Поделиться через


Изучение действий по управлению внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Исследование потенциально рискованных действий пользователей является важным первым шагом в минимизации внутренних рисков для вашей организации. Эти риски могут быть действиями, которые создают оповещения из политик управления внутренними рисками. Они также могут быть рисками из-за действий, связанных с соответствием требованиям, которые обнаруживаются политиками, но не сразу создают оповещения об управлении внутренними рисками для пользователей. Эти типы действий можно исследовать с помощью отчетов о действиях пользователей (предварительная версия) или с помощью панели мониторинга оповещений.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Отчеты об активности пользователей

Отчеты о действиях пользователей позволяют изучить потенциально рискованные действия (для конкретных пользователей и за определенный период времени), не назначая эти действия временно или явно политике управления внутренними рисками. В большинстве сценариев управления внутренними рисками пользователи явно определяются в политиках, и у них могут быть оповещения политики (в зависимости от событий активации) и оценки риска, связанные с действиями. Но в некоторых сценариях может потребоваться изучить действия для пользователей, которые явно не определены в политике. Эти действия могут быть для пользователей, которым вы получили подсказку о пользователе и потенциально рискованных действиях, или пользователей, которым обычно не нужно назначать политику управления внутренними рисками.

После настройки индикаторов на странице параметров управления внутренними рисками обнаруживается активность пользователя для потенциально рискованных действий, связанных с выбранными индикаторами. Эта конфигурация означает, что все обнаруженные действия для пользователей доступны для проверки, независимо от того, есть ли в нем событие активации или создается оповещение. Отчеты создаются для каждого пользователя и могут включать все действия за 90-дневный период. Несколько отчетов для одного пользователя не поддерживаются.

После изучения потенциально рискованных действий следователи могут отклонить действия отдельных пользователей как небезопасные. Они также могут поделиться ссылкой на отчет или отправить ее по электронной почте другим следователям или выбрать назначение пользователей (временно или явно) политике управления внутренними рисками. Пользователи должны быть назначены группе ролей "Следователи управления внутренними рисками " для просмотра страницы "Отчеты о действиях пользователей ".

Обзор отчета о действиях пользователей по управлению внутренними рисками.

Чтобы приступить к работе, выберите Управление отчетами в разделе Исследование действий пользователей на странице Обзор управления внутренними рисками.

Чтобы просмотреть действия пользователя, сначала выберите Создать отчет о действиях пользователя и заполните следующие поля в области Новый отчет о действиях пользователей :

  • Пользователь: найдите пользователя по имени или адресу электронной почты.
  • Дата начала. Используйте элемент управления "Календарь", чтобы выбрать дату начала действий пользователя.
  • Дата окончания. Используйте элемент управления календарь, чтобы выбрать дату окончания действий пользователя. Выбранная дата окончания должна быть больше двух дней после выбранной даты начала и не более 90 дней с выбранной даты начала.

Примечание.

Данные за пределами выбранного диапазона могут быть включены, если пользователь ранее был включен в оповещение.

Данные о действиях пользователей доступны для создания отчетов примерно через 48 часов после выполнения действия. Например, чтобы просмотреть данные о действиях пользователей за 1 декабря, необходимо убедиться, что до создания отчета прошло не менее 48 часов (вы создадите отчет не раньше 3 декабря).

Новые отчеты обычно занимают до 10 часов, прежде чем они будут готовы к проверке. Когда отчет будет готов, отчет готов появится в столбце Состояние на странице Отчет о действиях пользователя. Выберите пользователя, чтобы просмотреть подробный отчет:

Отчет о действиях пользователей управления внутренними рисками

Отчет о действиях пользователя для выбранного пользователя содержит вкладки Действия пользователя, Обозреватель действий и Судебно-медицинские доказательства:

  • Действия пользователей. Используйте это представление диаграммы для изучения потенциально рискованных действий и просмотра потенциально связанных действий, которые происходят последовательно. Эта вкладка структурирована для быстрого просмотра дела, включая исторические временная шкала всех действий, сведения о действиях, текущую оценку риска для пользователя в данном случае, последовательность событий риска и фильтрацию элементов управления для помощи в расследовании.
  • Обозреватель действий. Эта вкладка предоставляет следователям рисков комплексное средство аналитики, предоставляющее подробные сведения о действиях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все потенциально рискованные действия, связанные с оповещениями. Дополнительные сведения об использовании обозревателя действий см. в разделе Обозреватель действий далее в этой статье.

Панель мониторинга оповещений

Оповещения об управлении внутренними рисками автоматически создаются индикаторами риска, определенными в политиках управления внутренними рисками. Эти оповещения дают аналитикам и следователям по соответствию все представление о текущем состоянии риска и позволяют вашей организации рассматривать и принимать меры для обнаруженных потенциальных рисков. По умолчанию политики создают определенное количество оповещений с низким, средним и высоким уровнем серьезности, но вы можете увеличить или уменьшить объем оповещений в соответствии с вашими потребностями. Кроме того, можно настроить пороговое значение оповещений для индикаторов политики при создании новой политики с помощью средства создания политики.

Примечание.

Для всех создаваемых оповещений управление внутренними рисками создает одно агрегированное оповещение для каждого пользователя. Все новые аналитические сведения для этого пользователя добавляются в то же оповещение.

Ознакомьтесь с видео о проверке оповещений управления внутренними рисками , чтобы узнать, как оповещения предоставляют сведения, контекст и связанное содержимое для рискованных действий и как сделать процесс исследования более эффективным.

Важно!

Если ваши политики ограничены одной или несколькими административными единицами, вы можете видеть оповещения только для пользователей, для которых задана область. Например, если административное область применяется только к пользователям в Германии, оповещения можно просматривать только для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

Администраторы с ограниченным доступом не могут получать доступ к оповещениям пользователей, назначенных им через группы безопасности или группы рассылки, добавленные в административные единицы. Такие оповещения пользователей видны только неограниченным администраторам. Корпорация Майкрософт рекомендует добавлять пользователей непосредственно в административные единицы, чтобы убедиться, что их оповещения также видны администраторам с ограниченными правами с назначенными административными единицами.

Создание оповещений

На следующем рисунке показано, как создаются оповещения при управлении внутренними рисками.

Рисунок, показывающий, как создаются оповещения об управлении внутренними рисками.

Фильтрация оповещений, сохранение представления набора фильтров, настройка столбцов или поиск оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации просмотреть большую очередь оповещений может быть непросто. Для отслеживания оповещений вы можете:

  • Фильтрация оповещений по различным атрибутам.
  • Сохраните представление набора фильтров для повторного использования позже.
  • Отображение или скрытие столбцов.
  • Найдите оповещение.

Фильтрация оповещений

  1. Выберите Добавить фильтр.

  2. Выберите один или несколько из следующих атрибутов:

    Атрибут Описание
    Действие, создающее оповещение Отображает наиболее потенциально рискованное действие и соответствие политик в течение периода оценки действий, который привел к созданию оповещения. Это значение может обновляться с течением времени.
    Причина увольнения оповещений Причина для закрытия оповещения.
    Кому назначено Администратор, которому назначено оповещение для рассмотрения (если назначено).
    Политика Имя политики.
    Факторы риска Факторы риска, которые помогают определить, насколько рискованной может быть активность пользователя. Возможные значения: Совокупные действия кражи, Действия включают приоритетное содержимое, Действия последовательности, Действия включают не разрешенные домены, Член группы пользователей с приоритетом и Потенциальный пользователь с высокой степенью влияния.
    Серьезность Уровень серьезности риска пользователя. Возможные варианты: Высокий, Среднийи Низкий.
    Состояние Состояние оповещения. Доступные параметры: Подтверждено, Закрыто, Требуется проверкаи Устранено.
    Время обнаружения (UTC) Даты начала и окончания создания оповещения. Фильтр выполняет поиск оповещений в формате UTC 00:00 в начальной дате и UTC 00:00 в дате окончания.
    Событие активации Событие, которое привело пользователя к область политики. Событие активации может меняться со временем.

    Выбираемые атрибуты добавляются на панель фильтра.

  3. Выберите атрибут на панели фильтра, а затем выберите значение для фильтрации. Например, выберите атрибут Time detected (UTC), введите или выберите даты в полях Дата начала и Дата окончания , а затем нажмите кнопку Применить.

    Совет

    Если вы хотите начать заново в любой момент, выберите Сбросить все на панели фильтров.

Сохранение представления набора фильтров для повторного использования позже

  1. После применения фильтров, как описано в предыдущей процедуре, нажмите кнопку Сохранить над панелью фильтров, введите имя для набора фильтров и нажмите кнопку Сохранить.

    Набор фильтров добавляется как карта над панелью фильтра. Он включает число, показывающее количество оповещений, соответствующих условиям в наборе фильтров.

    Примечание.

    Можно сохранить до пяти наборов фильтров. Если необходимо удалить набор фильтров, щелкните многоточие (три точки) в правом верхнем углу карта, а затем нажмите кнопку Удалить.

  2. Чтобы повторно применить сохраненный набор фильтров, просто выберите карта для набора фильтров.

Отображение или скрытие столбцов

  1. В правой части страницы выберите Настроить столбцы.

  2. Установите или снимите флажки для столбцов, которые нужно отобразить или скрыть.

Параметры столбцов сохраняются в сеансах и браузерах.

Поиск оповещений

Используйте элемент управления Поиск для поиска имени участника-пользователя (UPN), назначенного имени администратора или идентификатора оповещения.

Рассмотрение оповещений

Изучение оповещений и выполнение действий в управлении внутренними рисками включает в себя следующие действия.

  1. Просмотрите панель мониторинга оповещений на наличие оповещений с состоянием Проверка потребностей. При необходимости фильтруйте по состоянию оповещения, чтобы помочь найти эти типы оповещений.
  2. Начните с оповещений с наивысшей степенью серьезности. При необходимости фильтруйте по серьезности оповещений , чтобы помочь найти эти типы оповещений.
  3. Выберите оповещение, чтобы найти дополнительные сведения и просмотреть сведения об оповещении. При необходимости используйте обозреватель действий, чтобы просмотреть временная шкала связанного потенциально рискованного поведения и определить все действия, связанные с рисками для оповещения.
  4. Действовать в соответствии с оповещением. Вы можете либо подтвердить и создать дело для оповещения, либо закрыть и разрешить оповещение.

Каждый из этих шагов более подробно описан в этом разделе.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Использование Copilot для создания сводки оповещений

Вы можете щелкнуть Сводка с помощью Copilot или значок Copilot, чтобы быстро свести итог по оповещению и определить приоритеты оповещений, требующих дальнейшего изучения. Вы можете суммировать выбранные оповещения, не открывая оповещение или просматривая сведения об оповещении. Когда вы суммируете оповещение с Microsoft Copilot в Microsoft Purview, в правой части экрана появится панель Copilot с сводкой оповещений.

Кнопка Copilot для управления внутренними рисками

Сводка оповещений содержит все основные сведения об оповещении, такие как активируемая политика, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Microsoft Purview объединяет сведения о пользователе из всех его оповещений и политик область и подчеркивает основные факторы риска пользователя.

Предлагаемые запросы автоматически отображаются для дальнейшего уточнения сводки и предоставления дополнительных аналитических сведений о действиях, связанных с оповещением. Выберите один из следующих предложенных подсказок:

  • Список всех действий по краже данных с участием этого пользователя.
  • Перечисление всех последовательных действий с участием этого пользователя.
  • Был ли пользователь вовлечен в какое-либо необычное поведение?
  • Отображение ключевых действий, выполненных пользователем за последние 10 дней.
  • Сводные данные о последних 30 днях активности пользователя.

Рассмотрение оповещения

Вы можете просмотреть оповещения, перейдя на страницу сведений об оповещении .

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещений выберите оповещение, которое нужно рассмотреть.
  5. На странице Сведения об оповещении можно просмотреть сведения об оповещении. Вы можете подтвердить оповещение и создать новое дело, подтвердить оповещение и добавить его в существующее дело или закрыть оповещение. Эта страница также содержит текущее состояние оповещения и уровень серьезности риска оповещения, перечисленные как Высокий, Средний или Низкий. Уровень серьезности может увеличиваться или уменьшаться с течением времени, если оповещение не проверяется. Для ложных срабатываний можно выбрать несколько оповещений и закрыть их массово, выбрав Закрыть оповещения.

Раздел заголовка или сводки страницы сведений об оповещении

Этот раздел на странице сведений об оповещении содержит общие сведения о пользователе и оповещении. Эти сведения доступны для контекста при просмотре подробных сведений об обнаруженном действии управления рисками, включенных в оповещение для пользователя:

  • Действие, создающее это оповещение. Отображает первое потенциально опасное действие и соответствие политик в течение периода оценки действия, который привел к созданию оповещения.
  • Событие триггера. Отображает последнее событие триггера, которое побудило политику начать назначать оценки риска действиям пользователя. Если вы настроили интеграцию с соответствием требованиям к обменуданными для утечек данных пользователями, рискующими пользователями , или нарушений политики безопасности политиками пользователей , вызывающим риск, событие активации для этих оповещений распространяется на действия по соответствию требованиям к обмену данными.
  • Сведения о пользователе. Отображает общие сведения о пользователе, назначенном оповещению. Если анонимизация включена, поля имени пользователя, адреса электронной почты, псевдонима и организации становятся анонимными.
  • Журнал оповещений пользователей. Отображает список оповещений для пользователя за последние 30 дней. Содержит ссылку для просмотра полного журнала оповещений для пользователя.

Примечание.

При обнаружении пользователя как потенциального пользователя с высоким влиянием эта информация выделяется в заголовке оповещения на странице Сведений о пользователе . Сведения о пользователе также включают сводку с причинами, по которым пользователь был обнаружен как таковой. Дополнительные сведения о настройке индикаторов политики для потенциальных пользователей с высоким влиянием см. в статье Параметры управления внутренними рисками.

Оповещения, созданные политиками, которые относятся только к действиям, включающим приоритетное содержимое , включают в себя оценку только действия с приоритетным содержимым для этого уведомления об оповещении в этом разделе.

Совет

Чтобы получить краткий обзор оповещения, выберите Сводка на странице сведений об оповещении. При нажатии кнопки Сводка в правой части страницы появится панель Copilot с сводкой оповещений. Сводка оповещений содержит все основные сведения об оповещении, такие как активируемая политика, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Microsoft Purview объединяет сведения о пользователе из всех его оповещений и политик область и подчеркивает основные факторы риска пользователя. Вы также можете свести итог по оповещению из очереди оповещений без необходимости открывать оповещение с помощью Copilot. Или используйте автономную версию Microsoft Security Copilot для изучения управления внутренними рисками, защиты от потери данных (DLP) Microsoft Purview и Microsoft Defender XDR оповещений.

Вкладка "Все факторы риска"

На этой вкладке на странице Сведения об оповещении открывается сводка факторов риска для действий пользователей с оповещениями. Факторы риска помогут определить, насколько рискованны действия этого пользователя по управлению рисками во время проверки. Факторы риска включают в себя сводки для:

  • Основные действия кражи. Отображает действия кражи с наибольшим числом или событиями для оповещения.
  • Действия накопительной кражи. Отображает события, связанные с накопительными действиями кражи.
  • Последовательности действий. Отображает обнаруженные потенциально рискованные действия, связанные с последовательностью рисков.
  • Необычные действия для этого пользователя. Отображает конкретные действия для пользователя, которые считаются потенциально рискованными, так как они необычны и отличаются от типичных действий.
  • Содержимое приоритета. Отображает потенциально рискованные действия, связанные с приоритетным содержимым.
  • Неуправляемые домены. Отображает потенциально рискованные действия для событий, связанных с не разрешенными доменами.
  • Доступ к записям работоспособности. Отображает потенциально рискованные действия для событий, связанных с доступом к записям работоспособности.
  • Рискованное использование браузера. Отображает потенциально рискованные действия для событий, связанных с просмотром потенциально неподходящих веб-сайтов.

При использовании этих фильтров отображаются только оповещения с указанными выше факторами риска, но действия, создающие оповещение, могут не подпадать ни в одну из этих категорий. Например, оповещение, содержащее действия последовательности, могло быть создано просто потому, что пользователь скопировал файл на USB-устройство.

Обнаружено содержимое

В этом разделе на вкладке Все факторы риска содержится содержимое, связанное с действиями риска для оповещения, и приводится сводка событий действий по ключевым областям. При выборе ссылки на действие открывается обозреватель действий и отображаются дополнительные сведения о действии.

Вкладка "Действия пользователя"

Вкладка Действия пользователя — это один из самых мощных средств для анализа внутренних рисков и исследования оповещений и случаев в решении для управления внутренними рисками. Эта вкладка структурирована для быстрого просмотра всех действий пользователя, включая исторические временная шкала всех оповещений, сведения об оповещении, текущую оценку риска для пользователя и последовательность событий риска.

Действия пользователей по управлению внутренними рисками

  1. Действия с вариантами: параметры для разрешения дела находятся на панели инструментов действия дела. При просмотре дела можно разрешить дело, отправить пользователю уведомление по электронной почте или передать дело для анализа данных или пользователей.

  2. Хронология действий по рискам. Приведена полная хронология всех оповещений о рисках, связанных с делом, включая все сведения, доступные в соответствующем пузырьке оповещений.

  3. Фильтры и сортировка (предварительная версия):

    • Категория риска: Фильтрация действий по следующим категориям риска: Действия с оценкой > риска 15 (если только в последовательности) и Действия последовательности.
    • Тип действия: фильтрация действий по следующим типам: Доступ, Удаление, Сбор, Кража, Проникновение, Маскировка, Безопасность, Пользовательский индикатор, Уклонение от защиты, Эскалация привилегий, Риск коммуникации, Риск компрометации пользователей и Использование ИИ.
    • Сортировка по: перечисление временная шкала потенциально рискованных действий по дате возникновения или оценке риска.
  4. Фильтры времени. По умолчанию последние три месяца потенциально рискованных действий отображаются на диаграмме Действия пользователей. Вы можете легко отфильтровать представление диаграммы, выбрав вкладки "6 месяцев", "3 месяца" или " 1 месяц " на пузырьковой диаграмме.

  5. Последовательность рисков. Хронологический порядок потенциально рискованных действий является важным аспектом исследования рисков, и выявление этих связанных действий является важной частью оценки общего риска для вашей организации. Связанные действия оповещений отображаются с соединительными линиями, чтобы подчеркнуть, что эти действия связаны с большей областью риска. Последовательности также определяются в этом представлении значком, расположенным над действиями последовательности относительно оценки риска для последовательности. Наведите указатель мыши на значок, чтобы увидеть дату и время опасного действия, связанного с этой последовательностью. Это представление о действиях может помочь следователям буквально "соединить точки" для действий, связанных с рисками, которые можно было бы рассматривать как изолированные или одноразовые события. Щелкните значок или любой пузырек в последовательности, чтобы отобразить сведения обо всех связанных действиях с рисками. Подробные сведения:

    • Имя последовательности.
    • Дата или диапазон дат последовательности.
    • Оценка риска для последовательности. Эта оценка представляет собой числовую оценку для последовательности объединенных уровней серьезности риска оповещений для каждого связанного действия в последовательности.
    • Количество событий, связанных с каждым оповещением в последовательности. Также доступны ссылки на каждый файл или сообщение электронной почты, связанные с каждым потенциально рискованным действием.
    • Последовательное отображение действий. Отображает последовательность в виде выделенной линии на пузырьковой диаграмме и разворачивает сведения об оповещении, чтобы отобразить все связанные оповещения в последовательности.
  6. Действия и сведения об оповещении о рисках. Потенциально рискованные действия визуально отображаются в виде цветных пузырьков на диаграмме активности пользователей. Пузырьки создаются для разных категорий риска. Выберите пузырек, чтобы отобразить сведения о каждом потенциально рискованном действии. Подробные сведения:

    • Дата действия риска.
    • Категория действия риска. Например, Email с вложениями, отправленными за пределы организации, или файлы, скачанные из SharePoint Online.
    • Оценка риска для оповещения. Эта оценка представляет собой числовую оценку уровня серьезности риска оповещения.
    • Количество событий, связанных с оповещением. Также доступны ссылки на каждый файл или адрес электронной почты, связанные с действием риска.
  7. Совокупные действия кражи. Выберите, чтобы просмотреть визуальную диаграмму того, как активность строится с течением времени для пользователя.

  8. Условные обозначения действий риска. В нижней части диаграммы активности пользователей условные обозначения с цветовой кодировкой помогают быстро определить категорию риска для каждого оповещения.

Вкладка обозревателя действий

Примечание.

Обозреватель действий доступен в области управления оповещениями для пользователей, активировающих события после того, как эта функция будет доступна в вашей организации.

Обозреватель действий предоставляет экспертам по рискам и аналитикам комплексный инструмент аналитики, предоставляющий подробные сведения об оповещениях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных потенциально рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями.

Использование обозревателя действий

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещений выберите оповещение, которое нужно рассмотреть.
  5. В области Сведений об оповещениях выберите Открыть развернутое представление.
  6. На странице выбранного оповещения выберите вкладку Обозреватель действий .

При просмотре действий в обозревателе действий следователи и аналитики могут выбрать определенное действие и открыть область сведений о действиях. На панели отображаются подробные сведения о действиях, которые следователи и аналитики могут использовать в процессе рассмотрения оповещений. Подробные сведения могут содержать контекст для оповещения и помочь в определении полного область действия риска, которое вызвало оповещение.

При выборе событий действия из временная шкала действия количество действий, отображаемых в обозревателе, может не соответствовать числу событий действий, перечисленных в временная шкала. Примеры того, почему может возникнуть эта разница:

  • Накопительное обнаружение кражи. Накопительное обнаружение кражи анализирует журналы событий, но применяет модель, которая включает дедупликацию аналогичных действий для вычисления совокупного риска кражи. Кроме того, также может быть разница в количестве потенциально рискованных действий, отображаемых в обозревателе действий, если вы внесли изменения в существующую политику или параметры. Например, если изменить разрешенные или не разрешенные домены или добавить новые исключения типов файлов после создания политики и выполнения потенциально опасных действий, действия по обнаружению совокупных краж будут отличаться от результатов до изменения политики или параметров. Суммарные итоги действий обнаружения кражи основаны на политике и конфигурации параметров на момент вычисления и не включают действия до изменения политики и параметров.
  • Сообщения электронной почты внешним получателям. Потенциально рискованное действие для сообщений, отправляемых внешним получателям, назначается оценка риска на основе количества отправленных сообщений, которое может не соответствовать журналам событий действий.

Сведения об обозревателе действий управления внутренними рисками.

Последовательности, содержащие события, исключенные из оценки рисков

Последовательность может содержать одно или несколько событий, которые исключаются из оценки рисков на основе конфигурации параметров. Например, ваша организация может использовать параметр Глобальные исключения, чтобы исключить .png файлы из оценки риска, так как .png файлы обычно не являются рискованными. Но для маскировки вредоносного действия можно использовать файл .png. По этой причине, если событие, исключенное из оценки риска, является частью последовательности из-за действия маскировки, событие включается в последовательность, так как оно может быть интересно в контексте последовательности.

Обозреватель действий отображает следующие сведения для исключенных событий в последовательностях:

  • Если последовательность содержит шаг, на котором исключаются все события, аналитические сведения включают только имя действия и дату. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий. Значок точечной диаграммы действия пользователя имеет оценку риска 0, если все события исключены.
  • Если в последовательности есть аналитические сведения об исключении некоторых событий, отображаются сведения о событиях для неисключаемых событий, но число событий не включает исключенные события. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий.
  • Если выбрать ссылку последовательности для аналитики, можно детализировать последовательность событий в области сведений о действии, включая все события, которые были исключены из оценки. Событие, исключенное из оценки, помечается как исключенное.
Фильтрация оповещений в обозревателе действий

Чтобы отфильтровать оповещения в обозревателе действий для сведений о столбцах, выберите Фильтры. Оповещения можно фильтровать по одному или нескольким атрибутам, перечисленным в области сведений для оповещения. Обозреватель действий также поддерживает настраиваемые столбцы, помогающие следователям и аналитикам сосредоточиться на панели мониторинга на наиболее важных для них сведениях.

Используйте фильтры Область действий, Фактор риска и Проверка состояния для отображения и сортировки действий и аналитических сведений для следующих областей.

  • Действие область. Фильтрует все оцененные действия для пользователя.

    • Все оцененные действия для этого пользователя
    • Только оцененные действия в этом оповещении
  • Фактор риска: фильтры по действиям факторов риска, применимым ко всем политикам, назначающим оценки риска. Это включает в себя все действия для всех политик для пользователей в область.

    • Необычные действия
    • Включает события с приоритетным содержимым
    • Включает события с неотключимым доменом
    • Действия последовательности
    • Совокупные действия кражи
    • Действия по доступу к записям работоспособности
    • Рискованное использование браузера
  • Состояние проверки: состояние проверки действий фильтров.

    • Все
    • Еще не проверено (отфильтровывает все действия, которые были частью оповещений об отклонении или разрешении)

Обзор обозревателя действий по управлению внутренними рисками

Сохранение представления фильтра для повторного использования в дальнейшем

Если вы создаете фильтр и настраиваете столбцы для фильтра, вы можете сохранить представление изменений, чтобы вы или другие пользователи могли быстро фильтровать те же изменения позже. При сохранении представления сохраняются фильтры и столбцы. При загрузке представления загружаются как сохраненные фильтры, так и столбцы.

  1. Создайте фильтр и настройте столбцы.

    Совет

    Если вы хотите начать заново в любой момент, нажмите кнопку Сбросить. Чтобы изменить настраиваемые столбцы, выберите Сбросить столбцы.

  2. Когда у вас будет нужный фильтр, выберите Сохранить это представление, введите имя представления, а затем нажмите кнопку Сохранить.

    Примечание.

    Максимальная длина имени представления составляет 40 символов, и вы не можете использовать специальные символы.

  3. Чтобы повторно использовать представление фильтра позже, выберите Представления, а затем выберите представление, которое нужно открыть, на вкладке Рекомендуемые представления (отображаются наиболее используемые представления) или на вкладке Пользовательские представления (наиболее часто используемые фильтры отображаются в верхней части списка).

При выборе представления таким образом все существующие фильтры сбрасываются и заменяются выбранным представлением.

Состояние и серьезность оповещений

Примечание.

Для защиты и оптимизации системы исследования и анализа рисков в системе управления внутренними рисками используется встроенный механизм регулирования оповещений. Это регулирование защищает от проблем, которые могут привести к перегрузке оповещений политики, таких как неправильно настроенные соединители данных или политики защиты от потери данных. В результате может возникать задержка при отображении новых оповещений для пользователя.

Оповещения можно рассматривать в одном из следующих состояний:

  • Подтверждено: оповещение, подтвержденное и назначенное новому или существующему делу.
  • Отклонено: оповещение, отклоненное как некачественное в процессе рассмотрения. Вы можете указать причину для закрытия оповещения и включить заметки, доступные в журнале оповещений пользователя, чтобы предоставить дополнительный контекст для будущих ссылок или для других рецензентов. Причины могут варьироваться от ожидаемых действий, непрактичных событий, простого сокращения количества действий оповещений для пользователя или причины, связанной с заметками об оповещении. Варианты классификации причин включают действие, ожидаемое для этого пользователя, действие достаточно влияет на меня для дальнейшего изучения, а оповещения для этого пользователя содержат слишком много действий.
  • Проверка потребностей: новое оповещение, в котором еще не выполнены действия по рассмотрению.
  • Устранено: оповещение, которое является частью закрытого и разрешенного случая.

Оценки риска оповещений автоматически вычисляются на основе нескольких индикаторов активности риска. Эти показатели включают тип активности с рисками, количество и частоту возникновения действий, историю активности пользователей, связанных с рисками, а также добавление рисков деятельности, которые могут повысить серьезность потенциально рискованной деятельности. Оценка риска оповещений управляет программным назначением уровня серьезности риска для каждого оповещения и не может быть настроена. Если оповещения остаются без изменений и действия риска продолжают накапливаться в оповещении, уровень серьезности риска может увеличиться. Аналитики рисков и следователи могут использовать степень серьезности риска оповещений для рассмотрения оповещений в соответствии с политиками и стандартами риска вашей организации.

Уровни серьезности риска оповещений:

  • Высокий уровень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют значительный риск. Связанные с рисками действия являются серьезными, повторяющимися и сильно связаны с другими значительными факторами риска.
  • Средняя степень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют умеренный риск. Соответствующие небезопасные действия являются умеренными и частыми и некоторым образом связаны с другими значимыми факторами риска.
  • Низкая серьезность. Потенциально рискованные действия и индикаторы для оповещения представляют незначительный риск. Связанные с рисками действия являются незначительными, более редкими и не связаны с другими значительными факторами риска.

Закрыть несколько оповещений (предварительная версия)

Это может помочь сэкономить время рассмотрения для аналитиков и следователей, чтобы немедленно закрыть несколько оповещений одновременно. Параметр Закрыть панель команд оповещений позволяет выбрать одно или несколько оповещений с состоянием Проверка потребностей на панели мониторинга и быстро закрыть эти оповещения как неопасные в процессе рассмотрения. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Закрыть оповещение о внутренних рисках

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещение (или оповещения), которое имеет состояние Проверки потребностей .
  5. На панели команд Оповещений выберите Закрыть оповещения.
  6. На панели Сведений о закрытии оповещений просмотрите сведения о пользователе и политике, связанных с выбранными оповещениями.
  7. Выберите Закрыть оповещения, чтобы разрешить оповещения как неопасные.

Отчеты для оповещений

Чтобы просмотреть отчеты для оповещений, перейдите на страницу Отчеты . В каждом мини-приложении отчета на странице Отчеты отображаются сведения за последние 30 дней:

  • Общее количество оповещений, требующих проверки. Отображается общее количество оповещений, требующих проверки и рассмотрения, включая разбивку по серьезности оповещений.
  • Открытые оповещения за последние 30 дней. Общее количество оповещений, созданных политикой, соответствует за последние 30 дней, отсортированных по высокому, среднему и низкому уровням серьезности оповещений.
  • Среднее время разрешения оповещений. Сводка полезной статистики оповещений:
    • Среднее время закрытия оповещений высокого уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений среднего уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений низкого уровня серьезности в часах, днях или месяцах.

Назначение оповещения

Если вы являетесь администратором и являетесь членом группы ролей "Управление внутренними рисками", "Аналитики по управлению внутренними рисками" или "Следователи по управлению внутренними рисками ", вы можете назначить право владения оповещением себе или пользователю управления внутренними рисками с одной из этих же ролей. После назначения оповещения можно также переназначить его пользователю с любой из одинаковых ролей. Вы можете назначить оповещение только одному администратору за раз.

Примечание.

Если ваши политики ограничены одной или несколькими административными единицами, право владения оповещением может быть предоставлено только пользователям управления внутренними рисками с соответствующими разрешениями группы ролей, а пользователь, выделенный в оповещении, должен находиться в область подразделения администрирования. Например, если административное область применяется только к пользователям в Германии, пользователь управления внутренними рисками может видеть только оповещения для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

После назначения администратора можно выполнить поиск по администратору.

Примечание.

Администраторы, содержащиеся в группе безопасности Microsoft Entra, не поддерживают назначение оповещений. Администраторы должны быть напрямую назначены одной из необходимых ролей.

Если вы используете пользовательскую группу, убедитесь, что настраиваемая группа содержит роль управления обращениями. Группы ролей Аналитики управления внутренними рисками и Исследователя управления внутренними рисками содержат роль управления делами , но если вы используете настраиваемую группу, необходимо явно добавить в нее роль управления делами .

Назначение оповещения на панели мониторинга оповещений

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещения, которые нужно назначить.
  5. На панели команд над очередью оповещений выберите Назначить.
  6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
  7. Нажмите Назначить.

Назначение оповещения на странице сведений об оповещениях

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. Выберите оповещение.
  5. В области сведений об оповещении в правом верхнем углу страницы выберите Назначить.
  6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Создание обращения для оповещения

Вы можете создать обращение к оповещению, если хотите дополнительно изучить потенциально рискованные действия.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещение, которое требуется подтвердить, и создайте новое дело.
  5. В области Сведения об оповещениях выберите Действия>Подтвердить оповещения & создать дело.
  6. В диалоговом окне Подтверждение оповещений и создание случая для внутренних рисков введите имя для дела, выберите пользователей для добавления в качестве участников и добавьте комментарии, если это применимо. Примечания автоматически добавляются в дело в качестве заметки к делу.
  7. Выберите Создать дело , чтобы создать новый вариант.

После создания дела следователи и аналитики могут управлять делом и действовать по ней. Дополнительные сведения см. в статье Об управлении внутренними рисками .

Ограничения хранения и элементов

По мере старения оповещений об управлении внутренними рисками их ценность для минимизации потенциально рискованных действий для большинства организаций снижается. И наоборот, активные случаи и связанные с ними артефакты (оповещения, аналитические сведения, действия) всегда ценны для организаций и не должны иметь автоматической даты окончания срока действия. Сюда входят все будущие оповещения и артефакты в активном состоянии для любого пользователя, связанного с активным делом.

Чтобы свести к минимуму количество старых элементов, которые предоставляют ограниченное текущее значение, для оповещений об управлении внутренними рисками, случаев и пользовательских отчетов применяются следующие ограничения и хранение:

Элемент Хранение и ограничение
Оповещения с состоянием проверки потребностей 120 дней с момента создания оповещений, а затем автоматически удаляется
Активные варианты (и связанные артефакты) Бессрочное хранение, никогда не истечет
Разрешенные случаи (и связанные артефакты) 120 дней с момента разрешения обращения, а затем автоматически удаляется
Максимальное число активных обращений 100
Отчеты о действиях пользователей 120 дней с момента создания отчета, а затем автоматически удаляется

Рекомендации по управлению объемом оповещений

Проверка, исследование и использование потенциально рискованных внутренних оповещений — это важная часть минимизации внутренних рисков в организации. Быстрое принятие мер по минимизации влияния этих рисков может сэкономить время, деньги и нормативные или юридические последствия для вашей организации. Сведения о рекомендациях по управлению очередью оповещений управления внутренними рисками

См. также