Управление рабочим процессом с помощью панели мониторинга пользователей управления внутренними рисками
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Панель мониторинга "Пользователи" является важным инструментом в рабочем процессе управления внутренними рисками и помогает следователям и аналитикам получить более полное представление о действиях, связанных с рисками. Эта панель мониторинга предлагает представления и функции управления для удовлетворения административных потребностей между созданием политик управления внутренними рисками и управлением случаями управления внутренними рисками.
После добавления пользователей в политики управления внутренними рисками фоновые процессы автоматически оценивают действия пользователей для активации индикаторов. После активации индикаторов действиям пользователей назначаются оценки риска. Некоторые из этих действий могут привести к оповещению о внутренних рисках, но некоторые действия могут не соответствовать минимальному уровню оценки риска, и предупреждение о внутренних рисках не будет создано. Панель мониторинга "Пользователи" позволяет просматривать пользователей с такими индикаторами и оценками риска, а также пользователей с активными оповещениями о внутренних рисках.
Узнайте больше о том, как панель мониторинга "Пользователи" отображает пользователей в следующих сценариях:
- Пользователи с активными оповещениями политики внутренних рисков
- Пользователи с запускающими событиями
- Пользователи, идентифицированные как потенциальные пользователи с высоким уровнем влияния или в приоритетных группах пользователей
- Пользователи, временно добавленные в политики
Совет
Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.
Пользователи с активными оповещениями политики внутренних рисков
На панели мониторинга Пользователи автоматически отображаются все пользователи с активными оповещениями политики внутренних рисков. Эти пользователи с оповещениями имеют индикатор активации и оценку риска действий, которая соответствует требованиям для создания оповещения о внутренних рисках. Действия для этих пользователей можно просмотреть, выбрав пользователя на панели мониторинга Пользователи и перейдя на вкладку Действия пользователя .
Пользователи с запускающими событиями
На панели мониторинга Пользователи автоматически отображаются все пользователи с событиями активации, но у которых нет оценки риска действий, которая создаст оповещение о риске для внутренней оценки. Например, отображается пользователь с указанной датой отставки, так как это действие является событием активации, но не является действием с оценкой риска. Действия для этих пользователей можно просмотреть, выбрав пользователя на панели мониторинга Пользователи и перейдя на вкладку Действия пользователя .
Пользователи, временно добавленные в политики
Панель мониторинга Пользователи включает пользователей, добавленных в политики управления внутренними рисками после необычного события за пределами рабочего процесса управления внутренними рисками. Временное добавление пользователей (с панели мониторинга "Политики") также позволяет начать оценку действий пользователей для политики управления внутренними рисками для тестирования политики, даже если не настроен необходимый соединитель.
При добавлении пользователя в политику вручную его действия за предыдущие 90 дней оцениваются и добавляются на временную шкалу действий пользователя . Например, пользователю в настоящее время не назначены оценки риска для политики внутренних рисков, а о действиях утечки данных сообщается юридическому отделу вашей организации. Юридический отдел рекомендует настроить новые краткосрочные требования к обнаружению для пользователя. Вы можете временно назначить пользователя политике утечки данных на определенный период времени (окно активации). Все временно добавленные пользователи отображаются на панели мониторинга Пользователи , так как требования к событиям активации откнули.
Примечание.
Для отображения новых пользователей, добавленных вручную, на панели мониторинга пользователи может потребоваться несколько часов. Отображение действий этих пользователей за предыдущие 90 дней может занять до 24 часов. Чтобы просмотреть действия для пользователей, добавленных вручную, выберите пользователя на панели мониторинга Пользователи и откройте вкладку Действия пользователя в области сведений.
Пользователь автоматически удаляется из панели мониторинга Пользователи и оценка останавливается по истечении времени, определенного в окне активации , если:
- у пользователя нет дополнительных событий активации или оповещений политики внутренних рисков;
- Значение , если длительность окна активации , определяемая вручную, больше, чем длительность окна активации глобальной политики.
Параметр окна активации с максимальной длительностью всегда переопределяет параметр окна активации с более короткой длительностью. Например, вы настроили окно активации на вкладке Глобальные сроки политики в глобальных параметрах управления внутренними рисками на 15 дней, которое автоматически применяется ко всем политикам внутренних рисков.
Вы временно добавляете пользователя в политику внутренних рисков утечки данных и определяете 30 дней в качестве окна активации для этого пользователя. Глобальный параметр окна активации 15 дней переопределяется путем определения параметра окна активации 30 дней для временно добавленного пользователя. Временно добавленный пользователь останется на панели мониторинга Пользователи и будет находиться в области действия политики в течение 30 дней.
В противоположном сценарии, когда глобальный параметр окна активации длиннее, чем параметр окна активации , определенный для временно добавленного пользователя, глобальный параметр окна активации переопределяет параметр окна активации для временно добавленного пользователя. Временно добавленный пользователь останется на панели мониторинга Пользователи и будет находиться в области действия политики в течение количества дней, определенного в параметрах глобального окна активации .
Просмотр сведений о пользователе на панели мониторинга "Пользователи"
Каждый пользователь, отображаемый на панели мониторинга "Пользователи" , содержит следующие сведения:
- Пользователи: имя пользователя. Это поле является анонимным, если включен параметр глобальной анонимизации для управления внутренними рисками.
- Уровень серьезности оповещений: текущий вычисляемый уровень риска пользователя. Эта оценка вычисляется каждые 24 часа и использует оценки риска оповещений из всех активных оповещений, связанных с пользователем. Для пользователей с индикаторами активации уровень серьезности оповещений равен нулю.
- Активные оповещения: количество активных оповещений для всех политик.
- Подтвержденные нарушения: количество случаев, разрешенных как подтвержденное нарушение политики для пользователя.
- Вариант: текущий активный вариант для пользователя.
Чтобы быстро найти конкретного пользователя, используйте поиск в правом верхнем углу панели мониторинга Пользователи. При поиске пользователей необходимо использовать имя участника-пользователя (UPN). Например, при поиске пользователя с именем Tiara Hidayah с именем участника-пользователя thidayah в вашей организации необходимо ввести thidayah или часть имени участника-пользователя в поле Поиск.
Примечание.
Количество пользователей, отображаемых на панели мониторинга "Пользователи" , в некоторых случаях может быть ограничено в зависимости от объема активных оповещений и соответствующих политик. Пользователи с активными оповещениями отображаются на панели мониторинга Пользователи по мере создания оповещений, и в редких случаях достигается максимальное число отображаемых пользователей. Если это ограничение произойдет, пользователи с активными оповещениями, которые не отображаются, будут добавлены на панель мониторинга Пользователи по мере рассмотрения существующих оповещений пользователей.
Просмотр сведений о пользователе
Чтобы просмотреть дополнительные сведения о действиях с рисками для пользователя, откройте область сведений о пользователе, дважды щелкнув пользователя на панели мониторинга Пользователи. В области сведений можно просмотреть следующие сведения:
Вкладка "Профиль пользователя"
- Имя и заголовок: имя и должность пользователя из Идентификатора Microsoft Entra. Эти поля пользователя будут анонимизированы или пусты, если включен параметр глобальной анонимизации для управления внутренними рисками.
- Сведения о пользователе. Указывает, был ли пользователь определен как потенциальный пользователь с высоким уровнем влияния или находится ли пользователь в группах пользователей с приоритетом.
- Сводка по оповещениям и действиям: список активных оповещений пользователей и открытых обращений.
- Электронная почта пользователя: адрес электронной почты пользователя.
- Псевдоним: сетевой псевдоним для пользователя.
- Организация или отдел: организация или отдел для пользователя.
- В области: список назначений пользователей политикам в области.
Вкладка "Действия пользователя "
- Журнал последних действий пользователей: список индикаторов триггеров и индикаторов внутренних рисков для действий с рисками за последние 90 дней. Также оцениваются все действия, связанные с рисками, относящимися к индикаторам внутренних рисков, хотя эти действия могли или не могли создать оповещение о внутренних рисках. Примерами индикаторов может быть дата увольнения или последняя запланированная дата работы пользователя. Индикаторы внутренних рисков — это действия, которые определяются как элементы риска, которые могут привести к инциденту безопасности, и определяются в политиках, в которые включен пользователь. События и действия риска перечислены с самым последним элементом, перечисленным первым.
Использование Copilot для подведения итогов действий пользователей (предварительная версия)
Вы можете выбрать Суммировать с помощью Copilot в области сведений о пользователе, чтобы быстро свести итоги действий для пользователей, которые могут потребовать дальнейшего изучения. Когда вы суммируете действия, связанные с рисками пользователей с помощью Microsoft Copilot в Microsoft Purview, в правой части экрана появится панель Copilot с сводкой пользователя.
Сводка пользователя содержит важные сведения, такие как имя пользователя, заголовок, имя участника-пользователя, журнал оповещений и обращений, а также основные факторы риска. Основные факторы риска предоставляют важную информацию о ролях пользователей, разрешениях, участии в действиях по краже, последовательных шаблонах или любом необычном поведении. Это представление помогает определить пользователей, которые могут представлять самый высокий риск для вашей организации.
Предлагаемые запросы автоматически отображаются для дальнейшего уточнения сводки и предоставления дополнительных сведений о действиях, связанных с пользователем. Выберите один из следующих предложенных подсказок:
- Список всех действий по краже данных с участием этого пользователя.
- Перечисление всех последовательных действий с участием этого пользователя.
- Был ли пользователь вовлечен в какое-либо необычное поведение?
- Отображение ключевых действий, выполненных пользователем за последние 10 дней.
- Сводные данные о последних 30 днях активности пользователя.
Совет
Вы также можете использовать автономную версию Microsoft Copilot for Security для изучения управления внутренними рисками, защиты от потери данных (DLP) Microsoft Purview и оповещений XDR в Microsoft Defender.
Удаление пользователей из назначения политик в области
Могут возникать сценарии, в которых необходимо прекратить назначение оценок риска пользователю в политиках управления внутренними рисками. Используйте действие Остановить оценку для пользователей на панели мониторинга "Пользователи" , чтобы прекратить назначение оценки риска для пользователя из всех политик управления внутренними рисками, для которых они в настоящее время находятся. Это действие не удаляет пользователя из общего назначения политики (при добавлении пользователей или групп в конфигурацию политики), а просто удаляет пользователя из активной обработки политиками после текущих событий активации. Если в будущем у пользователя есть другое событие триггера, оценки риска из политик автоматически начнут назначаться пользователю снова. Все существующие оповещения или случаи для этого пользователя не будут удалены.
Удаление пользователя из состояния в области во всех политиках управления внутренними рисками
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.
- Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
- Перейдите к решению для управления внутренними рисками .
- Выберите Пользователи в области навигации слева.
- На панели мониторинга Пользователи выберите пользователей, для которого нужно остановить действие оценки.
- Выберите Остановить действие оценки для пользователей.
Примечание.
Удаление пользователя из состояния в области может занять несколько минут. После завершения пользователь не будет указан на панели мониторинга Пользователи. Если у удаленного пользователя есть активные оповещения или случаи, пользователь останется на панели мониторинга Пользователи , а сведения о пользователе покажут, что он больше не входит в область действия политики.
Выполнение автоматизированных задач с помощью потоков Power Automate для пользователя
Используя рекомендуемые потоки Power Automate, специалисты по рискам и аналитики могут быстро принять меры, чтобы уведомить пользователей о добавлении в политику внутренних рисков.
Чтобы запустить, управлять и создавать потоки Power Automate для пользователей управления внутренними рисками:
- Выберите Автоматизировать на панели инструментов действий пользователя.
- Выберите поток Power Automate для запуска, а затем выберите Запустить поток.
- После завершения потока нажмите кнопку Готово.
Дополнительные сведения о потоках Power Automate для управления внутренними рисками см. в статье Начало работы с параметрами управления внутренними рисками.