Рекомендации по управлению томом оповещений в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Проверка, исследование и использование потенциально рискованных внутренних оповещений — это важная часть минимизации внутренних рисков в организации. Когда вы быстро примете меры, чтобы свести к минимуму влияние этих рисков, вы можете сэкономить время, деньги и нормативные или юридические последствия для вашей организации. В этом процессе исправления первый шаг проверки оповещений может показаться наиболее сложной задачей для многих аналитиков и исследователей.

В этой статье приводятся рекомендации по управлению объемом оповещений в организации, чтобы не было слишком много или слишком мало оповещений. Общие сведения о создании оповещений и средствах для управления оповещениями см. в разделе Исследование действий, связанных с внутренними рисками.

Слишком мало оповещений для просмотра

Если вы получаете слишком мало оповещений об управлении внутренними рисками, попробуйте следующие решения:

• Обновите параметры: Изменения, внесенные в параметры, применяются глобально во всех политиках.

  • Включите дополнительные индикаторы: При выборе дополнительных индикаторов политики могут обнаружить большую группу действий.

    Инструкции: Перейдите в раздел Параметры Индикаторы>политики, а затем включите все доступные и соответствующие индикаторы.

  • Настройте ползунок Громкость оповещений: Используйте этот ползунок для просмотра всех оповещений средней и высокой серьезности, а также большинства оповещений с низким уровнем серьезности. Заметка: Настройка ползунка может привести к дополнительным ложным срабатываниям.

    Инструкции: Перейдите в раздел Параметры>Интеллектуальные обнаружения Том оповещений>, а затем переместите ползунок в раздел Дополнительные оповещения.

• Измените политику: Найдите политику, которая не создает достаточно оповещений, и рассмотрите следующие действия:

  • Увеличьте охват пользователей в политике: Политики с небольшим числом пользователей, включенных в область, с меньшей вероятностью создают оповещения. При необходимости рассмотрите возможность увеличения числа пользователей в область для политики.

    Инструкции: Выберите определенную политику на странице Политики, выберите Изменить политику, а затем перейдите на страницу Пользователи и группы, чтобы увеличить количество пользователей в область.

  • Понизите пороговые значения триггера: Для политик, основанных на шаблонах утечки данных и рискованном использовании браузера (предварительная версия), можно настроить некоторые пороговые значения триггеров. Эти пороговые значения определяют, когда вы начинаете обнаруживать действия пользователей. При снижении пороговых значений триггера снижается условие, чтобы пользователь начал оценивать рискованные действия. Заметка: Если пользователь не отображается на странице Пользователи и группы , это означает, что условия запуска событий еще не выполнены.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения триггера , выберите параметр Использовать пользовательские пороговые значения , а затем настройте пороговые значения.

  • Добавьте дополнительные индикаторы: Индикаторы — это действия, которые должны выполняться пользователем, чтобы считаться рискованными. Если в политике выбрано не так много индикаторов (действий, которые считаются рискованными), то оповещение будет создаваться с меньшей вероятностью.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Индикаторы , а затем выберите другие индикаторы.

  • Более низкие пороговые значения индикаторов: После того как пользователи начнут оцениваться (имеют событие триггера), оповещение создается только в том случае, если они выполняют действия с превышением определенного порогового значения, которое может указывать на рискованные действия. При снижении пороговых значений индикатора снижается пороговое значение, которое пользователи должны превысить для создания оповещения.

    Инструкции: Перейдите к определенной политике на странице Политики , выберите Изменить политику, перейдите на страницу Пороговые значения индикаторов , выберите параметр Настроить пороговые значения и задайте пороговые значения. Сведения о рекомендациях по пороговым значениям индикаторов

Слишком много оповещений для просмотра

Если вы получаете слишком много допустимых оповещений или имеете слишком много устаревших оповещений с низким риском, попробуйте выполнить следующие действия:

• Включите аналитику: При включении аналитики можно быстро определить потенциальные области риска для пользователей. Аналитика помогает определить тип и область политик управления внутренними рисками, которые может потребоваться настроить.

  Инструкции: Перейдите в раздел Аналитика> параметров.

• Получите аналитические сведения в режиме реального времени: Если вы хотите воспользоваться преимуществами рекомендаций по пороговым значениям, получите аналитические сведения в режиме реального времени из аналитики. Эти аналитические сведения помогут эффективно скорректировать выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики.

  Инструкции: См . раздел Использование аналитики в режиме реального времени для управления объемом оповещений.

• Настройте политики: Самый простой метод для решения типа и объема оповещений — выбор и настройка правильной политики внутренних рисков. Начиная с соответствующего шаблона политики вы можете сосредоточиться на типах действий и оповещений о рисках, которые вы видите. Другие факторы, которые могут повлиять на объем оповещений, — это размер область пользователя и групп, а также содержимое и каналы, для которых вы отдаете приоритет. Рассмотрите возможность корректировки политик, чтобы уточнить эти области с учетом наиболее важных для вашей организации.

  Инструкции: Выберите определенную политику на странице Политики , а затем щелкните Изменить политику.

• Измените параметры внутренних рисков: Параметры внутренних рисков включают широкий спектр параметров конфигурации, которые могут повлиять на объем и типы получаемых оповещений. Просмотрите и изучите следующие параметры, чтобы отфильтровать шум оповещений:

  • Индикаторы политики и пороговые значения индикаторов
  • Глобальные исключения
  • Группы обнаружения
  • Варианты встроенных индикаторов
  • Интеллектуальные обнаружения
  • Временные интервалы политики

• Включите встроенную настройку оповещений: При включении встроенной настройки оповещений аналитики и следователи могут быстро изменять политики при просмотре оповещений. Они могут обновлять пороговые значения для обнаружения действий с помощью рекомендаций Майкрософт, настраивать пользовательские пороговые значения или игнорировать тип действия, создавшего оповещение. Если этот параметр не включен, только пользователи, назначенные группе ролей Управление внутренними рисками , могут использовать встроенную настройку оповещений.

  Инструкции: Перейдите в раздел Настройка встроенных оповещений>.

• Оповещение о массовом удалении, если применимо: Чтобы сэкономить время на рассмотрение для аналитиков и следователей, рассмотрите возможность немедленного закрытия нескольких оповещений в массовом режиме. Вы можете выбрать до 400 оповещений для одновременного закрытия.

Управление ограничениями ресурсов в организации

Современные пользователи на рабочем месте часто имеют широкий спектр обязанностей и требований к своему времени. Чтобы устранить ограничения ресурсов, выполните следующие действия:

• В первую очередь сосредоточьтесь на оповещениях о самом высоком риске: В зависимости от политик вы можете записывать действия пользователей и создавать оповещения с различной степенью потенциального влияния на усилия по устранению рисков. Фильтрация оповещений по серьезности и определение приоритета для оповещений с высоким уровнем серьезности .
• Использование Microsoft Copilot. Вы можете использовать Microsoft Copilot в Microsoft Purview для создания сводки оповещений, даже не открывая его. Такой подход может ускорить процесс рассмотрения.
• Назначение пользователей аналитиками и следователями: Назначение правильному пользователю соответствующих ролей является важной частью процесса проверки оповещений о внутренних рисках. Убедитесь, что вы назначили соответствующих пользователей группам ролей аналитиков управления внутренними рисками и следователей по управлению внутренними рисками .
• Используйте функции автоматизированных внутренних рисков для обнаружения действий с наибольшим риском:
  • Используйте обнаружение последовательности управления внутренними рисками и накопительное обнаружение кражи , чтобы быстро обнаруживать риски в организации.
  • Рассмотрите возможность точной настройки усилителей оценки риска и используйте глобальные исключения, группы обнаружения и варианты.
  • Тонкая настройка минимальных пороговых параметров индикатора для политик.

См. также

Изучение действий по управлению внутренними рисками