Динамическое снижение рисков с помощью адаптивной защиты (предварительная версия)

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Адаптивная защита в Microsoft Purview использует машинное обучение для выявления наиболее критических рисков и упреждающего и динамического применения элементов управления защитой из:

• политики Защита от потери данных Microsoft Purview (DLP)
• политики условного доступа Microsoft Entra

Интеграция с предотвращением потери данных и условным доступом помогает организациям автоматизировать реагирование на внутренние риски и сократить время, необходимое для выявления и устранения потенциальных угроз. Используя возможности всех трех решений, организации могут создать более комплексную платформу безопасности, которая будет устранять как внутренние, так и внешние угрозы.

Адаптивная защита помогает снизить потенциальные риски с помощью:

• Обнаружение с учетом контекста. Помогает определить наиболее критические риски с помощью анализа содержимого и действий пользователей на основе машинного обучения.
• Динамические элементы управления. Помогает применять эффективные элементы управления для пользователей с высоким риском, в то время как другие поддерживают производительность.
• Автоматическое устранение рисков. Помогает свести к минимуму влияние потенциальных инцидентов безопасности данных и сократить расходы администратора.

Адаптивная защита динамически назначает пользователям соответствующие политики Защита от потери данных Microsoft Purview и Microsoft Entra условного доступа на основе уровней внутренних рисков, определенных и проанализированных моделями машинного обучения в управлении внутренними рисками. Политики становятся адаптивными в зависимости от контекста пользователей, гарантируя, что наиболее эффективная политика, например блокировка общего доступа к данным путем предотвращения потери данных или блокировка доступа к приложениям через условный доступ, применяется только к пользователям с высоким риском, в то время как пользователи с низким риском поддерживают производительность. Элементы управления политикой защиты от потери данных и политики условного доступа постоянно корректируются, поэтому при изменении уровня риска для пользователей инсайдерской оценки динамически применяется соответствующая политика для соответствия новому уровню внутренних рисков.

Важно!

Управление внутренними рисками в настоящее время доступно в клиентах, размещенных в географических регионах и странах, поддерживаемых зависимостями служб Azure. Чтобы убедиться, что решение для управления внутренними рисками поддерживается для вашей организации, см. статью Доступность зависимостей Azure по странам или регионам. Управление внутренними рисками доступно для коммерческих облаков, но в настоящее время недоступно для облачных программ для государственных организаций США.

Просмотрите следующее видео, чтобы получить сводку о том, как адаптивная защита может помочь выявить и снизить самые критические риски в вашей организации:

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Уровни внутренних рисков и профилактические средства контроля

Благодаря адаптивной защите администраторы могут настраивать факторы риска или действия для настраиваемых уровней внутренних рисков в зависимости от потребностей вашей организации. Уровни внутренних рисков для адаптивной защиты постоянно и автоматически обновляются на основе факторов риска и аналитических сведений пользователей, поэтому при увеличении или уменьшении рисков безопасности данных пользователей уровни внутренних рисков корректируются соответствующим образом. В зависимости от уровней внутренних рисков политики защиты от потери данных и политики условного доступа автоматически применяют правильный уровень профилактических элементов управления, настроенных администраторами (например, блокировка, блокировка с переопределением или предупреждение).

В зависимости от политики управления внутренними рисками, назначенной в адаптивной защите, для определения применимых уровней внутренних рисков используются различные критерии (пользователи, группы, индикаторы, пороговые значения и т. д.). Уровни внутренних рисков основаны на аналитике пользователей, а не только на количестве экземпляров конкретных действий пользователя. Аналитика — это вычисление совокупного количества действий и уровня серьезности этих действий.

Например, уровни внутренних рисков для пользователя A не будут определяться пользователем A, выполняющим потенциально рискованное действие более трех раз. Уровни инсайдерского риска для пользователя А определяются на основе анализа совокупного количества действий, а оценка риска будет назначена действию на основе пороговых значений, настроенных в выбранной политике.

Уровни внутренних рисков

Уровни внутренних рисков в адаптивной защите определяют, насколько рискованной является активность пользователя и может основываться на таких критериях, как количество выполненных действий по краже или наличие в их действиях оповещений о риске с высоким уровнем серьезности. Эти уровни внутренних рисков имеют встроенные определения уровней внутренних рисков, но эти определения можно настроить по мере необходимости:

• Повышенный уровень риска. Это самый высокий уровень внутренних рисков. Он включает встроенные определения для пользователей с оповещениями с высоким уровнем серьезности, пользователей с по крайней мере тремя аналитическими сведениями о последовательности, каждое из которых имеет оповещение с высоким уровнем серьезности для конкретных действий риска, или одно или несколько подтвержденных оповещений с высоким уровнем серьезности.
• Средний уровень риска. Средний уровень инсайдерского риска включает встроенные определения для пользователей со средним уровнем серьезности или пользователей с по крайней мере двумя действиями кражи данных с высокими оценками серьезности.
• Незначительный уровень риска. Самый низкий уровень инсайдерского риска включает встроенные определения для пользователей с оповещениями с низкой серьезностью или пользователей с по крайней мере одним действием кражи данных с высокой оценкой серьезности.

Чтобы уровень инсайдерского риска был назначен пользователю, количество аналитических сведений и серьезность, назначенные действию, должны соответствовать определению уровня внутренних рисков. Количество действий для аналитики может быть одним действием или несколькими действиями, которые накапливаются в одной аналитике. Количество аналитических сведений оценивается для определения уровня внутренних рисков, а не количества действий, содержащихся в аналитических сведениях.

Например, предположим, что условия в политике управления внутренними рисками, назначенной адаптивной защите, ограничены для идентификации скачиваний с сайтов SharePoint в вашей организации. Если политика обнаруживает, что пользователь загрузил 10 файлов с сайта SharePoint за один день с высоким уровнем серьезности, это будет считаться одним аналитическим представлением, состоящим из 10 событий действий. Чтобы это действие соответствовало назначению пользователю повышенного уровня риска , пользователю потребуется две дополнительные аналитические сведения (с высоким уровнем серьезности). Дополнительные аналитические сведения могут содержать или не содержать одно или несколько действий.

Настройка уровней внутренних рисков

Пользовательские уровни внутренних рисков позволяют создавать уровни внутренних рисков в зависимости от потребностей вашей организации. Вы можете настроить критерии, на которых основан уровень внутренних рисков, а затем определить условия для контроля, когда уровень внутренних рисков назначается пользователям.

Рассмотрим следующие примеры использования адаптивной защиты вместе с защитой от потери данных и политиками условного доступа.

• Политики защиты от потери данных:
  • Разрешите пользователям с уровнем "Незначительный " или "Средний уровень инсайдерского риска" получать советы по политикам и обучать их рекомендациям по обработке конфиденциальных данных. Таким образом, вы можете влиять на позитивные изменения поведения с течением времени и снизить риски для данных организации.
  • Запретите пользователям с повышенным уровнем риска сохранять конфиденциальные данные или предоставлять общий доступ к ним, чтобы свести к минимуму влияние потенциальных инцидентов с данными.
• Политики условного доступа:
  • Требовать от пользователей уровня незначительного риска подтвердить условия использования перед использованием приложения.
  • Запретить пользователям уровня среднего риска доступ к определенным приложениям.
  • Полностью запретить пользователям уровня повышенного риска использовать любые приложения. Дополнительные сведения о часто применяемых политиках условного доступа

Критерии и условия уровня внутренних рисков

Настройка критериев и условий уровня внутренних рисков может основываться на следующих областях:

• Оповещения, созданные или подтвержденные для пользователя. Этот параметр позволяет выбирать условия в зависимости от уровня серьезности оповещений, созданных или подтвержденных для пользователя для выбранной политики управления внутренними рисками. Условия для оповещений не являются добавительными, и уровень внутренних рисков назначается пользователю, если выполняется одно из условий.
• Конкретные действия пользователя. Этот параметр позволяет выбрать условия для обнаружения действий, его серьезность и количество ежедневных вхождений в течение периода обнаружения прошлых действий (необязательно). Условия для действий пользователей являются аддитивным, а уровень внутренних рисков назначается пользователю только при соблюдении всех условий.

Обнаружение прошлых действий

Этот параметр уровня внутреннего риска определяет, сколько дней назад проводится адаптивная защита, чтобы определить, соответствует ли пользователь условиям, определенным любым из уровней внутреннего риска. Значение по умолчанию — 7 дней, но вы можете выбрать от 5 до 30 дней предыдущей активности, чтобы применить условия уровня внутренних рисков. Этот параметр применяется только к уровням внутренних рисков, основанным на ежедневной активности пользователя, и исключает уровни внутренних рисков на основе оповещений.

В следующем примере показано, как взаимодействуют параметры обнаружения прошлых действий и уровни внутренних рисков, чтобы определить, является ли прошлое действие пользователя область.

• Параметр повышенного уровня риска: пользователь выполняет по крайней мере три последовательности, каждая из которых имеет высокую оценку риска серьезности (от 67 до 100).
• Параметр обнаружения прошлых действий : 3 дня

Действия пользователей	Активность в область для уровня внутренних рисков
Пользователь имеет 1 последовательность с высоким уровнем серьезности каждый день в день T-3, T-2, T-1	Да
Пользователь имеет 3 последовательности с высоким уровнем серьезности в день T-3	Да
Пользователь имеет 1 последовательность с высоким уровнем серьезности в день T-4 и 2 последовательности с высоким уровнем серьезности в день T-3	Нет

Сроки уровня внутренних рисков

Этот параметр уровня инсайдерского риска определяет, как долго уровень внутренних рисков остается назначенным пользователю, прежде чем он будет автоматически сброшен. Значение по умолчанию — 7 дней, но вы можете выбрать от 5 до 30 дней, прежде чем сбрасывать уровень внутренних рисков для пользователя.

Уровни внутренних рисков также сбрасываются для пользователя, когда:

• Связанное оповещение для пользователя отклоняется
• Проблема, связанная с пользователем, разрешена
• Дата окончания уровня внутренних рисков истекает вручную

Примечание.

Если пользователю в настоящее время назначен уровень инсайдерского риска и этот пользователь снова соответствует критериям для этого уровня внутренних рисков, период времени уровня внутренних рисков продлевается на определенное количество дней для пользователя.

Разрешения для адаптивной защиты

В зависимости от того, как вы используете встроенные группы ролей и группы ролей управления внутренними рисками для защиты от потери данных или условного доступа, может потребоваться обновить разрешения для администраторов, аналитиков и следователей в вашей организации.

В следующей таблице описаны разрешения, необходимые для конкретных задач адаптивной защиты.

Задача	Требуемая группа ролей
Настройка адаптивной защиты и параметров обновления	Управление внутренними рисками или администраторы управления внутренними рисками
Create и управление политиками защиты от потери данных с помощью условия адаптивной защиты	Один из следующих: администратор соответствия требованиям, администратор данных соответствия требованиям, управление соответствием требованиям для защиты от потери данных, глобальный администратор
Create политики условного доступа и управление ими с помощью условия адаптивной защиты	Одно из следующих действий: глобальный администратор, администратор условного доступа, администратор безопасности
Просмотр сведений о назначенных пользователям уровнях внутренних рисков	Управление внутренними рисками, аналитики управления внутренними рисками или следователи по управлению внутренними рисками

Важно!

Четыре категории групп ролей соответствуют следующим вкладкам на странице Адаптивная защита: уровни риска предварительной оценки, Уровни риска, назначенные пользователями, Защита от потери данных, Условный доступ. Если вам не назначена соответствующая группа ролей, вкладка не будет отображаться на странице Адаптивная защита.

Дополнительные сведения о группах ролей в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview

Настройка адаптивной защиты

В зависимости от потребностей вашей организации или того, где в настоящее время настроено управление внутренними рисками, защита от потери данных и условный доступ, вы можете приступить к адаптивной защите двумя способами:

• Быстрая настройка
• Настраиваемая настройка

Быстрая настройка

Быстрая настройка — это самый быстрый способ приступить к работе с адаптивной защитой. При использовании этого параметра вам не требуется уже существующее управление внутренними рисками, защита от потери данных или политики условного доступа, а также не требуется предварительно настраивать какие-либо параметры или функции. Если у вашей организации нет текущей подписки или лицензии, которая поддерживает управление внутренними рисками или защиту от потери данных, зарегистрируйтесь для получения пробной версии решений microsoft Purview по рискам и соответствию требованиям , прежде чем начинать процесс быстрой настройки. Вы также можете зарегистрироваться для получения пробной версии Microsoft Entra.

Чтобы начать работу, выберите Включить адаптивную защиту в карточках адаптивной защиты на домашней странице портала Microsoft Purview или на странице Обзор защиты от потери данных. Вы также можете приступить к быстрой настройке, перейдя на вкладку Управление внутренними рисками>Адаптивная панель защиты>Быстрая>настройка.

Примечание.

Если вы уже являетесь администратором Microsoft Purview с ограниченной областью , вы не можете включить быструю настройку.

Вот что настраивается при использовании процесса быстрой настройки адаптивной защиты:

Область	Конфигурация
Параметры внутренних рисков (если еще не настроены)	— Конфиденциальность: отображение анонимных версий имен пользователей. Примечание: Имена пользователей не анонимизированы при условном доступе или защите от потери данных — Сроки политики: значения по умолчанию — Индикаторы политики: подмножество индикаторов Office (можно просмотреть в параметрах управления внутренними рисками). — Усилители оценки риска: Все — Интеллектуальные обнаружения: том оповещений = том по умолчанию — Аналитика: включено — уведомления Администратор: отправка уведомления по электронной почте при создании первого оповещения для всех
Параметры внутренних рисков (если они уже настроены)	— Индикаторы политики: индикаторы Office еще не настроены (вы можете просмотреть в параметрах управления внутренними рисками). — Все остальные параметры, настроенные ранее, не обновляются и не изменяются. — Аналитика: включено (пороговые значения для активации событий в политиках — это параметры по умолчанию, определяемые рекомендациями аналитики).
Новая политика внутренних рисков	— Шаблон политики: утечки данных — Имя политики: политика адаптивной защиты для управления внутренними рисками — политика область для пользователей и групп: все пользователи и группы — Содержимое приоритета: Нет — Активация событий: выбранные события кражи (вы можете просмотреть в параметрах управления внутренними рисками) — Индикаторы политики: подмножество индикаторов Office (можно просмотреть в параметрах управления внутренними рисками). - Бустеры оценки риска: активность выше обычной активности пользователя в этот день
Уровни внутренних рисков адаптивной защиты	- Повышенный уровень риска: пользователи должны иметь по крайней мере три последовательности кражи с высоким уровнем серьезности - Средний уровень риска: пользователи должны иметь по крайней мере два действия с высоким уровнем серьезности (за исключением некоторых типов загрузок). - Незначительный уровень риска: у пользователей должно быть по крайней мере одно действие с высоким уровнем серьезности (за исключением некоторых типов загрузок).
Две новые политики защиты от потери данных	Политика адаптивной защиты для конечной точки защиты от потери данных - Правило повышенного уровня риска: Заблокировано - Умеренной/Правило уровня незначительного риска : аудит — политика запускается в тестовом режиме (только аудит) Политика адаптивной защиты для Teams и Exchange DLP - Правило повышенного уровня риска: Заблокировано - Умеренной/Правила уровня незначительного риска : аудит — политика запускается в тестовом режиме (только аудит)
Новая политика условного доступа (создается в режиме только для отчетов, чтобы пользователи не блокировались)	1-блочный доступ для пользователей с риском предварительной оценки (предварительная версия) — Включенные пользователи: все пользователи — исключены гостевые или внешние пользователи: B2bDirectConnect User; OtherExternalUser; Serviceprovider — Облачные приложения: все приложения — Уровни внутренних рисков: повышенные — Блокировать доступ: выбрано

После запуска процесса быстрой настройки может потребоваться до 72 часов, прежде чем аналитика будет завершена, будут созданы связанные политики управления внутренними рисками, защиты от потери данных и условного доступа, и вы можете ожидать, что к соответствующим действиям пользователей будут применены уровни риска для адаптивной защиты, защиты от потери данных и действия условного доступа. Администраторы получают уведомление по электронной почте после завершения процесса быстрой настройки.

Настраиваемая настройка

Параметр настраиваемой настройки позволяет настроить политику управления внутренними рисками, уровни внутренних рисков, а также политики защиты от потери данных и условного доступа, настроенные для адаптивной защиты. Этот параметр также позволяет настроить эти элементы перед фактическим включением подключений адаптивной защиты между управлением внутренними рисками и защитой от потери данных. В большинстве случаев этот параметр следует использовать организациям, у которых уже есть политики управления внутренними рисками и (или) защиты от потери данных.

Выполните следующие действия, чтобы настроить адаптивную защиту с помощью пользовательской настройки.

Шаг 1. Политика Create управления внутренними рисками

Уровни внутренних рисков назначаются пользователям, когда политика, назначенная в адаптивной защите, обнаруживает действия пользователей или создает оповещения, соответствующие условиям уровня внутренних рисков, заданным на следующем шаге. Если вы не хотите использовать существующую политику управления внутренними рисками (выбранную на шаге 2), необходимо создать новую политику управления внутренними рисками. Политика управления внутренними рисками для адаптивной защиты должна включать:

• Пользователи, действия которых вы хотите обнаружить. Это могут быть все пользователи и группы в вашей организации или только подмножество для конкретных сценариев снижения рисков или тестирования.
• Действия, которые считаются рискованными и настраиваемыми порогами, которые влияют на оценку риска действия. Рискованные действия могут включать отправку электронной почты людям за пределами организации или копирование файлов на USB-устройства.

Выберите Create политики внутренних рисков, чтобы запустить мастер создания политик. Шаблон политики утечки данных автоматически выбирается в мастере, но при необходимости можно выбрать любой шаблон политики.

Важно!

В зависимости от выбранного шаблона политики может потребоваться настроить дополнительные параметры политики, чтобы правильно обнаруживать потенциально опасные действия и создавать применимые оповещения.

Шаг 2. Настройка параметров уровня внутренних рисков

Перейдите на вкладку Уровни риска предварительной оценки . Начните с выбора политики управления внутренними рисками, которую вы хотите использовать для адаптивной защиты. Это может быть новая политика, созданная на шаге 1, или существующая политика или политики, которые вы уже настроили.

Затем примите применимые встроенные условия уровня внутренних рисков или создайте собственные. В зависимости от выбранного типа политики условия уровня внутренних рисков будут отражать применимые условия, связанные с индикаторами и действиями, настроенными в политике.

Например, если вы выбрали политику на основе шаблона политики утечки данных , встроенные параметры условий уровня внутренних рисков применяются к индикаторам и действиям, доступным в этой политике. Если вы выбрали политику на основе шаблона политики нарушений политики безопасности , встроенные условия уровня внутренних рисков автоматически определяются индикаторами и действиями, доступными в этой политике.

Настройка уровня внутренних рисков для политики

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Перейдите к решению для управления внутренними рисками .

3. Выберите Адаптивная защита (предварительная версия) в области навигации слева, а затем выберите Уровни риска предварительной оценки.

4. На странице Уровни риска для участников программы предварительной оценки выберите Изменить для уровня внутренних рисков, который вы хотите настроить (повышенные, средние или незначительные).

5. На панели Настраиваемый уровень внутренних рисков выберите параметр в разделе Уровень риска предварительной оценки на основе :

   • Оповещение, созданное или подтвержденное для пользователя
   • Конкретные действия пользователей

6. Если вы выбрали параметр Оповещение, созданное или подтвержденное для пользователя , можно выбрать уровни серьезности для создаваемых или подтвержденных оповещений для пользователя, который должен использовать этот уровень риска. Вы можете сохранить уровень серьезности для созданных оповещений и серьезность для условий подтвержденных оповещений или удалить одно из этих условий, если вы хотите использовать только одно из них. Если вам нужно добавить одно из этих условий обратно, выберите Добавить условие, а затем выберите условие. Для каждого условия выберите уровень серьезности, который должен применяться к условию (высокий, средний или низкий). Если выполняется какое-либо из условий, пользователю назначается уровень внутренних рисков.

7. Если выбран параметр Конкретное действие пользователя , выберите действие для обнаружения, его серьезность и количество ежедневных вхождений в период обнаружения прошлых действий. Необходимо настроить действия, серьезность действий и вхождений действий во время условий окна обнаружения для этого уровня риска для внутренней оценки.

   Для условия Действия параметры, которые можно выбрать, автоматически обновляются для типов действий, определенных с помощью индикаторов, настроенных в связанной политике. При необходимости установите флажок Назначить этот уровень риска любому пользователю, у которого подтверждено будущее оповещение, даже если условия выше не выполнены . Если выполнены все условия, пользователю назначается уровень внутренних рисков.

   Для условия серьезности действия укажите уровень серьезности для действий, включенных в аналитические сведения о ежедневных действиях. Параметры: Высокий, Средний и Низкий и основаны на диапазонах оценки риска.

   Для условия окна "События во время обнаружения " укажите количество раз, когда выбранные действия должны быть обнаружены в течение указанного периода обнаружения прошлых действий . Это число не связано с количеством событий, которые могут произойти для действия. Например, если политика обнаруживает, что пользователь загрузил 20 файлов из SharePoint за один день, это считается одной ежедневной аналитикой действий, состоящей из 20 событий.

8. Выберите Подтвердить , чтобы применить настраиваемые условия уровня риска для внутренней оценки, или Отмена , чтобы отменить изменения.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.

2. Перейдите к решению для управления внутренними рисками .

3. Перейдите на вкладку Адаптивная защита (предварительная версия) и выберите Уровни риска предварительной оценки.

4. На странице Уровни риска для участников программы предварительной оценки выберите Изменить для уровня внутренних рисков, который вы хотите настроить (повышенные, средние или незначительные).

5. На панели Настраиваемый уровень внутренних рисков выберите параметр в разделе Уровень риска предварительной оценки на основе :

   • Оповещение, созданное или подтвержденное для пользователя
   • Конкретные действия пользователей

6. Если вы выбрали параметр Оповещение, созданное или подтвержденное для пользователя , выберите уровни серьезности для создаваемых или подтвержденных оповещений для пользователя, который должен использовать этот уровень внутренних рисков. Вы можете сохранить уровень серьезности для созданных оповещений и серьезность для условий подтвержденных оповещений или удалить одно из этих условий, если вы хотите использовать только одно из них. Если вам нужно добавить одно из этих условий обратно, выберите Добавить условие, а затем выберите условие. Для каждого условия выберите уровень серьезности, который должен применяться к условию (высокий, средний или низкий). Если выполняется какое-либо из условий, пользователю назначается уровень внутренних рисков.

7. Если выбран параметр Конкретное действие пользователя , выберите действие для обнаружения, его серьезность и количество ежедневных вхождений в период обнаружения прошлых действий. Необходимо настроить действия, серьезность действий и вхождений действий во время условий окна обнаружения для этого уровня риска для внутренней оценки.

   Для условия Действия параметры, которые можно выбрать, автоматически обновляются для типов действий, определенных с помощью индикаторов, настроенных в связанной политике. При необходимости установите флажок Назначить этот уровень риска любому пользователю, у которого подтверждено будущее оповещение, даже если условия выше не выполнены . Если выполнены все условия, пользователю назначается уровень внутренних рисков.

   Для условия серьезности действия укажите уровень серьезности для действий, включенных в аналитические сведения о ежедневных действиях. Параметры: Высокий, Средний и Низкий и основаны на диапазонах оценки риска.

   Для условия окна "События во время обнаружения " укажите количество раз, когда выбранные действия должны быть обнаружены в течение указанного периода обнаружения прошлых действий . Это число не связано с количеством событий, которые могут произойти для действия. Например, если политика обнаруживает, что пользователь скачал 20 файлов из SharePoint за один день, что считается одним ежедневным анализом действий, состоящим из 20 событий.

8. Выберите Подтвердить , чтобы применить настраиваемые условия уровня риска для внутренней оценки, или Отмена , чтобы отменить изменения.

Назначение уровня внутренних рисков, если пользователь находится в область для нескольких политик

Если пользователь находится в область для нескольких политик, если пользователь получает оповещения разных уровней серьезности, по умолчанию ему назначается наивысший уровень серьезности. Например, рассмотрим политику, которая назначает повышенный уровень риска , если пользователи получают оповещение с высоким уровнем серьезности. Если пользователь получает оповещение с низким уровнем серьезности из политики 1, оповещение со средним уровнем серьезности из политики 2 и оповещение с высоким уровнем серьезности из политики 3, ему назначается повышенный уровень риска — уровень для наибольшего уровня серьезности полученного оповещения.

Обратите внимание, что условия уровня внутренних рисков должны присутствовать в выбранных политиках для обнаружения. Например, если выбрать действие Копировать на USB , чтобы назначить средний уровень риска, но действие выбрано только в одной из трех выбранных политик, то только действие из этой политики назначит средний уровень риска для этого действия.

Шаг 3. Create или изменение политики защиты от потери данных

Затем создайте (или измените) существующую политику защиты от потери данных, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня внутренних рисков в адаптивной защите. Используйте следующие рекомендации для настройки политики защиты от потери данных.

• В политику защиты от потери данных необходимо включить уровень внутренних рисков пользователя для адаптивной защиты . Эта политика защиты от потери данных может включать другие условия при необходимости.
• Хотя в политику защиты от потери данных можно включить другие расположения, сейчас адаптивная защита поддерживает только Exchange, Microsoft Teams и устройства.

Выберите Create политику, чтобы запустить мастер политики защиты от потери данных и создать новую политику защиты от потери данных. Если у вас есть политика защиты от потери данных, которую вы хотите настроить для адаптивной защиты, перейдите враздел Политики защиты > от потери данныхна портале соответствия требованиям и выберите политику защиты от потери данных, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики защиты от потери данных или обновлению существующей политики защиты от потери данных для адаптивной защиты см . в статье Сведения об адаптивной защите в защите от потери данных: настройка вручную.

Совет

Мы рекомендуем протестировать политику защиты от потери данных (с советами по политике), чтобы вы могли просмотреть оповещения о защите от потери данных, чтобы убедиться, что политика работает должным образом, прежде чем включать адаптивную защиту.

Шаг 4. Create или изменение политики условного доступа

Затем создайте (или измените) существующую политику условного доступа, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня внутренних рисков в адаптивной защите. Используйте следующие рекомендации для конфигурации политики условного доступа.

• На странице Условный доступ, где вы управляете доступом на основе сигналов от условий, задайте для условия риск для программы предварительной оценки значение Да, а затем выберите уровень риска для инсайдерской оценки (повышенный, средний или дополнительный). Это уровень внутренних рисков, который должен быть у пользователей для принудительного применения политики.

Выберите Create политику, чтобы запустить мастер политики условного доступа и создать новую политику условного доступа. Если у вас есть политика условного доступа, которую вы хотите настроить для адаптивной защиты, перейдите в раздел Защита>условного доступа в Центр администрирования Microsoft Entra и выберите политику условного доступа, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики условного доступа или обновлению существующей политики условного доступа для адаптивной защиты см. в статье Общая политика условного доступа: политика на основе внутренних рисков.

Шаг 5. Включение адаптивной защиты

После выполнения всех предыдущих шагов вы можете включить адаптивную защиту. При включении адаптивной защиты:

• Политика управления внутренними рисками начинает искать действия пользователей, соответствующие условиям уровня внутренних рисков. При обнаружении уровни внутренних рисков назначаются пользователям.
• Пользователи, которым назначены уровни внутренних рисков, отображаются на вкладке Уровни риска, назначенные пользователями в адаптивной защите.
• Политика защиты от потери данных применяет действия защиты для любого пользователя, назначаемого уровням внутренних рисков, включенным в политику защиты от потери данных. Политика защиты от потери данных добавляется на вкладку Защита от потери данных в адаптивной защите (предварительная версия). На панели мониторинга можно просмотреть сведения о политике защиты от потери данных и изменить условия политики.
• Политика условного доступа применяет действия защиты для любого пользователя, назначаемого уровням внутренних рисков, включенным в политику условного доступа. Политика условного доступа добавляется на вкладку Условный доступ в адаптивной защите (предварительная версия). На панели мониторинга можно просмотреть сведения о политике условного доступа и изменить условия политики.

Чтобы включить адаптивную защиту, перейдите на вкладку Параметры адаптивной защиты , а затем установите переключатель Адаптивная защита в значение Включено. Может потребоваться до 36 часов, прежде чем вы сможете увидеть уровни внутренних рисков адаптивной защиты и защиты от потери данных, а также действия условного доступа, примененные к соответствующим действиям пользователей.

Просмотрите следующее видео на канале Microsoft Mechanics, чтобы узнать, как адаптивная защита может автоматически настраивать надежность защиты данных на основе вычисляемых уровней внутренних рисков безопасности данных пользователей.

Управление адаптивной защитой

После включения адаптивной защиты и настройки управления внутренними рисками, защиты от потери данных и политик условного доступа вы получите доступ к сведениям о метриках политики, текущих область пользователей и уровнях внутренних рисков, которые в настоящее время область.

Панель мониторинга

После завершения процесса быстрой или пользовательской настройки на вкладке Панель мониторинга в адаптивной защите (предварительная версия) отображаются мини-приложения для получения сводных сведений об уровнях риска для пользователей, политик условного доступа и политик защиты от потери данных.

• Уровни инсайдерского риска, назначенные пользователям. Отображает количество пользователей для каждого уровня инсайдерского риска (повышенный риск, средний риск и незначительный риск).
• Политики, использующие уровни внутренних рисков. Отображает состояние политик (не запущено или завершено), тип политики (условный доступ или защита от потери данных) и количество настроенных политик для каждого типа политики. Если тип политики не настроен, можно нажать кнопку Быстрая настройка , чтобы настроить политику.

Пользователям назначены уровни внутренних рисков

Пользователи, которым назначен уровень внутренних рисков в адаптивной защите, отображаются на вкладке Уровни риска, назначенные пользователями . Для каждого пользователя можно просмотреть следующие сведения:

• Пользователи: Списки имя пользователя. Для политик защиты от потери данных, если в параметрах управления внутренними рисками выбран параметр Показывать анонимные версии имен пользователей , вы увидите анонимные имена пользователей. Для политик условного доступа имена пользователей не являются анонимными, даже если выбран параметр Показать анонимные версии имен пользователей .

  Важно!

  Для поддержания целостности ссылок анонимизация имен пользователей (если они включено) не сохраняется для пользователей адаптивной защиты, у которых оповещения или действия отображаются вне управления внутренними рисками. Фактические имена пользователей будут отображаться в связанных предупреждениях защиты от потери данных и в обозревателе действий.

• Уровень риска для предварительной оценки: текущий уровень внутренних рисков, назначенный пользователю.

• Назначено пользователю: количество дней или месяцев, прошедших с момента назначения пользователю уровня внутренних рисков.

• Сбросы уровня риска. Количество дней до автоматического сброса уровня внутренних рисков для пользователя.

  Чтобы вручную сбросить уровень внутренних рисков для пользователя, выберите пользователя и нажмите кнопку Срок действия. Этому пользователю больше не будет назначен уровень риска для внутренней оценки. Существующие оповещения или случаи для этого пользователя не будут удалены. Если этот пользователь включен в выбранную политику управления внутренними рисками, при обнаружении события активации будет снова назначен уровень внутренних рисков.

• Активные оповещения: количество текущих оповещений об управлении внутренними рисками для пользователя.

• Случаи, подтвержденные как нарушения: количество подтвержденных случаев для пользователя.

• Вариант: имя дела.

При необходимости можно отфильтровать пользователей по уровню риска программы предварительной оценки.

Чтобы просмотреть подробные сведения о внутренних рисках и адаптивной защите для конкретного пользователя, выберите пользователя, чтобы открыть область сведений о пользователе. Область сведений содержит три вкладки, профиль пользователя, действия пользователя и сводку адаптивной защиты. Сведения о вкладках "Профиль пользователя" и "Действия пользователя " см. в разделе Просмотр сведений о пользователе.

На вкладке Сводка адаптивной защиты сведения объединяются в четыре раздела:

• Адаптивная защита. В этом разделе отображаются сведения о текущем уровне риска, назначенном уровне риска и сбросе уровня риска для пользователя.
• Политики защиты от потери данных в область (динамической) . В этом разделе отображаются все политики защиты от потери данных, которые в настоящее время находятся в область для пользователя, а также дату начала и окончания политики. Это основано на уровне внутренних рисков для пользователя и конфигурации политики защиты от потери данных для уровней внутренних рисков. Например, если у пользователя есть действия, определенные как повышенный уровень риска для политик управления внутренними рисками, и две политики защиты от потери данных настроены с условием повышенного уровня риска , эти две политики защиты от потери данных будут отображаться здесь для пользователя.
• Политики условного доступа в область (динамические). В этом разделе отображаются все политики условного доступа, которые сейчас находятся в область для пользователя, а также дата начала и окончания политики. Это зависит от уровня внутренних рисков для пользователя и конфигурации политики условного доступа для уровней внутренних рисков. Например, если у пользователя есть действия, определенные как повышенный уровень риска для политик управления внутренними рисками, и политика условного доступа настроена с условием повышенного уровня риска , политика условного доступа будет отображаться здесь для пользователя.
• Политика внутренних рисков для адаптивной защиты. В этом разделе отображается любая политика управления внутренними рисками, в которой пользователь в настоящее время находится в область.

Политики условного доступа

На странице Политики условного доступа отображаются все политики условного доступа, использующие условие риска для предварительной оценки . Для каждой политики можно просмотреть следующие сведения:

• Имя политики: имя политики условного доступа.
• Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
• Уровни риска для предварительной оценки. Уровни внутренних рисков, включенные в политику условного доступа с помощью условия "Внутренний риск ". Возможные варианты: повышенные, средние или незначительные уровни риска.
• Состояние политики: текущее состояние политики условного доступа. Параметры: Включено или Проверить с уведомлениями.
• Создано: дата создания политики условного доступа.
• Последнее изменение: дата последнего изменения условной политики.

Политики защиты от потери данных

На странице Политики защиты от потери данных отображаются все политики защиты от потери данных, использующие уровень риска предварительной оценки для адаптивной защиты — условие . Для каждой политики можно просмотреть следующие сведения:

• Имя политики: имя политики защиты от потери данных.
• Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
• Расположение политики: расположения , включенные в политику защиты от потери данных. В настоящее время адаптивная защита поддерживает только Exchange, Teams и устройства.
• Уровни внутренних рисков. Уровни внутренних рисков, включенные в политику защиты от потери данных с использованием уровня риска предварительной оценки для адаптивной защиты, являются условием. Возможные варианты: повышенные, средние или незначительные уровни риска.
• Состояние политики: текущее состояние политики защиты от потери данных. Параметры: Включено или Проверить с уведомлениями.
• Создано: дата создания политики защиты от потери данных.
• Последнее изменение: дата последнего изменения политики защиты от потери данных.

Настройка параметров уровня внутренних рисков

После просмотра пользователей с уровнями риска вы можете обнаружить, что у вас слишком много или слишком мало пользователей, которым назначен уровень внутренних рисков. Для настройки конфигураций политик можно использовать два метода, чтобы уменьшить или увеличить число пользователей, которым назначены уровни риска для внутренней оценки:

• Изменение параметров уровня внутренних рисков. Вы можете настроить пороговые значения, чтобы назначить пользователю уровень инсайдерского риска:
  • Увеличение или уменьшение серьезности действий, необходимых для назначения уровня риска для инсайдерской оценки. Например, если вы видите слишком мало пользователей с уровнями инсайдерского риска, можно уменьшить серьезность действий или оповещений.
  • Если уровень инсайдерского риска основан на определенной активности пользователя, увеличьте или уменьшите количество действий во время периода обнаружения. Например, если вы видите слишком мало пользователей с уровнями внутренних рисков, вы можете уменьшить количество действий.
  • Измените, на чем основан уровень внутренних рисков. Например, если вы видите слишком много пользователей с уровнями внутренних рисков, чтобы уменьшить количество пользователей, вы можете назначить уровень риска, только если оповещение подтверждено.
• Изменение пороговых значений политики. Так как уровни внутренних рисков назначаются на основе обнаружения политик, вы также можете изменить свою политику, что, в свою очередь, изменит требования к назначению уровня внутренних рисков. Политику можно изменить, увеличив или уменьшая пороговые значения политики, которые приводят к действиям и оповещениям с высоким, средним или низким уровнем серьезности.

Отключение адаптивной защиты

Могут возникать определенные сценарии, когда может потребоваться временно отключить адаптивную защиту. Чтобы отключить адаптивную защиту, перейдите на вкладку Параметры адаптивной защиты , а затем установите переключатель Адаптивная защита в положение Выкл.

Если адаптивная защита отключена после включения и активности, уровни внутренних рисков перестанут назначаться пользователям и предоставлять общий доступ с помощью защиты от потери данных и условного доступа, а все существующие уровни внутренних рисков для пользователей будут сброшены. После выключения адаптивной защиты может потребоваться до 6 часов, чтобы перестать назначать уровни внутренних рисков действиям пользователей и сбрасывать их все. Политики управления внутренними рисками, защиты от потери данных и условного доступа не удаляются автоматически.