Рекомендации по управлению объемом оповещений в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Проверка, исследование и использование потенциально рискованных внутренних оповещений — это важная часть минимизации внутренних рисков в организации. Быстрое принятие мер по минимизации влияния этих рисков может сэкономить время, деньги и нормативные или юридические последствия для вашей организации. В этом процессе исправления первый шаг проверки оповещений может показаться наиболее сложной задачей для многих аналитиков и исследователей.

В этой статье приводятся рекомендации по управлению объемом оповещений в организации, чтобы не было слишком много или слишком мало оповещений. Общие сведения о создании оповещений и средствах для управления оповещениями см. в разделе Исследование действий, связанных с внутренними рисками.

Слишком мало оповещений для просмотра

Если вы получаете слишком мало оповещений об управлении внутренними рисками:

• Обновите параметры: Изменения, внесенные в параметры, применяются глобально во всех политиках.

  • Включите дополнительные индикаторы: Выбор дополнительных индикаторов дает политикам большую группу действий для обнаружения.

    Инструкции: Перейдите в раздел Параметры Индикаторы>политики, а затем включите все доступные и соответствующие индикаторы.

  • Настройте ползунок Громкость оповещений: Используйте этот ползунок для просмотра всех оповещений средней и высокой серьезности, а также большинства оповещений с низким уровнем серьезности. Заметка: Настройка ползунка может привести к большему количества ложных срабатываний.

    Инструкции: Перейдите в раздел Параметры>Интеллектуальные обнаружения Том оповещений>, а затем переместите ползунок в раздел Дополнительные оповещения.

• Измените политику: Определите политику, которая не создает достаточно оповещений, а затем рассмотрите следующие действия:

  • Увеличьте охват пользователей в политике: Политики с небольшим числом пользователей, включенных в область, с меньшей вероятностью создают оповещения. Если применимо, рассмотрите возможность увеличения числа пользователей в области действия политики.

    Инструкции: Выберите определенную политику на странице Политики , выберите Изменить политику, а затем перейдите на страницу Пользователи и группы , чтобы увеличить число пользователей в области.

  • Понизите пороговые значения триггера: Политики, основанные на шаблонах утечки данных и рискованном использовании браузера (предварительная версия), позволяют настраивать некоторые пороговые значения триггеров. Эти пороговые значения определяют, когда вы начнете обнаруживать действия пользователей. При снижении пороговых значений триггера снижается условие, чтобы пользователь начал оценивать рискованные действия. Заметка: Если пользователь не отображается на странице Пользователи и группы , это означает, что условия запуска событий еще не выполнены.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения триггера , выберите параметр Использовать пользовательские пороговые значения , а затем настройте пороговые значения.

  • Добавьте дополнительные индикаторы: Индикаторы — это действия, которые должны выполняться пользователем, чтобы считаться рискованными. Если в политике выбрано не так много индикаторов (действий, которые считаются рискованными), то оповещение будет создаваться с меньшей вероятностью.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Индикаторы , а затем выберите другие индикаторы.

  • Более низкие пороговые значения индикаторов: После того как пользователи начнут оцениваться (имеют событие триггера), оповещение будет создано только для этих пользователей, если они выполняют действия, превышающие определенное пороговое значение, которое может указывать на риск их действия. Снижение пороговых значений индикаторов приведет к снижению порогового значения, которое пользователи должны превысить, чтобы создать оповещение.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения индикаторов , выберите параметр Настроить пороговые значения и задайте пороговые значения. Сведения о рекомендациях по пороговым значениям индикаторов

Слишком много оповещений для просмотра

Если вы получаете слишком много допустимых оповещений или имеете слишком много устаревших оповещений с низким риском, попробуйте выполнить следующие действия:

• Включите аналитику: Включение аналитики поможет быстро определить потенциальные области риска для пользователей и определить тип и область политик управления внутренними рисками, которые может потребоваться настроить.

  Инструкции: Перейдите в раздел Аналитика> параметров.

• Получите аналитические сведения в режиме реального времени: Вы также можете получить аналитические сведения из аналитики в режиме реального времени, если хотите воспользоваться преимуществами рекомендаций по пороговым значениям. Эти аналитические сведения помогут эффективно скорректировать выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики.

  Инструкции: См . раздел Использование аналитики в режиме реального времени для управления объемом оповещений.

• Настройте политики: Выбор и настройка правильной политики внутренних рисков — это самый простой метод для устранения типа и объема оповещений. Начиная с соответствующего шаблона политики , вы можете сосредоточиться на типах действий и оповещений о рисках, которые вы видите. Другие факторы, которые могут повлиять на объем оповещений, — это размер пользователя и групп в области, а также содержимое и каналы, которые имеют приоритет. Рассмотрите возможность корректировки политик, чтобы уточнить эти области с учетом наиболее важных для вашей организации.

  Инструкции: Выберите определенную политику на странице Политики , а затем выберите Изменить политику.

• Измените параметры внутренних рисков: Параметры внутренних рисков включают широкий спектр параметров конфигурации, которые могут повлиять на объем и типы получаемых оповещений. Обязательно просмотрите и изучите следующие параметры, чтобы отфильтровать шум оповещений:

  • Индикаторы политики и пороговые значения индикаторов
  • Глобальные исключения
  • Группы обнаружения
  • Варианты встроенных индикаторов
  • Интеллектуальные обнаружения
  • Временные интервалы политики

• Включите встроенную настройку оповещений: Включение встроенной настройки оповещений позволяет аналитикам и следователям быстро изменять политики при просмотре оповещений. Они могут обновлять пороговые значения для обнаружения действий с помощью рекомендаций Майкрософт, настраивать пользовательские пороговые значения или игнорировать тип действия, создавшего оповещение. Если это не включено, то только пользователи, назначенные группе ролей Управление внутренними рисками , могут использовать встроенную настройку оповещений.

  Инструкции: Перейдите в раздел Настройка встроенных оповещений>.

• Оповещение о массовом удалении, если применимо: Это может помочь сэкономить время рассмотрения для аналитиков и следователей, чтобы немедленно закрыть несколько оповещений в массовом режиме. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Управление ограничениями ресурсов в организации

Современные пользователи на рабочем месте часто имеют широкий спектр обязанностей и требований к своему времени. Существует несколько действий, которые можно предпринять для устранения ограничений ресурсов:

• В первую очередь сосредоточьтесь на оповещениях о самом высоком риске: В зависимости от политик вы можете записывать действия пользователей и создавать оповещения с различной степенью потенциального влияния на усилия по устранению рисков. Фильтрация оповещений по серьезности и определение приоритета для оповещений с высоким уровнем серьезности .
• Использование Microsoft Copilot. Вы можете использовать Microsoft Copilot в Microsoft Purview для создания сводки оповещения, даже не открывая его. Это может ускорить процесс рассмотрения.
• Назначение пользователей аналитиками и следователями: Назначение правильному пользователю соответствующих ролей является важной частью процесса проверки оповещений о внутренних рисках. Убедитесь, что вы назначили соответствующих пользователей группам ролей аналитиков управления внутренними рисками и следователей по управлению внутренними рисками .
• Используйте функции автоматизированных внутренних рисков для обнаружения действий с наибольшим риском:
  • Используйте обнаружение последовательности управления внутренними рисками и обнаружение совокупной кражи , чтобы быстро обнаруживать более сложные риски в организации.
  • Рассмотрите возможность точной настройки усилителей оценки риска и используйте глобальные исключения, группы обнаружения и варианты.
  • Тонкая настройка минимальных пороговых параметров индикатора для политик.

См. также

Изучение действий по управлению внутренними рисками