Поделиться через

Изучение действий по управлению внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Исследование потенциально рискованных действий пользователей является важным шагом в минимизации внутренних рисков для вашей организации. Этими рисками могут быть действия, которые создают оповещения из политик управления внутренними рисками. Они также могут быть рисками из-за действий, связанных с соответствием требованиям, обнаруженных политиками, но не сразу создают оповещения управления внутренними рисками для пользователей.

Рисунок, показывающий, как создаются оповещения управления внутренними рисками.

Эти типы действий можно исследовать с помощью отчетов о действиях пользователей или агента проверки оповещений (предварительная версия) и Standard панелей мониторинга оповещений.

Рассмотрение оповещений

Изучение оповещений и выполнение действий в управлении внутренними рисками включает в себя следующие действия.

  1. Просмотрите панели мониторинга на наличие оповещений. На панели мониторинга Standard отфильтруйте по состоянию оповещения, чтобы найти оповещения проверки потребностей. Для быстрого просмотра приоритетных оповещений на панели мониторинга можно также использовать важные оповещения. На панели мониторинга агента рассмотрения оповещений (предварительная версия) выберите фильтр Требуется внимание для просмотра оповещений с наивысшим приоритетом.
  2. Начните с оповещений с наивысшей степенью серьезности. При необходимости фильтруйте по серьезности оповещений , чтобы помочь найти эти типы оповещений.
  3. Выберите оповещение, чтобы найти дополнительные сведения и просмотреть сведения об оповещении. Просмотрите сведения и подключения, связанные с оповещением:
    1. Используйте вкладку Обозреватель действий, чтобы просмотреть временная шкала связанного потенциально опасного поведения и определить все действия, связанные с рисками для оповещения.
    2. Используйте граф риска данных для просмотра подключений и сведений о пользователях и файлах для оповещения.
  4. Действовать в соответствии с оповещением. Вы можете либо подтвердить и создать дело для оповещения, либо закрыть и разрешить оповещение.

Вы можете просмотреть оповещения, перейдя на страницу сведений об оповещении для оповещения на любой панели мониторинга. На странице Сведения об оповещении можно просмотреть сведения об оповещении. Вы можете подтвердить оповещение и создать новое дело, подтвердить оповещение и добавить его в существующее дело или закрыть оповещение.

Эта страница также содержит текущее состояние оповещения и уровень серьезности риска оповещения, перечисленные как Высокий, Средний или Низкий. Уровень серьезности может со временем увеличиваться или уменьшаться, если оповещение не проверяется. Для ложных срабатываний можно выбрать несколько оповещений и закрыть их массово, выбрав Закрыть оповещения.

Использование Copilot для создания сводки оповещений

Выберите Суммировать с помощью Copilot или значок Copilot, чтобы быстро свести итог по оповещению и определить приоритеты для оповещений, требующих дальнейшего изучения. Вы можете суммировать выбранные оповещения, не открывая оповещение или просматривая сведения об оповещении. Когда вы суммируете оповещение с Microsoft Copilot в Microsoft Purview, в правой части экрана появится панель Copilot с сводкой оповещений.

Сводка оповещений содержит все основные сведения об оповещении, такие как политика, которая активирует оповещение, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Microsoft Purview объединяет сведения о пользователе из всех его оповещений и политик область и подчеркивает основные факторы риска пользователя.

Предлагаемые запросы автоматически отображаются для дальнейшего уточнения сводки и предоставления дополнительных аналитических сведений о действиях, связанных с оповещением. Выберите один из следующих предложенных подсказок:

  • Список всех действий по краже данных с участием этого пользователя.
  • Перечисление всех последовательных действий с участием этого пользователя.
  • Был ли пользователь вовлечен в какое-либо необычное поведение?
  • Отображение ключевых действий, выполненных пользователем за последние 10 дней.
  • Сводные данные о последних 30 днях активности пользователя.

Совет

Вы также можете использовать автономную версию Microsoft Security Copilot для изучения управления внутренними рисками, Защита от потери данных Microsoft Purview (DLP) и Microsoft Defender XDR оповещений.

В центре внимания (предварительная версия)

Оповещение в центре внимания на панели мониторинга оповещений помогает определить приоритеты оповещений для рассмотрения. Каждое созданное оповещение имеет оценку риска, список выполненных действий, теги и триггеры. При освещении оповещений эти сведения используются для определения того, отображается ли оповещение.

Оповещение автоматически освещается, если у него оценка риска 85 или выше и если выполняются по крайней мере три из следующих условий:

  • Один аналитический анализ из следующей таблицы соответствует самому высокому анализу оповещения.
  • Оповещение содержит содержимое с приоритетом или пользователь обнаруживается как пользователь, который может оказать большое влияние.
  • Пользователь вручную вводится в область.
  • Действие оповещений содержит две или более аналитических сведений с высоким уровнем достоверности из следующей таблицы.
Категория Индикатор (аналитика высокой достоверности)
Индикатор устройства — Создание или передача файлов в общую сетевую папку
— Создание или копирование файлов на USB
— Использование браузера для отправки файлов в Интернет
Индикатор Office — Предоставление общего доступа к файлам SharePoint пользователям за пределами организации
— Предоставление общего доступа к папкам SharePoint пользователям за пределами организации
— Обмен ссылками на файлы с людьми за пределами организации в чате Teams
Политика — Содержимое для определения приоритетов
— Запуск действий по оценке для пользователей
Усилитель оценки риска — Пользователь обнаружен как пользователь, который может оказать большое влияние.
Обнаружение последовательности — Скачивание из расположения Microsoft 365, а затем exfiltrate
— скачивание из расположения Microsoft 365, извлечение и удаление
— Скачивание из расположения Microsoft 365, запутывание, затем извлечение

Панель мониторинга агента рассмотрения оповещений (предварительная версия)

При включении агента проверки оповещений для управления внутренними рисками в организации агент проверяет оповещения и отображает их на панели мониторинга агента проверки оповещений. Эта панель мониторинга автоматически включает приоритетные оповещения и фильтры, помогающие аналитикам управления внутренними рисками быстро исследовать и устранять проблемы.

Вы можете настроить столбцы панели мониторинга и фильтровать оповещения, которые расследует агент, по приоритету, дате, состоянию оповещения или область оповещений. Чтобы просмотреть панель мониторинга агента рассмотрения оповещений (предварительная версия), выберите Агент анализа оповещений в верхней части страницы панели мониторинга.

Выберите оповещение, чтобы отобразить сводку агента и сведения об этом оповещении. Выберите Просмотреть сведения , чтобы просмотреть сведения об оповещении и получить доступ к разделам сведений, таким как факторы риска, обозреватель действий и многое другое.

Важно!

При повторном запуске агента рассмотрения новые файлы автоматически включаются. Если новые файлы входят в первую десятку по серьезности, агент рассмотрения создает новую сводку рисков файлов.

Ознакомьтесь с видео о проверке оповещений управления внутренними рисками , чтобы узнать, как оповещения предоставляют сведения, контекст и связанное содержимое для рискованных действий и как сделать процесс исследования более эффективным.

панель мониторинга оповещений Standard

Оповещения управления внутренними рисками автоматически создаются индикаторами риска, определенными в политиках управления внутренними рисками и отображаемыми на панели мониторинга оповещений Standard. Эти оповещения дают аналитикам и следователям по соответствию все представление о текущем состоянии риска и позволяют вашей организации рассматривать и принимать меры для обнаруженных потенциальных рисков. По умолчанию политики создают определенное количество оповещений с низким, средним и высоким уровнем серьезности, но вы можете увеличить или уменьшить объем оповещений в соответствии с вашими потребностями. Кроме того, можно настроить пороговое значение оповещений для индикаторов политики при создании новой политики с помощью средства создания политики. Чтобы просмотреть панель мониторинга Standard, выберите Standard в верхней части страницы панели мониторинга.

Примечание.

Для любых созданных оповещений управление внутренними рисками создает одно агрегированное оповещение для каждого пользователя. Система добавляет все новые аналитические сведения для этого пользователя в то же оповещение.

Важно!

Если вы область политики одной или несколькими административными единицами, вы сможете видеть оповещения только для пользователей, для которым задана область действия. Например, если административное область применяется только к пользователям в Германии, оповещения можно просматривать только для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

Администраторы с ограниченным доступом не могут получать доступ к оповещениям пользователей, назначенных им через группы безопасности или группы рассылки, добавленные в административные единицы. Такие оповещения пользователей видны только неограниченным администраторам. Корпорация Майкрософт рекомендует добавлять пользователей непосредственно в административные единицы, чтобы убедиться, что их оповещения также видны администраторам с ограниченными правами с назначенными административными единицами.

Фильтрация оповещений, сохранение представления набора фильтров, настройка столбцов или поиск оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди оповещений может оказаться сложной задачей. Для отслеживания оповещений вы можете:

  • Фильтрация оповещений по различным атрибутам.
  • Сохраните представление набора фильтров для повторного использования позже.
  • Отображение или скрытие столбцов.
  • Найдите оповещение.
  • Просмотр отчетов об оповещениях.

Фильтрация оповещений

  1. Выберите Добавить фильтр.

  2. Выберите один или несколько из следующих атрибутов:

    Атрибут Описание
    Действие, создающее оповещение Отображает первое потенциально опасное действие и соответствие политик в течение периода оценки действий, который приводит к оповещению. Это значение может со временем обновляться.
    Причина увольнения оповещений Причина для закрытия оповещения.
    Кому назначено Администратор, которому назначено оповещение для рассмотрения (если назначено).
    Политика Имя политики.
    Факторы риска Факторы риска, которые помогают определить, насколько рискованной может быть активность пользователя. Возможные значения: Совокупные действия кражи, Действия включают приоритетное содержимое, Действия последовательности, Действия включают не разрешенные домены, Член группы пользователей с приоритетом и Потенциальный пользователь с высокой степенью влияния.
    Серьезность Уровень серьезности риска пользователя. Возможные варианты: Высокий, Среднийи Низкий.
    Состояние Состояние оповещения. Доступные параметры: Подтверждено, Закрыто, Требуется проверкаи Устранено.
    Время обнаружения (UTC) Даты начала и окончания создания оповещения. Фильтр выполняет поиск оповещений в формате UTC 00:00 в начальной дате и UTC 00:00 в дате окончания.
    Событие активации Событие, которое привело пользователя к область политики. Событие активации может меняться со временем.

    Выбираемые атрибуты добавляются на панель фильтра.

  3. Выберите атрибут на панели фильтров, а затем выберите значение для фильтрации. Например, выберите атрибут Time detected (UTC), введите или выберите даты в полях Дата начала и Дата окончания , а затем нажмите кнопку Применить.

    Совет

    Чтобы начать сначала в любой момент, выберите Сбросить все на панели фильтров.

Сохранение представления набора фильтров для повторного использования позже

  1. После применения фильтров, как описано в предыдущей процедуре, нажмите кнопку Сохранить, введите имя для набора фильтров, а затем нажмите кнопку Сохранить.

    Набор фильтров добавляется в качестве карта. Он включает число, показывающее количество оповещений, соответствующих условиям в наборе фильтров.

    Примечание.

    Можно сохранить до пяти наборов фильтров. Чтобы удалить набор фильтров, щелкните многоточие (три точки) в правом верхнем углу карта, а затем нажмите кнопку Удалить.

  2. Чтобы повторно применить сохраненный набор фильтров, выберите карта для набора фильтров.

Отображение или скрытие столбцов

  1. В правой части страницы выберите Настроить столбцы.
  2. Установите или снимите флажки для столбцов, которые нужно отобразить или скрыть.

Параметры столбцов сохраняются в сеансах и браузерах.

Поиск оповещений

Используйте элемент управления Поиск для поиска имени участника-пользователя (UPN), назначенного имени администратора или идентификатора оповещения.

Просмотр отчетов об оповещениях

Перейдите в разделОтчеты об>управлении внутренними рисками>, чтобы просмотреть отчеты о созданных оповещениях, оповещениях по регионам, оповещениях по активации события и т. д.

Раздел заголовка или сводки страницы сведений об оповещении

Этот раздел на странице Сведений об оповещении доступен только при выборе оповещения на панели мониторинга Standard и содержит общие сведения о пользователе и оповещении. Эти сведения можно использовать для контекста при просмотре подробных сведений об обнаруженных действиях по управлению рисками, включенных в оповещение для пользователя:

  • Действие, создающее это оповещение. Отображает первое потенциально опасное действие и соответствие политик в течение периода оценки действия, который привел к созданию оповещения.
  • Событие триггера. Отображает последнее событие триггера, которое побудило политику начать назначать оценки риска действиям пользователя. Если настроить интеграцию с соответствием требованиям к обменуданными для утечек данных пользователями, которые рискуют , или нарушения политики безопасности политиками рискованных пользователей , событие активации для этих оповещений распространяется на действие соответствия требованиям к обмену данными.
  • Сведения о пользователе. Отображает общие сведения о пользователе, назначенном оповещению. Если анонимизация включена, поля имени пользователя, адреса электронной почты, псевдонима и организации становятся анонимными.
  • Журнал оповещений пользователей. Отображает список оповещений для пользователя за последние 30 дней. Содержит ссылку для просмотра полного журнала оповещений для пользователя.

Примечание.

При обнаружении пользователя как потенциального пользователя с высоким влиянием эта информация выделяется в заголовке оповещения на странице Сведений о пользователе . Сведения о пользователе также включают сводку с причинами обнаружения пользователя как такового. Дополнительные сведения о настройке индикаторов политики для потенциальных пользователей с высоким влиянием см. в разделе Параметры управления внутренними рисками.

Оповещения, созданные политиками, которые относятся только к действиям, включающим приоритетное содержимое , включают в себя оценку только действия с приоритетным содержимым для этого уведомления об оповещении в этом разделе.

Совет

Чтобы получить краткий обзор оповещения, выберите Сводка на странице сведений об оповещении. При нажатии кнопки Сводка в правой части страницы появится панель Copilot с сводкой оповещений. Сводка оповещений содержит все основные сведения об оповещении, такие как активируемая политика, действие, создающее оповещение, событие активации, задействованный пользователь, его последняя рабочая дата (если применимо), любые ключевые атрибуты пользователя и основные факторы риска пользователя. Copilot в Microsoft Purview объединяет сведения о пользователе из всех его оповещений и политик область и подчеркивает основные факторы риска пользователя. Вы также можете свести итог по оповещению из очереди оповещений без необходимости открывать оповещение с помощью Copilot. Или используйте автономную версию Microsoft Security Copilot для изучения оповещений Защита от потери данных Microsoft Purview (DLP) и оповещений Microsoft Defender XDR.

Вкладка "Сводка по агенту"

Этот раздел на странице Сведений об оповещении доступен только при выборе оповещения на панели мониторинга агента рассмотрения оповещений (предварительная версия). Сводные сведения об агенте включают сведения о классификации оповещения и сведения о связанных рисках, используемых в процессе рассмотрения.

Вкладка "Все факторы риска"

Эта вкладка на странице сведений об оповещении доступна для оповещений в обоих представлениях панели мониторинга. Откроется сводка факторов риска для действий пользователя с оповещениями. Факторы риска помогают определить, насколько рискованны действия пользователя по управлению рисками во время проверки. Факторы риска включают в себя сводки для:

  • Кумулятивные действия кражи. События, связанные с накопительными действиями кражи.
  • Доступ к записям работоспособности: потенциально опасные действия для событий, связанных с доступом к записям о работоспособности.
  • Содержимое приоритета: потенциально рискованные действия, связанные с приоритетным содержимым.
  • Рискованное использование браузера. Потенциально рискованные действия для событий, связанных с просмотром потенциально неподходящих веб-сайтов.
  • Последовательности действий: обнаружены потенциально рискованные действия, связанные с последовательностью рисков.
  • Основные действия кражи: действия кражи с наибольшим числом событий для оповещения.
  • Неуправляемые домены: потенциально рискованные действия для событий, связанных с не разрешенными доменами.
  • Необычные действия для этого пользователя. Конкретные действия для пользователя, которые считаются потенциально рискованными, так как они необычны и отличаются от типичных действий.

При использовании этих фильтров отображаются только оповещения с этими факторами риска, но действия, создающие оповещение, могут не подпадать ни в одну из этих категорий. Например, оповещение, содержащее действия последовательности, может быть создано просто потому, что пользователь скопировал файл на USB-устройство.

Обнаружено содержимое

В этом разделе на вкладке Все факторы риска содержится содержимое, связанное с действиями риска для оповещения, и приводится сводка событий действий по ключевым областям. При выборе ссылки на действие открывается обозреватель действий и отображаются дополнительные сведения о действии.

Вкладка обозревателя действий

Примечание.

Обозреватель действий доступен в области управления оповещениями для пользователей, активировающих события после того, как эта функция будет доступна в вашей организации.

Вкладка Обозреватель действий доступна для оповещений в обоих представлениях панели мониторинга. Он предоставляет следователям рисков и аналитикам комплексный инструмент аналитики, предоставляющий подробные сведения об оповещениях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных потенциально рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями.

Использование обозревателя действий

При просмотре действий в обозревателе действий следователи и аналитики могут выбрать определенное действие и открыть область сведений о действиях. На панели отображаются подробные сведения о действиях, которые следователи и аналитики могут использовать в процессе рассмотрения оповещений. Подробные сведения могут предоставить контекст для оповещения и помочь в определении полного область действия риска, которое вызвало оповещение.

При выборе событий действия из временная шкала действия количество действий, отображаемых в обозревателе, может не соответствовать числу событий действий, перечисленных в временная шкала. Ниже приведены примеры того, почему это может произойти.

  • Накопительное обнаружение кражи. Накопительное обнаружение кражи анализирует журналы событий, но применяет модель, которая включает дедупликацию аналогичных действий для вычисления совокупного риска кражи. Кроме того, вы можете увидеть разницу в количестве потенциально рискованных действий, отображаемых в обозревателе действий, если вы внесете изменения в существующую политику или параметры. Например, если изменить разрешенные или не разрешенные домены или добавить новые исключения типов файлов после создания политики и возникновения совпадений потенциально опасных действий, действия по обнаружению совокупных краж отличаются от результатов до изменения политики или параметров. Суммарные итоги действий обнаружения кражи основаны на политике и конфигурации параметров на момент вычисления и не включают действия до изменения политики и параметров.
  • Сообщения электронной почты внешним получателям. Потенциально рискованные действия для сообщений, отправляемых внешним получателям, назначается оценка риска на основе количества отправленных сообщений электронной почты, которое может не соответствовать журналам событий действий.

Сведения об обозревателе действий управления внутренними рисками.

Последовательности, содержащие события, исключенные из оценки рисков

Последовательность может содержать одно или несколько событий, которые исключаются из оценки рисков на основе конфигурации параметров. Например, ваша организация может использовать параметр Глобальные исключения, чтобы исключить .png файлы из оценки риска, так как .png файлы обычно не являются рискованными. Но для маскировки вредоносного действия можно использовать файл .png. По этой причине, если событие, исключенное из оценки рисков, является частью последовательности из-за действия маскировки, событие включается в последовательность, так как оно может быть интересно в контексте последовательности.

Обозреватель действий отображает следующие сведения для исключенных событий в последовательностях:

  • Если последовательность содержит шаг, на котором исключаются все события, аналитические сведения включают только имя действия и дату. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий. Значок точечной диаграммы действия пользователя имеет оценку риска 0, если все события исключены.
  • Если последовательность содержит аналитические сведения об исключении некоторых событий, отображаются сведения о событиях для неисключаемых событий, но число событий не включает исключенные события. Выберите ссылку Просмотр исключенных событий , чтобы отфильтровать исключенные события в обозревателе действий.
  • Если выбрать ссылку последовательности для аналитики, можно детализировать последовательность событий в области сведений о действии, включая все события, которые были исключены из оценки. Событие, исключенное из оценки, помечается как исключенное.

Фильтрация оповещений в обозревателе действий

Чтобы отфильтровать оповещения в обозревателе действий для сведений о столбцах, выберите Фильтры. Оповещения можно фильтровать по одному или нескольким атрибутам, перечисленным в области сведений для оповещения. Обозреватель действий также поддерживает настраиваемые столбцы, помогающие следователям и аналитикам сосредоточиться на панели мониторинга на наиболее важных для них сведениях.

Используйте фильтры Область действий, Фактор риска и Проверка состояния для отображения и сортировки действий и аналитических сведений для следующих областей.

  • Действие область. Фильтрует все оцененные действия для пользователя.

    • Все оцененные действия для этого пользователя
    • Только оцененные действия в этом оповещении

  • Фактор риска: фильтры по действиям факторов риска, применимым ко всем политикам, назначающим оценки риска. Это включает в себя все действия для всех политик для пользователей в область.

    • Необычные действия
    • Включает события с приоритетным содержимым
    • Включает события с неотключимым доменом
    • Действия последовательности
    • Совокупные действия кражи
    • Действия по доступу к записям работоспособности
    • Рискованное использование браузера

  • Состояние проверки: состояние проверки действий фильтров.

    • Все
    • Еще не проверено (отфильтровывает все действия, которые были частью оповещений об отклонении или разрешении)

Обзор обозревателя действий управления внутренними рисками

Вкладка "Действия пользователя"

Вкладка Действия пользователя доступна для оповещений в обоих представлениях панели мониторинга. Это один из самых мощных инструментов для внутреннего анализа рисков и исследования оповещений и случаев в решении для управления внутренними рисками. Эта вкладка структурирована для быстрого просмотра всех действий пользователя, включая исторические временная шкала всех оповещений, сведения об оповещении, текущую оценку риска для пользователя и последовательность событий риска.

Действия пользователей по управлению внутренними рисками

  1. Действия с вариантами: панель инструментов действия с делом предоставляет варианты для разрешения дела. При просмотре дела вы можете разрешить его, отправить пользователю уведомление по электронной почте или передать дело для анализа данных или пользователей.

  2. Хронология действий по рискам: полная хронология всех оповещений о рисках, связанных с делом, включая все сведения, доступные в соответствующем пузырьке оповещений.

  3. Фильтры и сортировка (предварительная версия):

    • Категория риска: Фильтрация действий по следующим категориям риска: Действия с оценкой > риска 15 (если только в последовательности) и Действия последовательности.
    • Тип действия: фильтрация действий по следующим типам: Доступ, Удаление, Сбор, Кража, Проникновение, Маскировка, Безопасность, Пользовательский индикатор, Уклонение от защиты, Эскалация привилегий, Риск коммуникации, Риск компрометации пользователей и Использование ИИ.
    • Сортировка по: перечисление временная шкала потенциально рискованных действий по дате возникновения или оценке риска.

  4. Фильтры времени. По умолчанию на диаграмме Действия пользователей отображаются последние три месяца потенциально рискованных действий. Вы можете легко отфильтровать представление диаграммы, выбрав вкладки "6 месяцев", "3 месяца" или " 1 месяц " на пузырьковой диаграмме.

  5. Последовательность рисков. Хронологический порядок потенциально рискованных действий является важным аспектом исследования рисков. Выявление этих связанных действий является важной частью оценки общего риска для вашей организации. Связанные действия оповещений отображаются с соединительными линиями, чтобы подчеркнуть, что эти действия связаны с большей областью риска. Последовательности также определяются в этом представлении значком, расположенным над действиями последовательности относительно оценки риска для последовательности. Наведите указатель мыши на значок, чтобы увидеть дату и время опасного действия, связанного с этой последовательностью. Это представление о действиях может помочь следователям "соединить точки" для действий, связанных с рисками, которые можно было бы рассматривать как изолированные или одноразовые события. Щелкните значок или любой пузырек в последовательности, чтобы отобразить сведения обо всех связанных действиях с рисками. Подробные сведения:

    • Имя последовательности.
    • Дата или диапазон дат последовательности.
    • Оценка риска для последовательности. Эта оценка представляет собой числовую оценку для последовательности объединенных уровней серьезности риска оповещений для каждого связанного действия в последовательности.
    • Количество событий, связанных с каждым оповещением в последовательности. Также доступны ссылки на каждый файл или сообщение электронной почты, связанные с каждым потенциально рискованным действием.
    • Последовательное отображение действий. Отображает последовательность в виде выделенной линии на пузырьковой диаграмме и разворачивает сведения об оповещении, чтобы отобразить все связанные оповещения в последовательности.

  6. Действия и сведения об оповещении о рисках. Потенциально рискованные действия визуально отображаются в виде цветных пузырьков на диаграмме активности пользователей. Пузырьки создаются для разных категорий риска. Выберите пузырек, чтобы отобразить сведения о каждом потенциально рискованном действии. Подробные сведения:

    • Дата действия риска.
    • Категория действия риска. Например, Email с вложениями, отправленными за пределы организации, или файлы, скачанные из SharePoint Online.
    • Оценка риска для оповещения. Эта оценка представляет собой числовую оценку уровня серьезности риска оповещения.
    • Количество событий, связанных с оповещением. Также доступны ссылки на каждый файл или адрес электронной почты, связанные с действием риска.

  7. Совокупные действия кражи. Выберите, чтобы просмотреть визуальную диаграмму того, как активность строится с течением времени для пользователя.

  8. Условные обозначения действий риска. В нижней части диаграммы активности пользователей условные обозначения с цветовой кодировкой помогают быстро определить категорию риска для каждого оповещения.

Вкладка "Граф риска данных"

Важно!

Эту функцию нельзя использовать с включенным параметром конфиденциальности анонимных имен пользователей .

Вкладка Граф рисков данных (предварительная версия) доступна для оповещений в обоих представлениях панели мониторинга. На основе интеграции с Microsoft Sentinel граф риска данных позволяет просматривать связи между затронутыми ресурсами, пользователями и их действиями в интерактивном интерфейсе графа.

Пример графа рисков для управления внутренними рисками.

Дополнительные сведения о графах рисков данных см . в разделе Граф риска данных в управлении внутренними рисками.

Сохранение представления фильтра для повторного использования в дальнейшем

Если вы создаете фильтр и настраиваете столбцы для фильтра, вы можете сохранить представление изменений, чтобы вы или другие пользователи могли быстро фильтровать те же изменения позже. При сохранении представления сохраняются фильтры и столбцы. При загрузке представления загружаются как сохраненные фильтры, так и столбцы.

  1. Создайте фильтр и настройте столбцы.

    Совет

    Чтобы начать сначала в любой момент, нажмите кнопку Сброс. Чтобы изменить настроенные столбцы, выберите Сбросить столбцы.

  2. Когда у вас будет нужный фильтр, выберите Сохранить это представление, введите имя представления, а затем нажмите кнопку Сохранить.

    Примечание.

    Максимальная длина имени представления составляет 40 символов, и вы не можете использовать специальные символы.

  3. Чтобы повторно использовать представление фильтра позже, выберите Представления, а затем выберите представление, которое нужно открыть, на вкладке Рекомендуемые представления (отображаются наиболее используемые представления) или на вкладке Пользовательские представления (наиболее часто используемые фильтры отображаются в верхней части списка).

При выборе представления таким образом все существующие фильтры сбрасываются и заменяются выбранным представлением.

Состояние и серьезность оповещений

Примечание.

Управление внутренними рисками регулирует обработку триггеров для защиты и оптимизации анализа рисков и проверки. Это регулирование защищает от проблем, которые могут привести к перегрузке оповещений политики, таких как неправильно настроенные соединители данных или политики защиты от потери данных. Управление внутренними рисками не обрабатывает сигналы, полученные за пределы регулирования. Дополнительные сведения об ограничениях см. в статье Управление внутренними рисками.

Оповещения можно рассматривать в одном из следующих состояний:

  • Подтверждено: оповещение, подтвержденное и назначенное новому или существующему делу.
  • Отклонено: оповещение, отклоненное как некачественное в процессе рассмотрения. Вы можете указать причину для закрытия оповещения и включить заметки, доступные в журнале оповещений пользователя, чтобы предоставить дополнительный контекст для будущих ссылок или для других рецензентов. Причины могут варьироваться от ожидаемых действий, непрактичных событий, простого сокращения количества действий оповещений для пользователя или причины, связанной с заметками об оповещении. Варианты классификации причин включают действие, ожидаемое для этого пользователя, действие достаточно влияет на меня для дальнейшего изучения, а оповещения для этого пользователя содержат слишком много действий.
  • Проверка потребностей: новое оповещение, в котором еще не выполнены действия по рассмотрению.
  • Устранено: оповещение, которое является частью закрытого и разрешенного случая.

Оценки риска оповещений автоматически вычисляется на основе нескольких индикаторов активности риска. Эти показатели включают тип активности с рисками, число и частоту возникновения действий, историю активности пользователей, связанных с рисками, а также добавление рисков деятельности, которые могут повысить серьезность потенциально рискованной деятельности. Оценка риска оповещений управляет программным назначением уровня серьезности риска для каждого оповещения и не может быть настроена. Если вы не будете рассматривать оповещения и действия с рисками продолжают накапливаться в оповещении, уровень серьезности риска может увеличиться. Аналитики рисков и следователи могут использовать степень серьезности риска оповещений для рассмотрения оповещений в соответствии с политиками и стандартами риска вашей организации.

Уровни серьезности риска оповещений:

  • Высокий уровень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют значительный риск. Соответствующие небезопасные действия являются серьезными и повторяющимися и тесно связаны с другими значимыми факторами риска.
  • Средняя степень серьезности. Потенциально рискованные действия и индикаторы для оповещения представляют умеренный риск. Соответствующие небезопасные действия являются умеренными и частыми и некоторым образом связаны с другими значимыми факторами риска.
  • Низкая серьезность. Потенциально рискованные действия и индикаторы для оповещения представляют незначительный риск. Связанные с рисками действия являются незначительными, более редкими и не коррелируют с другими значительными факторами риска.

Закрыть несколько оповещений (предварительная версия)

Чтобы сэкономить время рассмотрения, аналитики и следователи могут закрыть несколько оповещений одновременно. С помощью команды Закрыть оповещений можно выбрать одно или несколько оповещений с состоянием "Проверка потребностей " на панели мониторинга и быстро закрыть эти оповещения как неопасные. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Закрыть оповещение о внутренних рисках

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещения с состоянием Проверка потребностей .
  5. На панели команд Оповещений выберите Закрыть оповещения.
  6. На панели Сведений о закрытии оповещений просмотрите сведения о пользователе и политике, связанных с выбранными оповещениями.
  7. Выберите Закрыть оповещения, чтобы разрешить оповещения как неопасные.

Отчеты для оповещений

Чтобы просмотреть отчеты для оповещений, перейдите на страницу Отчеты . В каждом мини-приложении отчета на странице Отчеты отображаются сведения за последние 30 дней:

  • Общее количество оповещений, требующих проверки: общее количество оповещений, требующих проверки и рассмотрения, включая разбивку по серьезности оповещений.
  • Открытые оповещения за последние 30 дней. Общее количество оповещений, созданных политикой, соответствует за последние 30 дней, отсортированных по высокому, среднему и низкому уровням серьезности оповещений.
  • Среднее время разрешения оповещений. Сводка полезной статистики оповещений:
    • Среднее время закрытия оповещений высокого уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений среднего уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений низкого уровня серьезности в часах, днях или месяцах.

Назначение оповещения

Если вы являетесь администратором и членом группы ролей "Управлениевнутренними рисками", "Аналитики управления внутренними рисками" или "Следователи по управлению внутренними рисками ", вы можете назначить право владения оповещением себе или пользователю управления внутренними рисками с одной из этих же ролей. Назначив оповещение, вы можете переназначить его пользователю с любой из этих же ролей. Вы можете назначить оповещение только одному администратору за раз.

Примечание.

Если вы область политики одной или несколькими административными единицами, вы можете предоставить право владения оповещением только пользователям управления внутренними рисками с соответствующими разрешениями группы ролей. Пользователь, выделенный в оповещении, должен находиться в область подразделения администрирования. Например, если административное область применяется только к пользователям в Германии, пользователь Управления внутренними рисками может видеть оповещения только для пользователей в Германии. Неограниченные администраторы могут просматривать все оповещения для всех пользователей в организации.

После назначения администратора можно выполнить поиск по администратору.

Примечание.

Администраторы, содержащиеся в группе безопасности Microsoft Entra, не поддерживают назначение оповещений. Администраторы должны быть напрямую назначены одной из необходимых ролей.

Если вы используете пользовательскую группу, убедитесь, что настраиваемая группа содержит роль управления обращениями. Группы ролей Аналитики управления внутренними рисками и Исследователя управления внутренними рисками содержат роль управления делами , но если вы используете настраиваемую группу, необходимо явно добавить в нее роль управления делами .

Назначение оповещения на панели мониторинга оповещений

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещения, которые нужно назначить.
  5. На панели команд над очередью оповещений выберите Назначить.
  6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
  7. Нажмите Назначить.

Назначение оповещения на странице сведений об оповещениях

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. Выберите оповещение.
  5. В области сведений об оповещении в правом верхнем углу страницы выберите Назначить.
  6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Создание обращения для оповещения

Создайте обращение к оповещению, чтобы исследовать потенциально рискованные действия.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Оповещения в области навигации слева.
  4. На панели мониторинга Оповещения выберите оповещение, которое требуется подтвердить, и создайте новое дело.
  5. В области Сведения об оповещениях выберите Действия>Подтвердить оповещения & создать дело.
  6. В диалоговом окне Подтверждение оповещений и создание случая для внутренних рисков введите имя для дела, выберите пользователей для добавления в качестве участников и добавьте комментарии, если это применимо. Примечания автоматически добавляются в дело в качестве примечания к делу.
  7. Выберите Создать дело , чтобы создать новый вариант.

После создания дела следователи и аналитики могут управлять делом и действовать по ней. Дополнительные сведения см. в статье Об управлении внутренними рисками .

Ограничения хранения и элементов

По мере старения оповещений управления внутренними рисками их ценность для минимизации потенциально рискованных действий для большинства организаций снижается. И наоборот, активные случаи и связанные артефакты (оповещения, аналитические сведения, действия) всегда предоставляют значение и не имеют автоматической даты окончания срока действия. Эта политика хранения включает все будущие оповещения и артефакты в активном состоянии для любого пользователя, связанного с активным делом.

Чтобы свести к минимуму количество старых элементов, которые предоставляют ограниченное текущее значение, для оповещений, случаев и отчетов пользователей применяются следующие ограничения хранения и ограничения.

Элемент Хранение и ограничение
Активные варианты (и связанные артефакты) Бессрочное хранение, никогда не истечет
Оповещения с состоянием проверки потребностей 120 дней с момента создания оповещений, а затем автоматически удаляется
Максимальное число активных обращений 100
Разрешенные случаи (и связанные артефакты) 120 дней с момента разрешения обращения, а затем автоматически удаляется
Отчеты о действиях пользователей 120 дней с момента создания отчета, а затем автоматически удаляется

Рекомендации по управлению объемом оповещений

Проверка, исследование и использование потенциально рискованных внутренних оповещений — это важная часть минимизации внутренних рисков в организации. Быстрое принятие мер по минимизации влияния этих рисков может сэкономить время, деньги и нормативные или юридические последствия для вашей организации. Узнайте о рекомендациях по управлению очередью оповещений управления внутренними рисками.

См. также

  • Last updated on