在内部风险管理中管理警报量的最佳做法

重要

Microsoft Purview 预览体验成员风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

查看、调查潜在有风险的预览体验成员警报并采取行动是最大程度地减少组织中内部成员风险的重要部分。 快速采取措施以最大程度地降低这些风险的影响，可能会为组织节省时间、金钱和法规或法律影响。 在此修正过程中，对于许多分析师和调查人员来说，查看警报的第一步似乎是最困难的任务。

本文提供了管理组织中警报量的最佳做法，以便不会有太多或太少的警报。 有关如何生成警报和警报管理工具的常规讨论，请参阅 调查内部风险活动。

无法查看的警报太少

如果收到的内部风险管理警报太少：

• 更新设置： 对设置所做的更改将全局应用于所有策略。

  • 启用更多指示器： 选择更多指示器会为策略提供更大的活动组来检测。

    如何：转到“设置策略指示器”>，然后启用所有可用和相关指标。

  • 调整“警报音量”滑块： 使用此滑块可查看所有中高严重性警报，以及大多数低严重性警报。 注意： 调整滑块可能会导致更多的误报。

    如何： 转到 “设置”“>智能检测>警报量”，然后将滑块移动到“ 更多警报”。

• 修改策略： 确定未生成足够警报的策略，然后考虑以下操作：

  • 增加策略中的用户覆盖率： 范围中包含少量用户的策略不太可能生成警报。 如果适用，请考虑增加策略范围内的用户数。

    如何： 在“ 策略 ”页上选择特定策略，选择“ 编辑策略”，然后转到 “用户和组” 页以增加范围内用户的数量。

  • 降低触发器阈值： 基于 数据泄漏 和 有风险的浏览器使用情况 (预览) 模板的策略允许自定义某些触发器阈值。 这些阈值定义何时开始检测用户活动。 如果降低触发器阈值，则会降低用户开始评估风险活动的条件。 注意： 如果用户未显示在 “用户和组 ”页中，则表示尚未满足触发事件条件。

    如何： 转到“ 策略 ”页上的特定策略，选择“ 编辑策略”，转到 “触发阈值 ”页，选择“ 使用自定义阈值 ”选项，然后调整阈值。

  • 添加更多指标： 指标是用户必须执行才能被视为有风险的活动。 如果没有许多指标 (在策略中选择) 被视为有风险的活动，则不太可能生成警报。

    如何： 转到“ 策略 ”页上的特定策略，选择“ 编辑策略”，转到 “指示器 ”页，然后选择“更多指示器”。

  • 较低的指示器阈值： 在用户开始进行评估 (具有触发事件) 后，仅当这些用户执行的活动高于特定阈值（可能表明其活动存在风险）时，才会为这些用户生成警报。 降低指示器阈值将降低用户必须超过的阈值才能生成警报。

    如何： 转到“ 策略 ”页上的特定策略，选择“ 编辑策略”，转到 “指示器阈值 ”页，选择“ 自定义阈值 ”选项，然后设置阈值。 了解指示器阈值建议

要查看的警报太多

如果收到过多的有效警报或有太多过时的低风险警报，请考虑执行以下操作：

• 启用分析： 启用分析有助于快速识别用户的潜在风险领域，并帮助确定可能需要配置的预览体验成员风险管理策略的类型和范围。

  如何： 转到 “设置>分析”。

• 获取实时见解： 如果想要利用阈值建议，还可以从分析中获取实时见解。 这些见解可帮助你有效地调整活动发生的指示器和阈值的选择，这样就不会收到太少或过多的策略警报。

  如何： 请参阅 使用实时分析来帮助管理警报量。

• 调整策略： 选择和配置正确的内部风险策略是解决警报类型和数量的最基本方法。 从适当的 策略模板 开始，有助于重点关注你看到的风险活动和警报的类型。 可能影响警报卷的其他因素包括范围内用户和组的大小，以及 优先处理的内容和频道。 请考虑调整策略，以将这些领域细化为对组织最重要的方面。

  如何： 在“策略”页上选择特定 策略 ，然后选择 “编辑策略”。

• 修改内部风险设置： 内部风险设置包括各种配置选项，这些选项可能会影响收到的警报的数量和类型。 请务必查看并了解以下设置，以筛选出警报噪音：

  • 策略指示器和指示器阈值
  • 全局排除项
  • 检测组
  • 内置指示器的变体
  • 智能检测
  • 策略时间范围

• 启用内联警报自定义： 启用 内联警报自定义 允许分析师和调查人员在查看警报时快速编辑策略。 他们可以使用Microsoft建议更新活动检测的阈值、配置自定义阈值，或选择忽略创建警报的活动类型。 如果未启用此功能，则只有分配给 Insider Risk Management 角色组的用户才能使用内联警报自定义。

  如何： 转到 “设置>内联警报自定义”。

• 批量删除警报（如果适用）： 它可能有助于节省分析师和调查人员立即批量 消除多个警报 的会审时间。 一次最多可以选择 400 个要消除的警报。

管理组织中的资源约束

现代工作场所用户通常对其时间负有各种责任和要求。 可以采取一些操作来帮助解决资源约束问题：

• 首先将分析师和调查人员的工作集中在风险最高的警报上： 根据策略，你可能会捕获用户活动并生成对风险缓解工作产生不同程度潜在影响的警报。 按严重性筛选警报，并确定高严重性警报的优先级。
• 使用 Microsoft Copilot：可以在 Microsoft Purview 中使用 Microsoft Copilot 来汇总警报，而无需打开警报。 这可以加快会审体验。
• 将用户分配为分析师和调查人员： 将适当的用户分配到适当的角色是内部风险警报评审过程的重要组成部分。 确保已将适当的用户分配给 Insider Risk Management 分析师 和 Insider Risk Management 调查员 角色组。
• 使用自动化内部风险功能来帮助发现最高风险活动：
  • 使用内部风险管理 序列检测 和 累积外泄检测 快速发现更难发现组织中的风险。
  • 考虑微调 风险评分提升器，并使用 全局排除项、 检测组和 变体。
  • 微调策略的最小指示器阈值设置 。

另请参阅

调查内部风险管理活动