Оповещения и политики оповещений диспетчера соответствия требованиям Microsoft Purview

  • Статья

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Обзор

Диспетчер соответствия требованиям может оповещать вас об изменениях, как только они произойдут, чтобы вы могли следить за своими целями соответствия. Например, можно настроить оповещения, информирующие вас о том, что значение оценки действия по улучшению увеличилось или уменьшилось из-за изменения конфигурации в клиенте или когда пользователю было назначено действие по улучшению для выполнения работы по реализации или тестированию. Просмотрите типы событий , для которых можно создавать оповещения.

Для создания оповещений необходимо сначала настроить политику оповещений, чтобы указать условия, которые активируют оповещение, и частоту уведомлений. Когда мы обнаруживаем соответствие условиям вашей политики, вы получите по электронной почте уведомление с подробными сведениями, чтобы определить, следует ли исследовать или предпринять дальнейшие действия.

Все оповещения отображаются на вкладке Оповещения в диспетчере соответствия требованиям, а все политики оповещений — на вкладке Политики оповещений. Для всех организаций уже настроена политика изменения оценки по умолчанию .

Общие сведения о страницах оповещений и политик оповещений

Важно!

Пользователи должны хранить роль читателя безопасности в Microsoft Entra ID, чтобы получить доступ к страницам оповещений и политик оповещений в диспетчере соответствия требованиям. Для работы с оповещениями и политиками оповещений требуются дополнительные роли диспетчера безопасности и соответствия требованиям. Дополнительные сведения см. в разделе Разрешения политики оповещений.

Страница "Политики оповещений"

Совет

На новом портале Microsoft Purview (предварительная версия) эта страница называется Политиками и находится в области навигации слева, а не в виде вкладки вверху.

Выберите Политики оповещений в диспетчере соответствия требованиям, чтобы просмотреть политики оповещений и управлять ими. На странице Политики оповещений содержится таблица со всеми политиками, созданными вашей организацией. На этой странице можно создавать новые политики, изменять существующие политики, изменять состояние активации и удалять политики.

В столбце Состояниезначение Активно означает, что политика действует и активирует оповещения при выполнении условий. Неактивно означает, что политика существует, но не создает оповещения. В таблице политик также показаны серьезность политики и дата последнего изменения политики.

Чтобы просмотреть сведения об отдельной политике, выберите ее строку в таблице. Откроется всплывающий элемент со всеми сведениями. Нажмите кнопку Действие в нижней части панели и выберите один из вариантов, чтобы изменить политику, просмотреть ее оповещения или удалить ее. Команды для добавления, изменения, удаления, активации и отключения также доступны в верхней части таблицы над фильтрами.

Чтобы приступить к созданию политики оповещений, см. статью Создание политики генерации оповещений.

Страница оповещений

Совет

На новом портале Microsoft Purview (предварительная версия) эта страница находится в области навигации слева, а не в виде вкладки в верхней части.

Выберите Оповещения в диспетчере соответствия требованиям для просмотра оповещений и управления ими. Страница Оповещения содержит таблицу, в которой перечислены каждое оповещение, созданное политикой оповещений, а также его серьезность и событие триггера (например, изменение оценки действия) и дата оповещения.

Чтобы просмотреть отдельное оповещение, выберите его строку в таблице. Откроется всплывающий элемент со всеми сведениями на вкладке Обзор области. На вкладке Журнал событий отображаются действия, выполненные пользователями, которые активировали оповещение.

Кнопка Действия в нижней части панели позволяет назначить пользователю оповещение для дальнейших действий, отправить электронное письмо пользователю, действия которого создали оповещение, или просмотреть сведения о политике, создающей оповещение. Вы также можете выполнить те же действия, щелкнув круглую кнопку, которая отображается слева от имени оповещения при наведении указателя мыши на его строку, а затем щелкнув одну из кнопок в верхней части таблицы над фильтрами.

Сведения о начале работы с оповещениями см. в статье Просмотр оповещений и управление ими.

Разрешения политики оповещений

В приведенной ниже таблице показано, какие пользователи могут создавать и изменять оповещения и политики оповещений в зависимости от типа роли. Помимо роли диспетчера соответствия требованиям пользователям также требуется роль Microsoft Entra следующим образом:

  • Просмотр оповещений и политик оповещений: роль читателя безопасности в Microsoft Entra ID
  • Создание или обновление политик оповещений: администратор соответствия требованиям, администратор данных соответствия, администратор безопасности или оператор безопасности в Microsoft Entra ID

Дополнительные сведения о ролях Azure в Портал соответствия требованиям Microsoft Purview.

Роль Может создавать и изменять политики Может изменять оповещения
Администрирование диспетчера соответствия требованиям Да Да
Аудитор в диспетчере соответствия требованиям Да Да
Участник в диспетчере соответствия требованиям Да Да
Читатель в диспетчере соответствия требованиям Нет Нет
Глобальный администратор Да Да

Узнайте, как задать разрешения пользователей и назначить роли для диспетчера соответствия требованиям.

Создание политики оповещений

Вы можете создавать политики, чтобы оповещать вас об определенных изменениях или событиях, связанных с действиями по улучшению. Ниже перечислены типы событий.

Типы событий оповещений

  • Изменение оценки: увеличение или уменьшение баллов, начисленных за действие по улучшению из-за изменений конфигурации, внесенных кем-либо в вашей организации. Например, если ваша организация создает политику управления внутренними рисками, это может увеличить ваши баллы за определенное действие на определенную сумму.
  • Изменение назначения: действие по улучшению назначено пользователю, переназначено другому пользователю или не назначено от пользователя.
  • Изменение состояния реализации: пользователь изменил состояние реализации действия по улучшению.
  • Изменение состояния теста: пользователь изменил состояние тестирования действия по улучшению.
  • Изменение доказательств: пользователь загрузил или удалил документ доказательства на вкладке Документы действия по улучшению.

Политика изменения оценки по умолчанию

Диспетчер соответствия требованиям настраивает политику оповещений по умолчанию для отслеживания изменений оценки в действиях по улучшению. Политика по умолчанию создает оповещение при изменении оценки действия по улучшению. Большинство параметров политики по умолчанию нельзя изменить, но вы можете добавить дополнительных получателей для уведомлений.

Ниже приведены параметры политики по умолчанию.

  • Все совпадения, обнаруженные в течение 60 минут, будут сгруппированы в одно оповещение, чтобы уменьшить чрезмерное количество уведомлений. Например, если в пяти действиях по улучшению оценка изменится в течение одного часа, будет создано одно оповещение.

  • Уровень серьезности для этих оповещений — средний.

  • Глобальный Администратор для вашей организации является получателем уведомлений об оповещениях по умолчанию.

  • Вы можете добавить дополнительных получателей оповещений, выполнив следующие действия.

    • На странице Политики оповещений найдите политику оповещений диспетчера соответствия требованиям по умолчанию.
    • Установите флажок слева от его имени и нажмите кнопку Изменить вверху над фильтрами.
    • Нажимайте кнопку Далее , пока не перейдете на страницу Получатели оповещений .
    • Выберите +Выбрать получателей и проверка поля рядом с именами пользователей на всплывающей панели, которым вы хотите получить уведомление по электронной почте. По завершении выберите Добавить получателя, а затем нажмите кнопку Далее.
    • На странице Проверка и завершение выберите Обновить , чтобы сохранить изменения.

  • Политику по умолчанию нельзя удалить, но ее можно отключить, выполнив описанные ниже действия.

Действия по созданию политики

Чтобы создать политику для создания оповещений на основе одного или нескольких событий, выполните следующие действия.

  1. В диспетчере соответствия требованиям перейдите на страницу Политики оповещений и выберите +Добавить , чтобы запустить мастер создания политик.

    Совет

    На новом портале Microsoft Purview (предварительная версия) эта страница называется Политиками и находится в области навигации слева, а не в виде вкладки вверху.

  2. На странице Имя и описание введите имя политики и необязательное описание, а затем нажмите кнопку Далее.

  3. На странице Условия выберите одно или несколько событий, которые активируют оповещение. В заголовке действия "Улучшение" выберите Добавить вложенные условия и проверка поле, которое появляется при наведении указателя мыши слева от имени каждого условия. Для политики можно выбрать одно или несколько условий: изменение назначения, изменение доказательства, изменение состояния реализации, изменение оценки, изменение состояния теста. По завершении нажмите кнопку Далее.

  4. На странице Результаты выберите, что происходит при обнаружении соответствия политике:

    • Выберите уровень серьезности для оповещения при обнаружении совпадения: низкий, средний или высокий.
    • Укажите, как часто вы хотите получать уведомления по электронной почте при обнаружении совпадения. Вы можете получать уведомления о каждом совпадении или выбрать пороговое значение для определенного количества совпадений выше трех.
    • Если вы хотите получать уведомления после трех или более совпадений, вы назначите количество минут, в течение которых это пороговое значение должно быть достигнуто (например, 4 совпадения в течение 90 минут).

    Когда все будет готово, нажмите кнопку Далее.

  5. На странице Получатель оповещений выберите дополнительных пользователей в вашей организации, чтобы получать электронное письмо при соблюдении условий политики. Пользователь, создающий политику, является получателем по умолчанию. Выберите +Выбрать получателей и проверка поля рядом с именами пользователей на всплывающей панели, которым вы хотите получить уведомление по электронной почте. По завершении выберите Добавить получателей, а затем нажмите кнопку Далее.

  6. Просмотрите все выбранные элементы и внесите изменения в каждый раздел, выбрав , а затем нажмите кнопку Далее. По завершении проверки выберите Создать политику.

  7. После создания политики нажмите кнопку Готово. Вы перейдете на страницу Политики оповещений с всплывающей панелью для уже открытой политики, которую вы только что создали.

Политика активна после ее создания. Это означает, что она начнет обнаруживать совпадения и создавать оповещения. Инструкции по инактивации или удалению политик см. в разделе Управление политиками ниже.

После создания или обновления политики может потребоваться до 24 часов, прежде чем эта политика создает оповещения. Сведения о активации событий и агрегации оповещений см. в разделе Просмотр сведений об оповещении ниже.

Управление политиками

На странице Политики оповещений содержится таблица со списком всех политик. Дополнительные сведения о ней см. на странице Политики оповещений . Любой пользователь в вашей организации может просматривать политики, но некоторые действия ограничены определенными ролями; См . раздел Разрешения политики оповещений.

Совет

На новом портале Microsoft Purview (предварительная версия) эта страница называется Политиками и находится в области навигации слева, а не в виде вкладки вверху.

Просмотр сведений о политике

Выберите политику из ее строки на странице Политики оповещений , чтобы открыть всплывающую панель с подробными сведениями о политике, включая условия соответствия, время и время отправки оповещений и кому, а также уровень серьезности.

Кнопка Действия в нижней части панели позволяет изменить политику, удалить политику или просмотреть оповещения.

Просмотр оповещений политики

На всплывающей панели политики выберите Действия , а затем — Просмотр оповещений. Вы перейдете непосредственно на страницу Оповещения с отфильтрованным представлением всех оповещений, созданных этой политикой. Узнайте, как работать с оповещениями.

Изменить политику

Вы можете изменить любой аспект политики, кроме ее имени. Если вы хотите изменить его имя, необходимо создать новую политику с новым именем.

Чтобы изменить политику, нажмите круглую кнопку, которая отображается слева от ее имени при наведении указателя мыши на ее строку на странице Политики оповещений и нажмите кнопку Изменить вверху над фильтрами.

Вы перейдете в мастер создания политики, где можно вносить и сохранять изменения в политике. Вы также можете выбрать политику, чтобы открыть панель сведений о ней, и на кнопке Действия выберите Изменить политику. После повторной работы с мастером просмотрите выбранные параметры и на последнем шаге нажмите кнопку Обновить , чтобы сохранить изменения.

Для создания оповещений обновленной политикой может потребоваться до 24 часов.

Активация или активация политики

Политики активируются по умолчанию сразу после их создания. При активном выполнении условий политика создаст оповещение (отображается на странице Оповещения) и отправит уведомление указанным получателям по электронной почте.

Чтобы изменить политику на неактивное состояние, что означает, что она не будет создавать оповещения, нажмите круглую кнопку, которая отображается слева от имени политики при наведении указателя мыши на ее строку. Затем выберите команду Отключить над таблицей. Состояние политики теперь будет отображаться как Неактивно. Чтобы повторно активировать политику, выполните ту же процедуру и нажмите кнопку Активировать над фильтрами.

Удаление политики

Чтобы удалить политику, нажмите кнопку рядом с ее именем на странице Политики оповещений и выберите Удалить в верхней части страницы. Вы также можете выбрать политику, чтобы открыть панель сведений о ней, и на кнопке Действия выберите Удалить политику.

Удаление является постоянным. После удаления политики она больше не будет создавать оповещения или Уведомления по электронной почте. Дополнительные сведения об оповещениях, подключенных к удаленным политикам.

Просмотр оповещений и управление ими

На странице Оповещения отображается таблица со всеми оповещениями, созданными всеми политиками. Оповещения создаются почти сразу после возникновения события, соответствующего условиям политики. Имя оповещения совпадает с именем политики, создающей оповещение.

Оповещение можно создать только из активной политики. После создания оповещения оно остается в списке на странице Оповещения независимо от того, является ли политика активной или неактивной.

Фильтрация представления оповещений

Чтобы отфильтровать представление оповещений, выберите команду Фильтр над таблицей на странице Оповещения . Во всплывающей области Фильтр выберите один из следующих параметров фильтра:

  • Тип события
  • Severity
  • Состояние
  • Пользователь, назначенный
  • Дата обнаружения
  • Имя политики

После выбора выберите Применить. Всплывающий элемент закроется, а на обновленной странице Оповещения отобразится отфильтрованное представление. Фильтры отображаются в верхней части таблицы, хотя не все столбцы фильтра могут отображаться в таблице.

Просмотр сведений об оповещении

Чтобы просмотреть все сведения об оповещении, включая события, которые его активировали, выберите его строку в таблице. На всплывающей панели будут отображаться сведения об оповещении на вкладке Обзор панели.

На вкладке Журнал событий всплывающей панели отображаются действия, создающие оповещение, например изменение оценки или изменение назначения, а также имя пользователя, связанного с каждым действием, и дата обнаружения.

События оповещений

Столбец Событие на странице Оповещения указывает условия политики, которые были обнаружены. иными словами, действие, создающее оповещение. На вкладке Журнал событий на панели сведений оповещений перечислены каждый экземпляр события, связанный пользователь и дата обнаружения. Ниже перечислены значения событий.

  • Изменение оценки: показывает количество увеличения или уменьшения баллов
  • Изменение назначения: действие по улучшению назначено пользователю, переназначено другому пользователю или не назначено от пользователя.
  • Изменение состояния реализации: пользователь изменил состояние реализации действия по улучшению
  • Изменение состояния теста: пользователь изменил состояние тестирования действия по улучшению.
  • Изменение доказательств: пользователь загрузил или удалил документ доказательства на вкладке Документы действия по улучшению
  • Несколько событий: обнаружено несколько экземпляров события одного типа; например, одно действие по улучшению, которое было переназначено несколько раз
  • Несколько условий: обнаружено несколько условий в одной политике.

Агрегирование оповещений для нескольких событий в течение одной минуты

Если в течение одной минуты происходит несколько событий, соответствующих условиям политики оповещений, они добавляются к существующему оповещению с помощью процесса, называемого агрегированием оповещений.

Например, при возникновении одного события, соответствующего политике, создается оповещение , которое отображается на странице Оповещения и отправляется уведомление. Если другое событие, соответствующее той же политике, возникает в течение одной минуты после первого события, диспетчер соответствия требованиям добавляет сведения о дополнительном событии на вкладку Журнал событий существующего оповещения вместо запуска нового оповещения. Цель агрегирования оповещений — помочь уменьшить "усталость" оповещений и позволить сосредоточиться на меньшем количестве оповещений и принять меры.

Принятие мер для оповещений

Когда одна из ваших политик создает оповещение, можно просмотреть события, вызвавшие оповещение, и определить, нужно ли проверять или дополнительно исследовать события.

Чтобы выполнить действие с оповещением , выберите его строку на странице Оповещения, чтобы открыть всплывающий элемент с его сведениями, нажмите кнопку Действия и выберите один из перечисленных ниже вариантов. Вы также можете выполнить действия, нажав круглую кнопку, которая отображается слева от имени оповещения при наведении указателя мыши на его строку, и щелкнув одну из кнопок действий в верхней части страницы над фильтрами.

Назначение оповещения. Может потребоваться назначить оповещение пользователю для изучения или проверки событий, вызвавших оповещение. При выборе этого параметра откроется панель, на которой можно выбрать пользователя в организации и назначить ему оповещение. Вы можете отфильтровать представление оповещений, выбрав Фильтры на странице Оповещения и введя имя пользователя в поле Назначено .

Email оповещение: может потребоваться отправить пользователю сообщение электронной почты, связанное с действием оповещения, чтобы подтвердить, что он выполнил это действие. При выборе этого параметра откроется шаблон электронной почты с основными сведениями об оповещении, который можно настроить с помощью дальнейших инструкций и отправить пользователю.

Просмотр сведений о политике. Может потребоваться просмотреть параметры политики, которая активирует оповещение. Обратите внимание, что при выборе этого параметра вы перейдете непосредственно на страницу Политики оповещений с уже открытой панелью сведений о политике. Когда вы закроете панель сведений о политике, вы больше не будете на странице "Оповещения ".

Состояние изменения. Состояние оповещения можно обновить на основе проверки его влияния и необходимости его изучения. Дополнительные сведения о состоянии оповещений см. в следующем разделе.

Состояние оповещений

При создании оповещения его состояние активно. Просмотря сведения о каждом оповещении, вы можете обновить его состояние до любого из перечисленных ниже состояний:

  • Активно: состояние оповещения по умолчанию, пока его состояние не изменится.
  • Исследование: оповещение изучается
  • Устранено: оповещение не требует дальнейшего изучения или дальнейших действий
  • Отклонено: оповещение не относится к делу или не нуждается в исследовании

Чтобы назначить или изменить состояние оповещения, выберите оповещение из его строки в таблице, а затем щелкните Изменить состояние в верхней части страницы над фильтрами. Во всплывающей области Состояние обновления оповещения выберите состояние в раскрывающемся меню, а затем выберите Обновить оповещение.

После создания оповещения его состояние не зависит от состояния политики, создающей оповещение. Например, можно иметь активное оповещение, связанное с неактивной политикой, и иметь состояние исследования для оповещения, созданного политикой, которая была впоследствии активирована или удалена.

Удаление политик

При удалении политики все оповещения, созданные этой политикой, останутся на странице Оповещения , но новые оповещения создаваться не будут.

Email уведомления об оповещениях

При создании политики пользователю, создавшему политику, отправляется сообщение электронной почты с предупреждением об обнаружении совпадения. Вы можете отправить эти Уведомления по электронной почте другим пользователям в организации. Оповещения происходят почти в режиме реального времени, и Уведомления по электронной почте отправляются сразу после создания оповещения. Сообщение электронной почты будет содержать имя события, серьезность, время обнаружения и ссылку для просмотра оповещения в диспетчере соответствия требованиям.

Удаление пользователей от получения оповещений

Если вы назначите получателей оповещений, а затем решите удалить их, выполните следующие действия. Обратите внимание, что при обнаружении совпадений политики создатель политики по-прежнему будет получать Уведомления по электронной почте.

  1. Начните действия по изменению политики.
  2. При появлении на экране Получатели оповещений выберите +Выбрать получателей.
  3. На всплывающей панели Выбор получателей найдите пользователя, которого вы хотите удалить из уведомлений, и снимите флажок слева от его имени, а затем нажмите кнопку Добавить получателей (что позволяет сохранить выбранный элемент).
  4. Продолжите работу мастера и убедитесь, что пользователь не отображается в разделе Получатели на странице Проверка и завершение. Выберите Обновить , чтобы сохранить параметры и завершить работу.