Сведения о судебно-медицинских доказательствах управления внутренними рисками
Важно!
Судебно-медицинские доказательства — это надстройка в управлении внутренними рисками, которая предоставляет группам безопасности визуальную информацию о потенциальных инцидентах с безопасностью инсайдерских данных с встроенной конфиденциальностью пользователей. Судебно-медицинские доказательства включают настраиваемые триггеры событий и встроенные элементы управления конфиденциальностью пользователей, что позволяет группам безопасности лучше исследовать, понимать и реагировать на потенциальные риски инсайдерских данных, такие как несанкционированный кража конфиденциальных данных.
Организации устанавливают правильные политики для себя, включая то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств и какие данные являются наиболее конфиденциальными. Судебно-медицинские доказательства по умолчанию отключены, для создания политики требуется двойная авторизация, а имена пользователей можно маскировать с помощью псевдонимизации (которая включена по умолчанию для управления внутренними рисками). При настройке политик и проверке оповещений системы безопасности в управлении внутренними рисками используются надежные средства управления доступом на основе ролей (RBAC), гарантирующие, что назначенные сотрудники в организации принимают правильные меры с дополнительными возможностями аудита.
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Визуальный контекст имеет решающее значение для групп безопасности во время судебно-медицинских расследований, чтобы получить более подробные сведения о потенциально рискованных действиях пользователей, связанных с безопасностью. Благодаря настраиваемым триггерам событий и встроенным средствам защиты конфиденциальности пользователей судебно-медицинские доказательства позволяют настраивать визуальные действия, регистрируемые на разных устройствах, чтобы помочь вашей организации лучше устранять, понимать и реагировать на потенциальные риски данных, такие как несанкционированный кража конфиденциальных данных. Вы задаете правильные политики для своей организации, в том числе то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств, какие данные являются наиболее конфиденциальными, а также уведомляются ли пользователи при активации судебной записи. Запись судебно-медицинских доказательств по умолчанию отключена, а для создания политики требуется двойная авторизация.
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
Возможности функций
- Визуальный захват позволяет организациям записывать клипы ключевых действий пользователей, связанных с безопасностью, что обеспечивает более безопасную или соответствующую видимость и отвечает потребностям организации.
- Включите или исключите классические приложения и (или) веб-сайты , чтобы настроить политику записи, которая фокусируется на приложениях и веб-сайтах, которые представляют наибольший риск. Это позволяет сохранить дисковое пространство и конфиденциальность пользователей. Например, исключите личную электронную почту и учетные записи социальных сетей.
- Расширенная защита от фишинга (предварительная версия) позволяет организациям записывать клипы, связанные с расширенной защитой от фишинга, в SmartScreen в Microsoft Defender. Например, можно записать, когда пользователь вводит пароль Майкрософт, который использовался для входа на устройство с Windows 11 на фишинговом сайте или в приложении, подключаемом к фишинговом сайту. Дополнительные сведения о расширенной защите от фишинга в SmartScreen в Microsoft Defender
- Защита конфиденциальности пользователей с помощью нескольких уровней утверждения активации функции записи.
- Настраиваемые триггеры и параметры записи означают, что команды безопасности могут настроить судебно-медицинские доказательства в соответствии со своими потребностями, будь то на основе инцидентов (например, запись за 5 минут до и 10 минут после загрузки пользователем SecretResearchPlans.docx) или на основе потребностей непрерывной записи.
- Ориентированное на пользователя назначение политик означает, что группы безопасности и соответствия требованиям могут сосредоточиться на действиях пользователей, а не устройств, чтобы улучшить контекстную аналитику.
- Надежные средства управления доступом на основе ролей (RBAC) означают, что возможность настройки и просмотра криминалистических клипов жестко контролируется и доступна только сотрудникам организации с соответствующими разрешениями.
- Глубокая интеграция с текущими функциями управления внутренними рисками, упрощающая адаптацию и более привычные рабочие процессы для администраторов управления внутренними рисками и надежный одноплатформенный подход.
- Пробная емкость (до 20 ГБ) для захваченных клипов с быстрым доступом к использованию емкости и возможностью приобретения дополнительной емкости.
Требования к устройству и конфигурации
В следующих таблицах приведены поддерживаемые минимальные требования к использованию судебно-медицинских доказательств управления внутренними рисками.
Поддерживаемые платформы
| Операционная система | SKU | Процессор |
|---|---|---|
| Windows 10 (включая Windows 365) | Корпоративная | 64-разрядная версия (Intel или AMD) |
| Windows 11 (включая Windows 365) | Корпоративная | 64-разрядная версия (Intel или AMD) |
Физические устройства
| Оборудование | Минимальные требования |
|---|---|
| ОЗУ | Не менее 8 ГБ (для использования клиентом должно быть доступно не менее 2 ГБ). |
| Процессор ЦП | Intel i5 или более поздней версии и AMD Ryzen 5 или более поздней версии |
| Видеокарта | Совместимость с DirectX 11 или более поздней версии, с драйвером WDDM 1.0 или более поздней версии (в настоящее время поддерживаются только интегрированные графические карты) |
| Дисковое пространство | Не менее 10 ГБ дискового хранилища |
| Display | Минимальное разрешение экрана: 1920 x 1080 |
Hyper-V и виртуальные машины
| Оборудование | Минимальные требования |
|---|---|
| ОЗУ | Не менее 16 ГБ (не менее 2 ГБ должно быть доступно для использования клиентом) |
| Процессор ЦП | Не менее восьми виртуальных ЦП или эквивалентных процессоров |
| Дисковое пространство | Не менее 10 ГБ дискового хранилища |
| Display | Минимальное разрешение экрана: 1920 x 1080 |
Важно!
Если минимальные требования не выполнены, пользователи, скорее всего, столкнуться с проблемами с клиентом Microsoft Purview и качество судебно-медицинской экспертизы может быть ненадежным.
Параметры записи
События, инициирующие события, глобальные индикаторы и индикаторы политики играют важную роль во всех политиках управления внутренними рисками, включая политику судебно-медицинских доказательств. События запуска — это действия пользователей, которые определяют, включены ли пользователи в область для оценки в политиках управления внутренними рисками. Глобальные индикаторы параметров используются для определения действий, собираемых управлением внутренними рисками. Индикаторы политики используются для определения оценки риска для пользователя в области.
В зависимости от того, как ваша организация решает настроить судебно-медицинские доказательства, существует два варианта записи:
- Конкретные действия. Этот параметр политики фиксирует действия только в том случае, если событие активации привело утвержденного пользователя в область применения политики судебной экспертизы и когда условия для индикатора политики обнаружены для пользователя. Например, пользователь, утвержденный для сбора судебно-медицинских доказательств, входит в область политики судебно-медицинских доказательств, и пользователь копирует данные в личные облачные службы хранилища или переносные запоминающие устройства. Запись ограничена только настроенным интервалом времени, когда пользователь копирует данные в личную облачную службу хранилища или переносное запоминающее устройство. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства на панели мониторинга Оповещений .
- Все действия. Этот параметр политики фиксирует все действия, выполняемые пользователями. Например, ваша организация нуждается в отслеживании действий утвержденного пользователя, активно участвующего в потенциально рискованных действиях, которые могут привести к инциденту безопасности. Возможно, индикаторы политики не достигли порогового значения для оповещения, создаваемого политикой, и потенциально опасное действие не может быть задокументировано. Непрерывная запись помогает предотвратить потенциально рискованное действие от пропущенных или незамеченных. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства на панели мониторинга Пользовательские отчеты о действиях (предварительная версия).
Важно!
Клипы с криминалистическим доказательством удаляются через 120 дней после их захвата или в конце периода предварительного просмотра, в зависимости от того, какое из этих случаев наступит раньше. Вы можете скачать или передать клипы судебно-медицинских доказательств, прежде чем они будут удалены.
Рабочий процесс
Общий рабочий процесс обнаружения, изучения и исправления оповещений, содержащих запись клипов, выполняет те же основные действия , что и другие политики управления внутренними рисками. Однако при настройке в организации существуют некоторые существенные различия для судебно-медицинских доказательств:
- Пользователи, подлежащие записи, должны иметь явные запросы и утверждения. Это дополнительный процесс, не включенный в настройку других политик управления внутренними рисками. Пользователи, назначенные группам ролей "Управление внутренними рисками " или "Администраторы управления внутренними рисками ", должны отправить запрос пользователям, назначенным группе ролей Утверждающие управление внутренними рисками , прежде чем любой пользователь в вашей организации будет иметь право на любые варианты записи клипов. Например, это требование помогает поддерживать организационные сценарии, в которых администраторы управления внутренними рисками должны получить явное одобрение от вашего назначенного юридического или кадрового персонала перед включением записи для любого пользователя.
- Устройства должны быть подключены и установлен клиент Microsoft Purview. Прежде чем судебно-медицинские доказательства смогут собирать и хранить клипы, собранные для соответствующих пользователей, их устройства должны быть подключены к порталу соответствия требованиям Microsoft Purview. Кроме того, на каждом устройстве должен быть установлен клиент Microsoft Purview. Эти предварительные требования обеспечивают поддержку записи устройств как в сети, так и в автономном режиме.
Готовы приступить к работе?
- Пошаговое руководство по настройке сбора судебных доказательств в организации см. в статье Начало работы с судебными доказательствами для управления внутренними рисками .
- Сведения о настройке предварительных требований, создании политик и начале получения оповещений см. в статье Начало работы с управлением внутренними рисками .
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по