Начало работы с судебными доказательствами управления внутренними рисками (предварительная версия)

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Настройка судебно-медицинских доказательств

Настройка судебно-медицинских доказательств в организации аналогична настройке других политик из шаблонов политик управления внутренними рисками. Как правило, вы будете выполнять те же основные действия по настройке, чтобы настроить судебно-медицинские доказательства, но есть несколько областей, в которых требуются действия по настройке для конкретных функций, прежде чем приступить к работе с базовыми шагами настройки.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно попробовать все премиум-функции в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Шаг 1. Подтверждение подписки и настройка доступа к хранилищу данных

Прежде чем приступить к работе с судебно-медицинскими доказательствами, необходимо подтвердить подписку на управление внутренними рисками и все надстройки.

Кроме того, вам потребуется добавить следующий домен в список разрешенных брандмауэра для поддержки хранилища судебно-медицинских доказательств для вашей организации:

  • compliancedrive.microsoft.com

Сбор и запись данных хранятся в этом домене и назначаются только вашей организации. Никакая другая организация Microsoft 365 не имеет доступа к записи судебно-медицинских доказательств для вашей организации.

Шаг 2. Настройка поддерживаемых устройств

Устройства пользователей, подходящие для записи судебно-медицинских доказательств, должны быть подключены к Портал соответствия требованиям Microsoft Purview и должны иметь установленный клиент Microsoft Purview.

Важно!

Клиент Microsoft Purview автоматически собирает общие диагностические данные, связанные с конфигурацией устройства и метриками производительности. Сюда входят данные о критических ошибках, потреблении ОЗУ, сбоях процесса и других данных. Эти данные помогают нам оценить работоспособность клиента и выявить любые проблемы. Дополнительные сведения об использовании диагностических данных см. в статье Использование программного обеспечения с веб-службами в условиях использования продуктов Майкрософт.

Список требований к устройству и конфигурации см. в статье Сведения о судебно-медицинских доказательствах (предварительная версия). Чтобы подключить поддерживаемые устройства, выполните действия, описанные в статье Общие сведения о подключении Windows 10 и Windows 11 устройств в Microsoft 365.

Чтобы установить клиент Microsoft Purview, выполните следующие действия.

  1. В Портал соответствия требованиям Microsoft Purview перейдите в раздел Управление внутренними рисками>Судебно-медицинские доказательства (предварительная версия)>Установка клиента.

  2. Выберите Скачать пакет установщика (версия x64), чтобы скачать пакет установки для Windows.

  3. После скачивания пакета установки используйте предпочитаемый метод, чтобы установить клиент на устройствах пользователей. Эти параметры могут включать установку клиента вручную на устройствах или средствах для автоматизации установки клиента:

    • Microsoft Endpoint Manager. Microsoft Endpoint Manager — это интегрированное решение для управления всеми вашими устройствами. Корпорация Майкрософт объединяет Configuration Manager и Intune без сложной миграции и упрощенного лицензирования.
    • Сторонние решения по управлению устройствами. Если ваша организация использует сторонние решения для управления устройствами, см. документацию по этим средствам для установки клиента.

Шаг 3. Настройка параметров

У судебно-медицинских доказательств есть несколько параметров конфигурации, которые обеспечивают гибкость для типов отслеживаемых действий пользователей, связанных с безопасностью, параметров записи, ограничений пропускной способности и параметров записи в автономном режиме. Запись судебно-медицинских доказательств позволяет создавать политики на основе ваших требований всего за несколько шагов, а добавление пользователей в политику требует двойной авторизации.

Чтобы настроить параметры судебно-медицинских доказательств, выполните следующие действия.

  1. В Портал соответствия требованиям Microsoft Purview перейдите в раздел Управление внутренними рисками>Судебно-медицинские доказательства (предварительная версия)>Параметры судебно-медицинских доказательств.

  2. Выберите Запись судебно-медицинских доказательств, чтобы включить поддержку записи в политиках судебно-медицинских доказательств. Если этот параметр будет отключен позже, будут удалены все ранее добавленные пользователи для политик судебно-медицинских доказательств.

    Важно!

    Клиент Microsoft Purview, используемый для отслеживания действий на устройствах пользователей, лицензируется в соответствии с условиями использования программного обеспечения с веб-службами. Обратите внимание, что клиенты несут полную ответственность за использование решения для управления внутренними рисками, включая клиент Microsoft Purview, в соответствии со всеми применимыми законами.

  3. В окне захвата укажите, когда следует начать и остановить запись действий. Доступные значения: 10 секунд, 30 секунд, 1 минута, 3 минуты или 5 минут.

  4. В разделе Ограничение пропускной способности передачи определите объем данных сбора для отправки в учетную запись хранения данных на пользователя в день. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  5. При необходимости включите автономную запись в разделе Автономная запись . Если этот параметр включен, автономные действия пользователей записываются и передаются в учетную запись хранения данных при следующем подключении к сети.

  6. В разделе Ограничение кэша автономной записи определите максимальный размер кэша для хранения на устройствах пользователей при включении автономной записи. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  7. Нажмите Сохранить.

Шаг 4. Создание политики

Политики судебно-медицинских доказательств определяют область действий пользователей, связанных с безопасностью, для отслеживания на настроенных устройствах. Вы можете использовать одну политику, которая фиксирует все действия, которые утвержденные пользователи выполняют на своих устройствах, и дополнительные политики, которые фиксируют только определенные действия (например, печать или извлечение файлов). После создания эти политики будут включены в запросы на судебно-медицинские доказательства, чтобы контролировать, какие действия следует записывать для пользователей, запросы которых утверждены.

  1. В Портал соответствия требованиям Microsoft Purview перейдите к разделу Управление внутренними рисками>Судебно-медицинские доказательства (предварительная версия)>Политики судебно-медицинских доказательств.

  2. Выберите Создать политику судебно-медицинских доказательств.

  3. На странице Область вы выберете область действий пользователей, связанных с безопасностью, для записи. Выберите один из приведенных ниже вариантов.

    • Конкретные действия. Этот параметр фиксирует только действия, обнаруженные политиками, в которые включены пользователи. Эти действия определяются индикаторами, выбранными в политиках судебно-медицинских доказательств. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Оповещений или Случаев .
    • Все действия. Этот параметр фиксирует все действия, выполняемые пользователями. Записи для этого параметра будут доступны для просмотра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Отчетов о действиях пользователей (предварительная версия).
  4. Нажмите кнопку Далее.

  5. На странице Название и описание заполните следующие поля:

    • Имя (обязательно): введите понятное имя для политики судебно-медицинских доказательств. Это имя нельзя изменить после создания политики.
    • Описание (необязательно): введите описание политики судебно-медицинских доказательств.
  6. Нажмите кнопку Далее.

  7. Если вы выбрали параметр Все действия на шаге 3, на странице Действия с устройством вы перейдете к заключительному шагу мастера политик. При выборе параметра Все действия устройства не нужно настраивать.

    Если вы выбрали параметр Определенные действия на шаге 3, вы выберете действия устройства для записи на странице Действия устройства . Политика фиксирует только выбранные действия. Если индикаторы недоступны для выбора, необходимо включить эти индикаторы для организации, прежде чем вы сможете выбрать эти индикаторы в политике судебно-медицинских доказательств.

    Выбрав индикаторы, нажмите кнопку Далее.

  8. На странице Готово просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить, чтобы изменить какие-либо значения политики, или выберите Отправить для создания и активации политики.

После завершения действий по настройке политики перейдите к шагу 5.

Шаг 5. Определение и утверждение пользователей для записи

Прежде чем зафиксировать действия пользователей, связанные с безопасностью, администраторы должны выполнить процедуру двойной авторизации в судебно-медицинских доказательствах. Этот процесс предусматривает, что включение визуальной записи для конкретных пользователей определяется и утверждается соответствующими сотрудниками в вашей организации.

Важно!

В предварительной версии не более 5 одновременно работающих пользователей имеют право на запись судебно-медицинских доказательств. Запись для групп не поддерживается в предварительной версии.

Необходимо запросить, чтобы запись судебно-медицинских доказательств была включена для определенных пользователей. При отправке запроса утверждающие в вашей организации уведомляются по электронной почте и могут утвердить или отклонить запрос. В случае утверждения пользователь появится на вкладке Утвержденные пользователи и будет иметь право на запись.

Дальнейшие действия

После настройки политики судебной экспертизы может потребоваться до 48 часов, чтобы первые подходящие записи клипов были доступны для просмотра в оповещениях о других политиках или в виде действий в отчетах о действиях пользователей. Дополнительные сведения об управлении судебно-медицинскими доказательствами и просмотре видеозаписей см. в статье Управление судебно-медицинскими доказательствами управления информационными рисками .