журналов, импортированных с сторонних платформ управления рисками и управления персоналом. Соединитель данных Microsoft 365 Human Resources (HR) позволяет извлекать данные о персонале из CSV-файлов, включая даты увольнения пользователей, даты последнего трудоустройства, уведомления о плане повышения производительности, действия по проверке производительности и состояние изменения уровня задания. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации. Если для организации настроено несколько соединителей отдела кадров, управление внутренними рисками автоматически извлекает индикаторы из всех соединителей отдела кадров.

Соединитель Отдела кадров Microsoft 365 требуется при использовании следующих шаблонов политик:

  • Утечка данных рискованными пользователями
  • Кража данных уходящего пользователя
  • Неправильное использование данных пациента
  • Нарушения политики безопасности уходящими пользователями
  • Нарушения политики безопасности пользователями, которые рискуют

Пошаговое руководство по настройке соединителя microsoft 365 HR для вашей организации см. в статье Настройка соединителя для импорта данных отдела кадров . Настроив соединитель отдела кадров, вернитесь к этим шагам по настройке.

Настройка соединителя данных для конкретных медицинских учреждений

Управление внутренними рисками поддерживает импорт данных пользователей и журналов, импортированных из сторонних организаций в существующих системах электронной медицинской записи (EMR). Соединители данных Microsoft Healthcare и Epic позволяют извлекать данные о действиях из системы EMR с помощью CSV-файлов, включая неправильный доступ к записям пациентов, подозрительные действия тома, а также действия по редактированию и экспорту. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации.

Если вы настроите несколько соединителей Healthcare или Epic для своей организации, управление внутренними рисками автоматически поддерживает сигналы событий и действий от всех соединителей Healthcare и Epic. Соединитель Microsoft 365 Healthcare или Epic требуется при использовании следующих шаблонов политик:

  • Неправильное использование данных пациента

Пошаговое руководство по настройке соединителя для импорта медицинских данных для вашей организации см. в статье Настройка соединителя для импорта данных Epic EHR . Настроив соединитель, вернитесь к этим шагам по настройке.

Настройка политик защиты от потери данных (DLP)

Управление внутренними рисками поддерживает использование политик защиты от потери данных для выявления намеренного или случайного раскрытия конфиденциальной информации нежелательным сторонам для оповещений DLP высокого уровня серьезности. При настройке политики управления внутренними рисками с помощью любого из шаблонов утечки данных можно назначить политике определенную политику защиты от потери данных для этих типов оповещений.

Совет

Адаптивную защиту можно также использовать в управлении внутренними рисками, чтобы динамически применять элементы управления защитой от потери данных к пользователям с высоким риском при сохранении производительности для пользователей с низким риском. Дополнительные сведения об адаптивной защите

Политики потери данных помогают идентифицировать пользователей для активации оценки рисков в управлении внутренними рисками для оповещений DLP с высокой степенью серьезности для конфиденциальной информации и являются важной частью настройки полного покрытия управления рисками в организации. Дополнительные сведения об управлении внутренними рисками и интеграции и планировании политик защиты от потери данных см. в разделе Политики управления внутренними рисками.

Важно!

Убедитесь, что вы выполнили следующие действия.

  • Вы понимаете и правильно настраиваете пользователей в область в политиках DLP и управления внутренними рисками, чтобы обеспечить ожидаемый охват политикой.
  • Параметр Отчеты об инцидентах в политике защиты от потери данных для управления внутренними рисками, используемый с этими шаблонами, настроен для оповещений уровня серьезности . Оповещения об управлении внутренними рисками не будут создаваться из политик защиты от потери данных, если в поле Отчеты об инцидентахзадано значение "Низкий" или "Средний".

Политика защиты от потери данных необязательна при использовании следующих шаблонов политик:

  • Утечки данных
  • Утечки данных приоритетными пользователями

Пошаговое руководство по настройке политик защиты от потери данных для организации см. в статье Создание и развертывание политик защиты от потери данных . Настроив политику защиты от потери данных, вернитесь к этим шагам настройки.

Примечание.

Конечная точка защиты от потери данных теперь поддерживает виртуализированные среды, что означает, что решение для управления внутренними рисками поддерживает виртуализированные среды через DLP конечной точки. Узнайте больше о поддержке виртуализированных сред в конечной точке DLP.

Настройка совместного использования уровней внутренних рисков с Microsoft Defender и оповещениями защиты от потери данных

Вы можете предоставить общий доступ к уровням внутренних рисков из управления внутренними рисками (предварительная версия), чтобы перенести уникальный контекст пользователя в оповещения Microsoft Defender и DLP. Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период времени. Добавление этих данных в оповещения Microsoft Defender и DLP улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений. Узнайте больше о совместном использовании уровней серьезности риска для пользователей с Microsoft Defender и оповещениями защиты от потери данных.

Совместное использование уровней серьезности рисков для пользователей управления внутренними рисками также повышает Microsoft Copilot безопасности. Например, в Copilot for Security вы можете начать с запроса Copilot с суммировать оповещение о защите от потери данных, а затем попросить Copilot показать уровень внутренних рисков, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Copilot for Security легко интегрирует управление внутренними рисками с DLP, чтобы помочь в проведении расследований. Узнайте больше об использовании автономной версии Copilot для комбинированных расследований DLP и управления внутренними рисками.

Настройка групп пользователей с приоритетом

Управление внутренними рисками включает поддержку назначения приоритетных групп пользователей политикам для выявления уникальных действий с рисками для пользователей с критическими позициями, высоким уровнем доступа к данным и сети или прошлым журналом рисков. Создание группы пользователей с приоритетом и назначение пользователей этой группе помогают область политики для уникальных обстоятельств, представленных этими пользователями.

Вы можете создать группу пользователей с приоритетом и назначить ей пользователей, чтобы помочь вам область политики, характерные для уникальных обстоятельств, представленных этими идентифицированными пользователями. Чтобы включить повышатель оценки риска для групп пользователей с приоритетом , перейдите на страницу Параметры управления внутренними рисками , а затем выберите Индикаторы политики и Бустеры оценки риска. Эти идентифицированные пользователи с большей вероятностью получают оповещения, поэтому аналитики и следователи могут просматривать и определять приоритеты серьезности риска этих пользователей, чтобы помочь в рассмотрении оповещений в соответствии с политиками и стандартами риска вашей организации.

Группа пользователей с приоритетом требуется при использовании следующих шаблонов политик:

  • Нарушения политики безопасности приоритетными пользователями
  • Утечки данных приоритетными пользователями

Пошаговое руководство по настройке см. в статье Начало работы с параметрами управления внутренними рисками .

Настройка соединителя физического badяного

Управление внутренними рисками поддерживает импорт данных пользователей и журналов с платформ физического управления и доступа. Соединитель physical badging позволяет извлекать данные доступа из JSON-файлов, включая идентификаторы пользователей, идентификаторы точек доступа, время и даты доступа, а также состояние доступа. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации. Если вы настроите несколько соединителей физического badging для организации, управление внутренними рисками автоматически извлекает индикаторы из всех соединителей физического badging. Сведения из соединителя физического нарушения дополняют другие сигналы инсайдерского риска при использовании всех шаблонов политик внутренних рисков.

Важно!

Чтобы политики управления внутренними рисками использовали и сопоставляли данные сигналов, связанные с уходящими и прерванными пользователями, с данными о событиях с ваших физических платформ управления и доступа, необходимо также настроить соединитель отдела кадров Microsoft 365. Если включить соединитель физического нарушения без включения соединителя Microsoft 365 HR, политики управления внутренними рисками будут обрабатывать только события несанкционированного физического доступа для пользователей в вашей организации.

Пошаговые инструкции по настройке физического соединителя для импорта данных о неисправных данных см. в статье Настройка соединителя для импорта данных о физическом вреде. Настроив соединитель, вернитесь к этим шагам по настройке.

Настройка Microsoft Defender для конечной точки

Microsoft Defender для конечной точки — это платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы корпоративных сетей. Чтобы обеспечить лучшую видимость нарушений безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов политик нарушения безопасности управления внутренними рисками.

Если вы создаете политики нарушений безопасности, необходимо настроить Microsoft Defender для конечной точки в организации и включить Defender для конечной точки для интеграции управления внутренними рисками в Центре безопасности Defender для импорта оповещений о нарушении безопасности. Дополнительные сведения о требованиях см. в статье Минимальные требования для Microsoft Defender для конечной точки.

Пошаговые инструкции по настройке Defender для конечной точки см. в статье Настройка дополнительных функций в Defender для конечной точки для интеграции управления внутренними рисками. После настройки Microsoft Defender для конечной точки вернитесь к этим шагам настройки.

Настройка судебно-медицинских доказательств

Визуальный контекст имеет решающее значение для групп безопасности во время судебно-медицинских расследований, чтобы получить более подробные сведения о рискованных действиях пользователей, которые могут привести к инциденту безопасности. Благодаря настраиваемым триггерам событий и встроенным элементам управления защитой конфиденциальности пользователей, судебно-медицинские доказательства позволяют настраивать запись на разных устройствах, чтобы помочь вашей организации лучше устранять, понимать и реагировать на потенциальные риски, такие как несанкционированная кража конфиденциальных данных.

Пошаговое руководство по настройке судебно-медицинских доказательств для управления внутренними рисками см. в статье Начало работы с судебно-медицинскими доказательствами для управления внутренними рисками .

Настройка оптического распознавания символов

Microsoft Purview может проверять наличие конфиденциального содержимого в документах, чтобы защитить эти документы от нежелательного воздействия. При включении оптического распознавания символов (OCR) в Microsoft Purview классификаторы данных, такие как типы конфиденциальной информации и обучаемые классификаторы, также могут обнаруживать символы в автономных изображениях. После настройки параметров OCR (предварительная версия) существующие политики внутренних рисков будут применены к изображениям и документам.

Для предварительной версии OCR управление внутренними рисками поддерживает сканирование в следующих расположениях: устройства конечных точек Windows, SharePoint Online и Teams. Exchange Online и OneDrive не поддерживаются для предварительной версии.

Параметры OCR не применяются к клипам судебно-медицинских доказательств в управлении внутренними рисками.

Узнайте больше о настройке проверки OCR и выставлении счетов с оплатой по мере использования.

Шаг 5 (обязательно). Настройка параметров внутренних рисков

Параметры внутренних рисков применяются ко всем политикам управления внутренними рисками независимо от шаблона, выбранного при создании политики. Параметры настраиваются с помощью параметров, расположенных в верхней части страниц управления внутренними рисками. Эти параметры управляют конфиденциальностью, индикаторами, глобальными исключениями, группами обнаружения, интеллектуальными обнаружениями и т. д. Дополнительные сведения о параметрах, которые следует учитывать перед созданием политики.

Шаг 6 (обязательно). Создание политики управления внутренними рисками

Политики управления внутренними рисками включают назначенных пользователей и определяют типы индикаторов риска, для которых настроена рассылка оповещений. Прежде чем потенциально рискованные действия могут активировать оповещения, необходимо настроить политику. Используйте мастер политик для создания новых политик управления внутренними рисками.

Примечание.

Сведения о создании настраиваемого триггера или индикатора для рабочей нагрузки, отличной от майкрософт, см. в разделе Пользовательские индикаторы.

Создание политики

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Политики в области навигации слева.

  4. Выберите Создать политику, чтобы открыть мастер политики.

  5. На странице Политики выберите категорию политики, а затем выберите шаблон для новой политики. Эти шаблоны состоят из условий и индикаторов, определяющих действия по рискам, которые подлежат обнаружению и исследованию. Просмотрите необходимые условия для шаблона, инициирующие события и обнаруженные действия, чтобы убедиться, что этот шаблон политики соответствует вашим потребностям.

    Важно!

    Некоторые шаблоны политик имеют необходимые условия, которые необходимо настроить, чтобы политика создавала соответствующие оповещения. Если вы не настроили необходимые компоненты для соответствующей политики, см. шаг 4 выше.

    Нажмите кнопку Далее, чтобы продолжить.

  6. На странице Название и описание заполните следующие поля:

    • Название (обязательно). Введите понятное название политики. Это имя нельзя изменить после создания политики.
    • Описание (необязательно). Введите описание политики.

    Нажмите кнопку Далее, чтобы продолжить.

  7. Если для вашего клиента созданы единицы администрирования, вы увидите страницу Администратор единиц. В противном случае вы увидите страницу Пользователи и группы и можете перейти к следующему шагу.

    Если вы хотите область политику в одну или несколько единиц администрирования, выберите Добавить единицы администрирования, а затем выберите подразделения администрирования, которые вы хотите применить к политике.

    Примечание.

    Вы можете увидеть только те подразделения администрирования, которые ограничены вашей ролью. Если вы являетесь неограниченным администратором, вы можете увидеть все подразделения администрирования для клиента. Чтобы просмотреть сводку по группам ролей и подразделениям администрирования, которым вы назначены, выберите Просмотреть мои разрешения.

    Нажмите кнопку Далее, чтобы продолжить.

  8. На странице Пользователи и группы выберите один из следующих параметров:

    • Включите всех пользователей и группы. При выборе этого параметра управление внутренними рисками будет искать триггерные события для всех пользователей и групп в вашей организации, чтобы начать назначать оценки риска для политики.

      Если ваша политика ограничена одной или несколькими единицами администрирования, этот параметр выбирает всех пользователей и группы в административных единицах.

      Примечание.

      Чтобы воспользоваться преимуществами аналитики в режиме реального времени (предварительная версия) для параметров пороговых значений индикаторов, необходимо область политику включить всех пользователей и группы. Аналитика в режиме реального времени позволяет просматривать оценки количества пользователей, которые потенциально могут соответствовать заданному набору условий политики, в режиме реального времени. Это помогает эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не было слишком мало или слишком много оповещений политики. Определение политики включением всех пользователей и групп также обеспечивает более эффективную защиту в клиенте. Дополнительные сведения об аналитике в режиме реального времени для параметров пороговых значений индикаторов см. в разделе Параметры уровня индикатора.

    • Включите определенных пользователей и группы. Выберите этот параметр, чтобы определить, какие пользователи или группы включены в политику.

      Если ваша политика ограничена одним или несколькими единицами администрирования, вы можете выбрать только пользователей в группе администрирования область.

      Примечание.

      Гостевые учетные записи не поддерживаются.

    • Адаптивные область. Этот параметр (предварительная версия для управления внутренними рисками) появляется при выборе параметра Включить определенных пользователей и группы . Выберите Добавить или изменить адаптивные области, чтобы применить адаптивный область к политике. Перед созданием или изменением политики необходимо создать адаптивный область. Если политика также ограничена одной или несколькими единицами администрирования, доступные адаптивные области будут ограничены единицами администрирования. Узнайте, как адаптивные области работают вместе с подразделениями администрирования.

    • Добавление или изменение групп пользователей с приоритетом. Этот параметр будет отображаться только в том случае, если выбран шаблон Утечки данных по приоритетным пользователям . Выберите этот параметр, а затем добавьте или измените группы пользователей с приоритетом.

      Примечание.

      Если шаблон политики основан на приоритетных группах пользователей, вы не можете выбрать группу администрирования для область политики. Группы приоритетных пользователей в настоящее время не поддерживаются для использования с единицами администрирования.

    Нажмите кнопку Далее, чтобы продолжить.

  9. Если на предыдущем шаге вы выбрали Включить всех пользователей и группы, откроется страница Исключить пользователей и группы (необязательно) (предварительная версия).

    Примечание.

    В настоящее время необходимо выбрать Включить всех пользователей и группы , чтобы исключить пользователей и группы.

    Используйте эту страницу, если вы хотите исключить определенных пользователей или группы из область политики. Например, может потребоваться создать политику, которая обнаруживает потенциально рискованные действия для сотрудников всей организации, но исключает менеджеров по продажам на уровне руководителей. Выберите Добавить или изменить пользователей или Добавить или изменить группы , чтобы выбрать пользователей или группы, которые нужно исключить. Если политика ограничена одним или несколькими подразделениями администрирования, можно исключить только пользователей или группы, которые находятся в группе администрирования область.

  10. На странице Содержимое для назначения приоритетов можно назначить (при необходимости) источники для назначения приоритетов, что повышает вероятность создания оповещений высокой важности для этих источников. Выберите один из указанных вариантов:

    • Я хочу приоритизировать содержимое. При выборе этого параметра вы можете определить приоритеты сайтов SharePoint, меток конфиденциальности, типов конфиденциальной информации и типов контента расширений файлов . При выборе этого параметра необходимо выбрать по крайней мере один тип контента с приоритетом.

    • Я не хочу указывать содержимое с приоритетом прямо сейчас. При выборе этого параметра страницы сведений о приоритетном содержимом в мастере пропускаются.

    Нажмите кнопку Далее, чтобы продолжить.

  11. Если на предыдущем шаге вы выбрали вариант I want to приоритезировать содержимое , вы увидите страницы сведений о сайтах SharePoint, метках конфиденциальности, типах конфиденциальной информации, расширениях файлов и оценке. Используйте эти страницы сведений, чтобы определить SharePoint, типы конфиденциальной информации, метки конфиденциальности, обучаемые классификаторы и расширения файлов для определения приоритетов в политике. Страница Сведений о оценке позволяет область политику, чтобы назначать только оценки риска и создавать оповещения для указанных действий, включающих приоритетный контент.

    • Сайты SharePoint. Выберите Добавить сайт SharePoint и выберите сайты SharePoint, к которым у вас есть доступ и к которым вы хотите назначить приоритеты. Например, "group1@contoso.sharepoint.com/sites/group1".

      Примечание.

      Если ваша политика ограничена одной или несколькими единицами администрирования, вы по-прежнему будете видеть все сайты SharePoint, а не только сайты SharePoint, ограниченные вашими подразделениями администрирования, так как группы администрирования не поддерживают сайты SharePoint.

    • Тип конфиденциальной информации. Выберите Добавить тип конфиденциальной информации и выберите типы конфиденциальности, к которым вы хотите назначить приоритеты. Например, "Номер банковского счета США" и "Номер кредитной карты".

    • Метки конфиденциальности. Выберите Добавить метку конфиденциальности и выберите метки, к которым вы хотите назначить приоритеты. Например, "Конфиденциально" и "Секретно".

    • Обучаемые классификаторы. Выберите Добавить обучаемый классификатор и выберите обучаемые классификаторы, для определения приоритетов. Например, Исходный код.

    • Расширения файлов: добавьте до 50 расширений файлов. Вы можете включить или опустить значение "." с расширением файла. Например, .py или py будут определять приоритеты для файлов Python.

    • Оценка. Определите, следует ли назначать оценки риска всем действиям по управлению рисками, обнаруженным данной политикой, или только для действий, включающих приоритетный контент. Выберите Получение оповещений для всех действий или Получение оповещений только для действий, включающего содержимое с приоритетом.

    Нажмите кнопку Далее, чтобы продолжить.

  12. Если вы выбрали шаблоны Утечки данных или Утечки данных приоритетными пользователями , на странице Триггеры для этой политики отображаются параметры для настраиваемых событий и индикаторов политики. Вы можете выбрать политику защиты от потери данных или индикаторы для активации событий, которые приводят пользователей, назначенных политике в область для оценки действий. Если выбран параметр Пользователь соответствует политике защиты от потери данных (DLP), активируя события , необходимо выбрать политику защиты от потери данных из раскрывающегося списка Политика защиты от потери данных, чтобы включить индикаторы активации для политики защиты от потери данных для этой политики управления внутренними рисками. Если выбран параметр Пользователь выполняет действие кражи, инициирующее событие , необходимо выбрать один или несколько перечисленных индикаторов для события, активировающего политику.

    Примечание.

    Группы приоритетных пользователей в настоящее время не поддерживаются для подразделений администрирования. Если вы создаете политику на основе шаблона Утечки данных приоритетными пользователями или шаблона Нарушения политики безопасности приоритетными пользователями , вы не можете выбрать единицы администрирования для определения области политики. Неограниченные администраторы могут выбирать приоритетные группы пользователей без выбора единиц администрирования, но ограниченные администраторы не могут создавать эти политики вообще.

    Важно!

    Если вам не удается выбрать указанный индикатор или последовательность, это связано с тем, что они в настоящее время не включены для вашей организации. Чтобы сделать их доступными для выбора и назначения политики, выберите запрос Включить индикаторы .

    Если вы выбрали другие шаблоны политик, пользовательские события активации не поддерживаются. Применяются встроенные события, запускающие политику. Перейдите к шагу 15 без определения атрибутов политики.

  13. Если вы выбрали шаблоны Утечки данных пользователями, подверженными риску , или Нарушения политики безопасности пользователями, которые рискуют , на странице Триггеры этой политики вы увидите параметры интеграции с событиями соединителя данных о соответствии требованиям к обмену данными и данными отдела кадров. Вы можете назначить оценки риска, когда пользователи отправляют сообщения, содержащие потенциально угрожающие, оскорбительные или дискриминаторные формулировки, или привлечь пользователей к политике область после сообщения о рискованных событиях пользователей в вашей системе управления персоналом. Если выбран параметр Триггеры риска из соответствия требованиям к обмену данными (предварительная версия), вы можете принять политику соответствия требованиям по умолчанию (созданную автоматически), выбрать ранее созданную политику область для этого триггера или создать другую политику с заданной областью действия. Если выбраны события соединителя данных отдела кадров, необходимо настроить соединитель данных отдела кадров для организации.

    Нажмите кнопку Далее, чтобы продолжить.

  14. Если вы выбрали шаблоны Утечки данных или Утечки данных по приоритетным пользователям и выбрали действие "Пользователь выполняет действие кражи" и связанные с ними индикаторы, можно выбрать настраиваемые или стандартные пороговые значения для выбранного индикатора, активируя события. Выберите параметр Использовать пороговые значения по умолчанию (рекомендуется) или Использовать настраиваемые пороговые значения для событий активации.

    Нажмите кнопку Далее, чтобы продолжить.

  15. Если вы выбрали использовать настраиваемые пороговые значения для событий активации, для каждого индикатора событий триггера, выбранного на шаге 10, выберите соответствующий уровень для создания требуемого уровня оповещений о действиях. Вы можете использовать рекомендуемые пороговые значения, пользовательские пороговые значения или пороговые значения на основе аномальных действий (для определенных показателей) выше ежедневной нормы для пользователей.

    Нажмите кнопку Далее, чтобы продолжить.

  16. На странице Индикаторы политики вы увидите индикаторы , которые вы определили как доступные на странице Параметры внутренних рисков Индикаторы>,которые будут включать варианты индикаторов, если вы определили их. Выберите индикаторы, которые вы хотите применить к политике.

    Важно!

    Если индикаторы на этой странице не могут быть выбраны, необходимо выбрать индикаторы, которые вы хотите включить для всех политик. Вы можете использовать включить индикаторы в мастере или выбратьиндикаторына страницеИндикаторы политикиуправления внутренними> рисками>.

    Если вы выбрали хотя бы один индикатор Office или устройства, выберите соответствующие усилители оценки риска. Усилители оценки риска применимы только к выбранным индикаторам. Если вы выбрали шаблон политики Кража данных или Утечки данных, выберите один или несколько методов обнаружения последовательности и обнаружения накопительных краж данных для применения к политике. Если вы выбрали шаблон политики рискованного использования браузера , выберите один или несколько индикаторов просмотра.

    Нажмите кнопку Далее, чтобы продолжить.

  17. На странице Определение того, следует ли использовать пороговые значения индикаторов по умолчанию или пороговые значения по умолчанию, выберите настраиваемые или пороговые значения по умолчанию для выбранных индикаторов политики. Выберите параметр Использовать пороговые значения по умолчанию для всех индикаторов или Укажите настраиваемые пороговые значения для выбранных индикаторов политики. Если вы выбрали параметр Указать настраиваемые пороговые значения, выберите соответствующий уровень, чтобы создать требуемый уровень оповещений о действиях для каждого индикатора политики.

    Совет

    Щелкните ссылку Просмотреть влияние в аналитических сведениях под каждым набором параметров порога, чтобы просмотреть график, который поможет определить соответствующие пороговые параметры. Дополнительные сведения о настройке пороговых значений вручную.

    Нажмите кнопку Далее, чтобы продолжить.

  18. На странице Проверка просмотрите параметры, выбранные для политики, а также предложения или предупреждения для выбранных параметров. Выберите Изменить, чтобы изменить какие-либо значения политики, или выберите Отправить для создания и активации политики.

Дальнейшие действия

После выполнения этих действий по созданию первой политики управления внутренними рисками вы начнете получать оповещения от индикаторов активности примерно через 24 часа. При необходимости настройте дополнительные политики с помощью инструкций, описанных в шаге 4 этой статьи или в разделе Создание политики внутренних рисков.

Дополнительные сведения об исследовании оповещений о внутренних рисках и панели мониторинга оповещений см. в статье Действия по управлению внутренними рисками.