Поделиться через


Начало работы с судебно-медицинскими доказательствами управления внутренними рисками

Важно!

Судебно-медицинские доказательства — это надстройка в управлении внутренними рисками, которая предоставляет группам безопасности визуальную информацию о потенциальных инцидентах с безопасностью инсайдерских данных с встроенной конфиденциальностью пользователей. Судебно-медицинские доказательства включают настраиваемые триггеры событий и встроенные элементы управления конфиденциальностью пользователей, что позволяет группам безопасности лучше исследовать, понимать и реагировать на потенциальные риски инсайдерских данных, такие как несанкционированный кража конфиденциальных данных.

Организации устанавливают правильные политики для себя, включая то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств и какие данные являются наиболее конфиденциальными. Судебно-медицинские доказательства по умолчанию отключены, для создания политики требуется двойная авторизация, а имена пользователей можно маскировать с помощью псевдонимизации (которая включена по умолчанию для управления внутренними рисками). При настройке политик и проверке оповещений системы безопасности в управлении внутренними рисками используются надежные средства управления доступом на основе ролей (RBAC), гарантирующие, что назначенные сотрудники в организации принимают правильные меры с дополнительными возможностями аудита.

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Настройка судебно-медицинских доказательств в организации аналогична настройке других политик из шаблонов политик управления внутренними рисками. Как правило, вы будете выполнять те же основные действия по настройке, чтобы настроить судебно-медицинские доказательства, но есть несколько областей, в которых требуются действия по настройке для конкретных функций, прежде чем приступить к работе с базовыми шагами по настройке.

Совет

Приступая к работе с Microsoft Copilot для безопасности, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot для безопасности в Microsoft Purview.

Шаг 1. Подтверждение подписки и настройка доступа к хранилищу данных

Прежде чем приступить к работе с судебно-медицинскими доказательствами, необходимо подтвердить подписку на управление внутренними рисками и все надстройки.

Кроме того, необходимо добавить следующие домены в список разрешенных брандмауэра и прокси-сервера для поддержки хранилища судебно-медицинских доказательств для вашей организации:

По всему миру — домен

- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

GCC/GCC High — домен

- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

DOD — домен

- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

Дополнительные сведения об этих конечных точках см. в статье Конечные точки Microsoft 365.

Примечание.

Сбор и сбор данных хранятся в этих доменах и назначаются только вашей организации. Никакая другая организация Microsoft 365 не имеет доступа к записи судебно-медицинских доказательств для вашей организации.

Данные судебно-медицинских доказательств хранятся в одном регионе, где задано Exchange Online Protection (EOP) или регион обмена.

Шаг 2. Настройка поддерживаемых устройств

Устройства пользователей, подходящие для записи судебно-медицинских доказательств, должны быть подключены к Портал соответствия требованиям Microsoft Purview и должны иметь установленный клиент Microsoft Purview.

Важно!

Клиент Microsoft Purview автоматически собирает общие диагностические данные, связанные с конфигурацией устройства и метриками производительности. Сюда входят данные о критических ошибках, потреблении ОЗУ, сбоях процесса и других данных. Эти данные помогают нам оценить работоспособность клиента и выявить любые проблемы. Дополнительные сведения об использовании диагностических данных см. в статье Использование программного обеспечения с веб-службами в условиях использования продуктов Майкрософт.

Список требований к устройству и конфигурации см. в статье Сведения о судебно-медицинских доказательствах. Чтобы подключить поддерживаемые устройства, выполните действия, описанные в статье Общие сведения о подключении Windows 10 и Windows 11 устройств в Microsoft 365.

Установка клиента Microsoft Purview

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Установка клиента.

  4. Выберите Скачать пакет установщика (версия x64), чтобы скачать пакет установки для Windows.

  5. После скачивания пакета установки используйте предпочитаемый метод, чтобы установить клиент на устройствах пользователей. Эти параметры могут включать установку клиента вручную на устройствах или средствах для автоматизации установки клиента:

    • Microsoft Intune. Microsoft Intune — это интегрированное решение для управления всеми вашими устройствами. Корпорация Майкрософт объединяет Configuration Manager и Intune без сложной миграции и упрощенного лицензирования.
    • Сторонние решения по управлению устройствами. Если ваша организация использует сторонние решения для управления устройствами, см. документацию по этим средствам для установки клиента.

Шаг 3. Настройка параметров

У судебно-медицинских доказательств есть несколько параметров конфигурации, которые обеспечивают гибкость для типов отслеживаемых действий пользователей, связанных с безопасностью, параметров записи, ограничений пропускной способности и параметров записи в автономном режиме. Запись судебно-медицинских доказательств позволяет создать политики на основе ваших требований всего за несколько шагов, а добавление пользователей в политику требует двойной авторизации.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Параметры судебно-медицинских доказательств.

  4. Выберите Запись судебно-медицинских доказательств, чтобы включить поддержку записи в политиках судебно-медицинских доказательств. Если этот параметр будет отключен позже, будут удалены все ранее добавленные пользователи для политик судебно-медицинских доказательств.

    Важно!

    Клиент Microsoft Purview, используемый для отслеживания действий на устройствах пользователей, лицензируется в соответствии с условиями использования программного обеспечения с веб-службами. Обратите внимание, что клиенты несут полную ответственность за использование решения для управления внутренними рисками, включая клиент Microsoft Purview, в соответствии со всеми применимыми законами.

  5. В окне захвата укажите, когда следует начать и остановить запись действий. Доступные значения: 10 секунд, 30 секунд, 1 минута, 3 минуты или 5 минут.

  6. В разделе Ограничение пропускной способности передачи определите объем данных сбора для отправки в учетную запись хранения данных на пользователя в день. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  7. В разделе Ограничение кэша автономной записи определите максимальный размер кэша для хранения на устройствах пользователей при включении автономной записи. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  8. Выберите Сохранить.

Шаг 4. Create политики

Политики судебно-медицинских доказательств определяют область действий пользователей, связанных с безопасностью, для отслеживания настроенных устройств. Существует два варианта захвата судебно-медицинских доказательств:

  • Запись только определенных действий (например, печати или эксфильтрации файлов). С помощью этого параметра можно выбрать действия устройства, которые требуется записать, и только выбранные действия будут записаны политикой. Вы также можете записывать действия для определенных классических приложений и (или) веб-сайтов. Таким образом, вы можете сосредоточиться только на действиях, приложениях и веб-сайтах, которые представляют риск.
  • Запишите все действия, которые утвержденные пользователи выполняют на своих устройствах. Этот параметр обычно используется в течение определенного периода времени, например, когда конкретный пользователь потенциально участвует в рискованных действиях, которые могут привести к инциденту безопасности. Все индикаторы судебно-медицинских доказательств автоматически включаются при выборе этого параметра, включая индикаторы устройств и индикаторы расширенной защиты от фишинга. Чтобы сохранить емкость и конфиденциальность пользователей, можно исключить определенные классические приложения и (или) веб-сайты из записи, как описано ниже.

После создания политики вы добавите ее в запросы на судебно-медицинские доказательства, чтобы контролировать, какие действия следует записывать для пользователей, запросы которых утверждены.

Примечание.

Политики непрерывной судебной экспертизы (фиксация всех действий) имеют приоритет над выборочными политиками судебно-медицинских доказательств (запись только определенных действий).

Запись только определенных действий

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Политики судебно-медицинских доказательств.

  4. Выберите Create политику судебно-медицинских доказательств.

  5. На странице Область выберите Конкретные действия. Этот параметр фиксирует только действия, обнаруженные политиками, в которые включены пользователи. Эти действия определяются индикаторами, выбранными в политиках судебно-медицинских доказательств. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Оповещений или Случаев .

  6. Нажмите кнопку Далее.

  7. На странице Название и описание заполните следующие поля:

    • Имя (обязательно): введите понятное имя для политики судебно-медицинских доказательств. Это имя нельзя изменить после создания политики.
    • Описание (необязательно): введите описание политики судебно-медицинских доказательств.
  8. Нажмите кнопку Далее.

  9. На странице Выбор действий устройства для записи :

    1. Выберите все действия устройства, которые требуется записать. Политика фиксирует только выбранные действия.

      Примечание.

      Если индикаторы недоступны для выбора, вам будет предложено включить их.

    2. Вы также можете выбрать запись действий для определенных классических приложений и (или) веб-сайтов в политике, выбрав поле Открытие определенного приложения или веб-сайта проверка в разделе Действия по просмотру приложений и веб-сайтов для записи.

    Важно!

    Если вы хотите записать действия браузера (включить или исключить определенные URL-адреса в политиках судебно-медицинской экспертизы), обязательно установите необходимые расширения браузера. Кроме того, необходимо включить хотя бы один индикатор просмотра. Если вы еще не включили один или несколько индикаторов браузера, вам будет предложено сделать это, если вы решите включить или исключить классические приложения или веб-сайты. Событием активации для записи действий браузера является обновление URL-адреса в строке URL-адресов, содержащей указанный URL-адрес.

    1. Нажмите кнопку Далее.
  10. (Необязательно) Если вы решили записать действия для определенных классических приложений и веб-сайтов, на странице Добавление приложений и веб-сайтов, для которого требуется записать действия :

    1. Чтобы добавить классическое приложение, выберите Добавить классические приложения, введите имя исполняемого файла (например, teams.exe), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого классического приложения, которое вы хотите добавить (до 25 приложений). Чтобы найти имя исполняемого файла для приложения, откройте диспетчер задач, а затем просмотрите свойства приложения. Ниже приведен список имен exe для некоторых распространенных приложений: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), ножницы (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) и Удаленный рабочий стол (Майкрософт) Connection (mstsc.exe).

    Примечание.

    Иногда имена exe для приложения могут отличаться в зависимости от устройства и разрешений, с помощью которых было открыто приложение. Например, на Windows 11 корпоративном устройстве при открытии Windows PowerShell без разрешений администратора имя exe-файла WindowsTerminal.exe но при открытии с разрешениями администратора имя исполняемого файла изменяется на powershell.exe. Обязательно включите или исключите оба имени exe в таких сценариях.

    1. Чтобы добавить веб-приложение или веб-сайт, выберите Добавить веб-приложения и веб-сайты, введите URL-адрес (например, https://teams.microsoft.com), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого веб-приложения или веб-сайта, которые вы хотите добавить. Вы можете добавить до 25 URL-адресов с длиной символа 100 для каждого URL-адреса.

    Совет

    Если приложение имеет классическую и веб-версию, добавьте исполняемый файл и URL-адрес рабочего стола, чтобы убедиться, что вы записываете действия для обоих.

    1. Нажмите кнопку Далее.
  11. На странице Проверка параметров и завершения просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Измените любое из значений политики или нажмите кнопку Отправить , чтобы создать и активировать политику.

  12. После завершения действий по настройке политики перейдите к шагу 5.

Запись всех действий

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Политики судебно-медицинских доказательств.

  4. Выберите Create политику судебно-медицинских доказательств.

  5. На странице Область выберите Все действия. Этот параметр фиксирует все действия, выполняемые пользователями. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Отчетов о действиях пользователей (предварительная версия).

  6. Нажмите кнопку Далее.

  7. На странице Название и описание заполните следующие поля:

    • Имя (обязательно): введите понятное имя для политики судебно-медицинских доказательств. Это имя нельзя изменить после создания политики.
    • Описание (необязательно): введите описание политики судебно-медицинских доказательств.
  8. Нажмите кнопку Далее.

  9. Если вы хотите исключить определенные классические приложения и (или) веб-приложения или веб-сайты из записи, на странице Выберите действия устройства для записи, в разделе Действия по просмотру приложений и веб-сайтов для записи установите флажок Исключить определенные приложения или веб-сайты проверка.

  10. Нажмите кнопку Далее.

  11. Если вы решили исключить определенные классические приложения и веб-сайты из записи, на странице Исключить приложения и URL-адреса :

    • Чтобы исключить классическое приложение из записи, выберите Исключить классические приложения, введите имя исполняемого файла (например, teams.exe), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого классического приложения, которое вы хотите исключить (до 25 приложений). Чтобы найти имя исполняемого файла для приложения, откройте диспетчер задач, а затем просмотрите свойства приложения.
    • Чтобы исключить веб-приложение или веб-сайт, выберите Исключить веб-приложения и веб-сайты, введите URL-адрес (например, https://teams.microsoft.com), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого веб-приложения или веб-сайта, которые необходимо исключить. Вы можете исключить до 25 URL-адресов с длиной символа 100 для каждого URL-адреса.

    Совет

    Если приложение имеет классическую и веб-версию, добавьте исполняемый файл и URL-адрес рабочего стола, чтобы исключить оба варианта.

  12. На странице Проверка параметров и завершения просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Измените любое из значений политики или нажмите кнопку Отправить , чтобы создать и активировать политику.

  13. После завершения действий по настройке политики перейдите к шагу 5.

Шаг 5. Определение и утверждение пользователей для записи

Прежде чем зафиксировать действия пользователей, связанные с безопасностью, администраторы должны выполнить процедуру двойной авторизации в судебно-медицинских доказательствах. Этот процесс предусматривает, что включение визуальной записи для конкретных пользователей определяется и утверждается соответствующими сотрудниками в вашей организации.

Необходимо запросить, чтобы запись судебно-медицинских доказательств была включена для определенных пользователей. При отправке запроса утверждающие в вашей организации уведомляются по электронной почте и могут утвердить или отклонить запрос. В случае утверждения пользователь появится на вкладке Утвержденные пользователи и будет иметь право на запись. Дополнительные сведения см. по следующим ссылкам:

Дальнейшие действия

После настройки политики судебно-медицинской экспертизы применение политики может занять до двух часов, учитывая, что клиенты судебно-медицинских доказательств (установленные на устройствах конечных точек) находятся в сети. При записи клипа клиентом может потребоваться до одного часа, прежде чем клип будет доступен для просмотра. Дополнительные сведения об управлении судебно-медицинскими доказательствами и просмотре видеозаписей см. в статье Управление судебно-медицинскими доказательствами управления информационными рисками .