Поделиться через

Настройка интеллектуальных обнаружений в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Примечание.

Глобальные параметры исключений, ранее включенные в параметр Интеллектуальные обнаружения, теперь отображаются в параметре Глобальные исключения (предварительная версия).

Используйте параметр Интеллектуальное обнаружение в Управление внутренними рисками Microsoft Purview, чтобы:

  • Повысьте оценку необычных действий по скачиванию файлов, введя минимальное количество ежедневных событий.
  • Увеличьте или уменьшите объем и распределение оповещений высокого, среднего и низкого уровня.
  • Импорт и фильтрация оповещений Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов управления внутренними рисками.
  • Укажите не разрешенные домены, чтобы повысить оценку риска для потенциально рискованных действий.
  • Укажите сторонние домены для создания оповещений о потенциально рискованных действиях загрузки.

Обнаружение действий файлов

Используйте этот раздел, чтобы указать количество ежедневных событий, необходимых для повышения оценки риска для действий скачивания, которые нетипично для пользователя. Например, если ввести "25", а пользователь в среднем за последние 30 дней скачивает 10 файлов, но политика обнаружит, что за один день было загружено 20 файлов, оценка этого действия не будет увеличена, даже если это необычно для этого пользователя, так как количество файлов, скачанных в этот день, меньше 25.

Том оповещений

Политики внутренних рисков присваивают определенную оценку риска потенциально рискованным действиям, которые они обнаруживают. Эта оценка риска определяет уровень серьезности оповещений: низкий, средний или высокий. По умолчанию управление внутренними рисками создает определенное количество оповещений с низким, средним и высоким уровнем серьезности. Вы можете увеличить или уменьшить объем оповещений определенного уровня в соответствии с вашими потребностями.

Чтобы настроить объем оповещений для всех политик управления внутренними рисками, выберите один из следующих параметров:

  • Меньше оповещений: отображаются все оповещения с высоким уровнем серьезности, меньше оповещений со средним уровнем серьезности и нет оповещений с низким уровнем серьезности. При выборе этого параметра вы можете пропустить некоторые положительные метрики.
  • Том по умолчанию. Отображаются все оповещения с высоким уровнем серьезности и сбалансированное количество оповещений средней и низкой серьезности.
  • Дополнительные оповещения. Отображаются все оповещения средней и высокой серьезности, а также большинство оповещений с низким уровнем серьезности. Этот параметр может привести к дополнительным ложным срабатываниям.

Microsoft Defender для конечной точки состояния оповещений

Важно!

Чтобы импортировать оповещения о нарушениях безопасности, необходимо настроить Microsoft Defender для конечной точки в организации и включить интеграцию Defender для конечной точки для управления внутренними рисками в Центре безопасности Defender. Дополнительные сведения о настройке интеграции Defender для конечной точки для управления внутренними рисками см . в статье Настройка дополнительных функций в Defender для конечной точки.

Microsoft Defender для конечной точки — это платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы корпоративных сетей. Чтобы улучшить видимость нарушений безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов политик нарушения безопасности управления внутренними рисками.

В зависимости от типа интересующих вас сигналов можно импортировать оповещения в службу управления внутренними рисками на основе состояния рассмотрения оповещений Defender для конечной точки. Вы можете определить одно или несколько из следующих состояний рассмотрения оповещений в глобальных параметрах для импорта:

  • Unknown
  • Создать
  • Выполняется
  • Устранено

Оповещения из Defender для конечной точки импортируются ежедневно. В зависимости от выбранного состояния рассмотрения вы можете увидеть несколько действий пользователей для того же оповещения, что и изменение состояния рассмотрения в Defender для конечной точки.

Например, если для этого параметра выбраны пункты Создать, Выполняется и Разрешено, то при создании оповещения Microsoft Defender для конечной точки и состоянии "Новое", для пользователя в разделе Управление внутренними рисками будет импортировано действие первоначального оповещения. Когда состояние рассмотрения Defender для конечной точки меняется на Выполняется, импортируется второе действие для этого оповещения. Когда задается окончательное состояние рассмотрения Defender для конечной точки Resolved , импортируется третье действие для этого оповещения. Эта функция позволяет следователям следить за развитием оповещений Defender для конечной точки и выбирать уровень видимости, необходимый для их исследования.

Домены

Чтобы повысить уровень обнаружения, укажите неуправляемые и сторонние домены:

  • Не разрешенные домены: При указании не разрешенного домена действия по управлению рисками, происходящие с этим доменом, имеют более высокую оценку риска. При необходимости используйте его в качестве параметра в триггерах политики. Например, может потребоваться указать действия, связанные с предоставлением общего доступа к содержимому (например, отправка электронной почты кому-либо с gmail.com адресом), или действия, связанные с загрузкой содержимого на устройство из не разрешенного домена. Можно добавить до 500 не разрешенных доменов.
  • Сторонние домены: Если ваша организация использует сторонние домены в бизнес-целях (например, облачное хранилище), включите их в раздел Сторонние домены для получения оповещений о потенциально рискованных действиях, связанных с индикатором устройства Используйте браузер для скачивания содержимого со стороннего сайта. Можно добавить до 500 сторонних доменов.

Совет

Вы также можете указать домены, которые будут исключены из оценки политиками управления внутренними рисками.

Добавление не разрешенного домена

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам Управление внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.

  4. Прокрутите вниз до раздела Не разрешенные домены и выберите Добавить домены.

  5. Введите домен.

    Совет

    Чтобы добавить несколько доменов одновременно, импортируйте их как CSV-файл, выбрав Импорт доменов из CSV-файла на предыдущей странице.

  6. Чтобы включить все поддомены в введенном домене, установите флажок Включить многоуровневые поддомены .

    Примечание.

    Используйте подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com", чтобы сопоставить эти поддомены (и любой другой поддомен на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, установите флажок Включить многоуровневые поддомены .

  7. Нажмите клавишу ВВОД. Повторите этот процесс для каждого домена, который вы хотите добавить.

  8. Выберите Добавить домены.

Добавление стороннего домена

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы, а затем выберите Управление внутренними рисками , чтобы перейти к параметрам Управление внутренними рисками.

  3. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.

  4. Прокрутите вниз до раздела Сторонние домены и выберите Добавить домены.

  5. Введите домен.

    Совет

    Чтобы добавить несколько доменов одновременно, импортируйте их как CSV-файл, выбрав Импорт доменов из CSV-файла на предыдущей странице.

  6. Чтобы включить все поддомены в введенном домене, установите флажок Включить многоуровневые поддомены .

    Примечание.

    Используйте подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com", чтобы сопоставить эти поддомены (и любой другой поддомен на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, установите флажок Включить многоуровневые поддомены .

  7. Нажмите клавишу ВВОД. Повторите этот процесс для каждого домена, который вы хотите добавить.

  8. Выберите Добавить домены.

  • Last updated on