Поделиться через


Сведения о судебно-медицинских доказательствах управления внутренними рисками

Важно!

Судебно-медицинские доказательства — это надстройка в управлении внутренними рисками, которая предоставляет группам безопасности визуальную информацию о потенциальных инцидентах с безопасностью инсайдерских данных с встроенной конфиденциальностью пользователей. Судебно-медицинские доказательства включают настраиваемые триггеры событий и встроенные элементы управления конфиденциальностью пользователей, что позволяет группам безопасности лучше исследовать, понимать и реагировать на потенциальные риски инсайдерских данных, такие как несанкционированный кража конфиденциальных данных.

Организации устанавливают правильные политики для себя, включая то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств и какие данные являются наиболее конфиденциальными. Судебно-медицинские доказательства по умолчанию отключены, для создания политики требуется двойная авторизация, а имена пользователей можно маскировать с помощью псевдонимизации (которая включена по умолчанию для управления внутренними рисками). При настройке политик и проверке оповещений системы безопасности в управлении внутренними рисками используются надежные средства управления доступом на основе ролей (RBAC), гарантирующие, что назначенные сотрудники в организации принимают правильные меры с дополнительными возможностями аудита.

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Визуальный контекст имеет решающее значение для групп безопасности во время судебно-медицинских расследований, чтобы получить более подробные сведения о потенциально рискованных действиях пользователей, связанных с безопасностью. Благодаря настраиваемым триггерам событий и встроенным средствам защиты конфиденциальности пользователей судебно-медицинские доказательства позволяют настраивать визуальные действия, регистрируемые на разных устройствах, чтобы помочь вашей организации лучше устранять, понимать и реагировать на потенциальные риски данных, такие как несанкционированный кража конфиденциальных данных. Вы задаете правильные политики для своей организации, в том числе то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств, какие данные являются наиболее конфиденциальными, а также уведомляются ли пользователи при активации судебной записи. Запись судебно-медицинских доказательств по умолчанию отключена, а для создания политики требуется двойная авторизация.

Совет

Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.

Возможности функций

  • Визуальный захват позволяет организациям записывать клипы ключевых действий пользователей, связанных с безопасностью, что обеспечивает более безопасную или соответствующую видимость и отвечает потребностям организации.
  • Включите или исключите классические приложения и (или) веб-сайты , чтобы настроить политику записи, которая фокусируется на приложениях и веб-сайтах, которые представляют наибольший риск. Это позволяет сохранить дисковое пространство и конфиденциальность пользователей. Например, исключите личную электронную почту и учетные записи социальных сетей.
  • Расширенная защита от фишинга (предварительная версия) позволяет организациям записывать клипы, связанные с расширенной защитой от фишинга, в SmartScreen в Microsoft Defender. Например, можно записать, когда пользователь вводит пароль Майкрософт, который использовался для входа на устройство с Windows 11 на фишинговом сайте или в приложении, подключаемом к фишинговом сайту. Дополнительные сведения о расширенной защите от фишинга в SmartScreen в Microsoft Defender
  • Защита конфиденциальности пользователей с помощью нескольких уровней утверждения активации функции записи.
  • Настраиваемые триггеры и параметры записи означают, что команды безопасности могут настроить судебно-медицинские доказательства в соответствии со своими потребностями, будь то на основе инцидентов (например, запись за 5 минут до и 10 минут после загрузки пользователем SecretResearchPlans.docx) или на основе потребностей непрерывной записи.
  • Ориентированное на пользователя назначение политик означает, что группы безопасности и соответствия требованиям могут сосредоточиться на действиях пользователей, а не устройств, чтобы улучшить контекстную аналитику.
  • Надежные средства управления доступом на основе ролей (RBAC) означают, что возможность настройки и просмотра криминалистических клипов жестко контролируется и доступна только сотрудникам организации с соответствующими разрешениями.
  • Глубокая интеграция с текущими функциями управления внутренними рисками, упрощающая адаптацию и более привычные рабочие процессы для администраторов управления внутренними рисками и надежный одноплатформенный подход.
  • Пробная емкость (до 20 ГБ) для захваченных клипов с быстрым доступом к использованию емкости и возможностью приобретения дополнительной емкости.

Требования к устройству и конфигурации

В следующих таблицах приведены поддерживаемые минимальные требования к использованию судебно-медицинских доказательств управления внутренними рисками.

Поддерживаемые платформы

Операционная система SKU Процессор
Windows 10 (включая Windows 365) Корпоративная 64-разрядная версия (Intel или AMD)
Windows 11 (включая Windows 365) Корпоративная 64-разрядная версия (Intel или AMD)

Физические устройства

Оборудование Минимальные требования
ОЗУ Не менее 8 ГБ (для использования клиентом должно быть доступно не менее 2 ГБ).
Процессор ЦП Intel i5 или более поздней версии и AMD Ryzen 5 или более поздней версии
Видеокарта Совместимость с DirectX 11 или более поздней версии, с драйвером WDDM 1.0 или более поздней версии (в настоящее время поддерживаются только интегрированные графические карты)
Дисковое пространство Не менее 10 ГБ дискового хранилища
Display Минимальное разрешение экрана: 1920 x 1080

Hyper-V и виртуальные машины

Оборудование Минимальные требования
ОЗУ Не менее 16 ГБ (не менее 2 ГБ должно быть доступно для использования клиентом)
Процессор ЦП Не менее восьми виртуальных ЦП или эквивалентных процессоров
Дисковое пространство Не менее 10 ГБ дискового хранилища
Display Минимальное разрешение экрана: 1920 x 1080

Важно!

Если минимальные требования не выполнены, пользователи, скорее всего, столкнуться с проблемами с клиентом Microsoft Purview и качество судебно-медицинской экспертизы может быть ненадежным.

Параметры записи

События, инициирующие события, глобальные индикаторы и индикаторы политики играют важную роль во всех политиках управления внутренними рисками, включая политику судебно-медицинских доказательств. События запуска — это действия пользователей, которые определяют, включены ли пользователи в область для оценки в политиках управления внутренними рисками. Глобальные индикаторы параметров используются для определения действий, собираемых управлением внутренними рисками. Индикаторы политики используются для определения оценки риска для пользователя в области.

В зависимости от того, как ваша организация решает настроить судебно-медицинские доказательства, существует два варианта записи:

  • Конкретные действия. Этот параметр политики фиксирует действия только в том случае, если событие активации привело утвержденного пользователя в область применения политики судебной экспертизы и когда условия для индикатора политики обнаружены для пользователя. Например, пользователь, утвержденный для сбора судебно-медицинских доказательств, входит в область политики судебно-медицинских доказательств, и пользователь копирует данные в личные облачные службы хранилища или переносные запоминающие устройства. Запись ограничена только настроенным интервалом времени, когда пользователь копирует данные в личную облачную службу хранилища или переносное запоминающее устройство. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства на панели мониторинга Оповещений .
  • Все действия. Этот параметр политики фиксирует все действия, выполняемые пользователями. Например, ваша организация нуждается в отслеживании действий утвержденного пользователя, активно участвующего в потенциально рискованных действиях, которые могут привести к инциденту безопасности. Возможно, индикаторы политики не достигли порогового значения для оповещения, создаваемого политикой, и потенциально опасное действие не может быть задокументировано. Непрерывная запись помогает предотвратить потенциально рискованное действие от пропущенных или незамеченных. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства на панели мониторинга Пользовательские отчеты о действиях (предварительная версия).

Важно!

Клипы с криминалистическим доказательством удаляются через 120 дней после их захвата или в конце периода предварительного просмотра, в зависимости от того, какое из этих случаев наступит раньше. Вы можете скачать или передать клипы судебно-медицинских доказательств, прежде чем они будут удалены.

Рабочий процесс

Общий рабочий процесс обнаружения, изучения и исправления оповещений, содержащих запись клипов, выполняет те же основные действия , что и другие политики управления внутренними рисками. Однако при настройке в организации существуют некоторые существенные различия для судебно-медицинских доказательств:

  • Пользователи, подлежащие записи, должны иметь явные запросы и утверждения. Это дополнительный процесс, не включенный в настройку других политик управления внутренними рисками. Пользователи, назначенные группам ролей "Управление внутренними рисками " или "Администраторы управления внутренними рисками ", должны отправить запрос пользователям, назначенным группе ролей Утверждающие управление внутренними рисками , прежде чем любой пользователь в вашей организации будет иметь право на любые варианты записи клипов. Например, это требование помогает поддерживать организационные сценарии, в которых администраторы управления внутренними рисками должны получить явное одобрение от вашего назначенного юридического или кадрового персонала перед включением записи для любого пользователя.
  • Устройства должны быть подключены и установлен клиент Microsoft Purview. Прежде чем судебно-медицинские доказательства смогут собирать и хранить клипы, собранные для соответствующих пользователей, их устройства должны быть подключены к порталу соответствия требованиям Microsoft Purview. Кроме того, на каждом устройстве должен быть установлен клиент Microsoft Purview. Эти предварительные требования обеспечивают поддержку записи устройств как в сети, так и в автономном режиме.

Готовы приступить к работе?