使用内部风险管理用户仪表板管理工作流

重要

Microsoft Purview 预览体验成员风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

“用户”仪表板是内部风险管理工作流中的一个重要工具,可帮助调查人员和分析师更全面地了解风险活动。 此仪表板提供视图和管理功能,以满足创建内部风险管理策略和管理内部风险管理案例之间的管理需求。

将用户添加到内部风险管理策略后,后台进程会自动评估用户活动以 触发指标。 触发指示器出现后,会为用户活动分配风险分数。 其中一些活动可能会导致内部风险警报,但某些活动可能不符合最低风险分数级别,并且不会创建内部风险警报。 使用 “用户”仪表板 可以查看具有这些指标和风险分数的用户,以及具有活动内部风险警报的用户。

详细了解“用户”仪表板在以下方案中如何显示用户:

  • 具有活动内部风险策略警报的用户
  • 具有触发事件的用户
  • 被标识为潜在高影响用户或优先用户组的用户
  • 临时添加到策略的用户

提示

开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security

具有活动内部风险策略警报的用户

用户”仪表板 会自动显示具有活动内部风险策略警报的所有用户。 这些具有警报的用户具有触发指示器和活动风险分数,满足创建内部风险警报的要求。 通过在“用户 ”仪表板 中选择用户并导航到“用户活动”选项卡来查看这些 用户的活动

具有触发事件的用户

“用户”仪表板会自动显示具有触发事件的所有用户,但该用户没有创建内部风险警报的活动风险分数。 例如,显示报告了辞职日期的用户,因为此活动是触发事件,但不是具有风险评分的活动。 通过在“用户 ”仪表板 中选择用户并导航到“用户活动”选项卡来查看这些 用户的活动

临时添加到策略的用户

用户”仪表板 包括在内部风险管理工作流之外发生异常事件后添加到内部风险管理策略的用户。 从策略仪表板) 暂时添加用户 (也是开始为内部风险管理策略的用户活动评分的一种方法,即使未配置所需的连接器也是如此。

手动将用户添加到策略时,系统会对前 90 天的用户活动进行评分,并将其添加到 用户活动 时间线。 例如,用户当前未获得内部风险策略的风险评分,并且该用户向组织中的法律部门报告了数据泄露活动。 法律部门建议为用户配置新的短期检测要求。 可以在激活时段) (指定时间内暂时将用户分配到 数据泄漏 策略。 暂时添加的所有用户都显示在 “用户”仪表板 中,因为免除了触发事件要求。

注意

手动添加的新用户可能需要几个小时才能显示在 “用户”仪表板中。 过去 90 天内这些用户的活动可能需要多达 24 小时才能显示。 若要查看手动添加的用户的活动,请在“ 用户”仪表板上选择该用户 ,然后在详细信息窗格上打开“ 用户活动 ”选项卡。

如果出现以下情况,则用户会自动从 “用户”仪表板 中删除,并在 “激活”窗口中 定义的时间过期时停止评分:

  • 用户没有任何额外的触发事件或内部风险策略警报,并且
  • 如果手动定义的 激活窗口 持续时间长于全局策略 激活时段 持续时间,则为 。

持续时间最长的 激活窗口 设置始终覆盖持续时间较短的 激活窗口 设置。 例如,你已在内部风险管理全局设置中的全局策略时间范围选项卡上配置了 15 天的激活窗口,该窗口会自动应用于所有内部风险策略。

暂时将用户添加到 数据泄露 内部风险策略,并将 30 天定义为此用户的 激活时段 。 通过为临时添加的用户定义 30 天的激活 窗口 设置,将覆盖全局 激活窗口 设置为 15 天。 临时添加的用户将保留在 “用户”仪表板 中,并在策略范围内保留 30 天。

在全局 激活窗口 设置比为临时添加的用户定义的 激活窗口 设置长的情况下,全局 激活窗口 设置将替代临时添加用户的 激活窗口 设置。 临时添加的用户将保留在 “用户”仪表板 中,并且位于策略范围内,其天数在全局 激活窗口 设置中定义。

在“用户”仪表板上查看用户信息

用户”仪表板 中显示的每个用户都有以下信息:

  • 用户:用户的用户名。 如果启用了内部风险管理的全局匿名设置,则此字段是匿名的。
  • 警报严重性级别:用户当前计算的风险级别。 此分数每 24 小时计算一次,并使用与用户关联的所有活动警报中的警报风险分数。 对于仅具有触发指示器的用户,警报严重性级别为零。
  • 活动警报:所有策略的活动警报数。
  • 已确认的冲突:已解决的用户已 确认违反策略 的情况数。
  • 案例:用户的当前活动案例。

若要快速查找特定用户,请使用“用户”仪表板右上角的 “搜索 ”。 搜索用户时,必须使用用户主体名称 (UPN) 。 例如,搜索组织中 UPN 为“thidayah”的名为“Tiara Hidayah”的用户时,会在 搜索中输入“thidayah”或 UPN 的某个部分。

内部风险管理用户仪表板

注意

在某些情况下, “用户”仪表板 上显示的用户数可能会受到限制,具体取决于活动警报和匹配策略的数量。 生成警报时,具有活动警报的用户将显示在 “用户”仪表板 上,在极少数情况下,可能会达到显示的最大用户数。 如果达到此限制,则会将具有未显示的活动警报的用户添加到 “用户”仪表板 ,因为现有用户警报将进行会审。

查看用户详细信息

若要查看有关用户风险活动的更多详细信息,请在“用户”仪表板中双击用户,打开 “用户详细信息”窗格。 在详细信息窗格中,可以查看以下信息:

  • “用户配置文件 ”选项卡

    • 名称和标题:用户的名称和位置标题Microsoft Entra ID。 如果启用了内部风险管理的全局匿名设置,这些用户字段将匿名或为空。
    • 用户详细信息:列出用户是否已被标识为潜在高影响用户,或者用户是否在优先用户组中。
    • 警报和活动摘要:列出活动用户警报和未结案例。
    • 用户电子邮件:用户的电子邮件地址。
    • 别名:用户的网络别名。
    • 组织或部门:用户的组织或部门。
    • 范围中:列出用户到策略的范围内分配。
  • “用户活动 ”选项卡

    • 最近用户活动的历史记录:列出过去 90 天内的风险活动的触发指标和内部风险指标。 与内部风险指标相关的所有风险活动也会进行评分,但这些活动可能已生成内部风险警报,也可能未生成内部风险警报。 触发指示器示例可以是辞职日期或用户上次计划的工作日期。 内部风险指标是确定为具有风险元素的活动,这可能导致安全事件,并在用户包含在的策略中定义。 事件和风险活动将首先列出最新项。

使用 Copilot 汇总用户活动 (预览)

可以在“用户详细信息”窗格中选择“ 使用 Copilot 汇总 ”,快速汇总可能需要进一步调查的用户的活动。 在 Microsoft Purview 中使用 Microsoft Copilot 汇总用户风险活动时,屏幕右侧会显示一个 Copilot 窗格,其中包含用户摘要。

“内部风险管理 Copilot”按钮

用户摘要包括基本详细信息,例如用户名、标题、用户主体名称、警报和案例历史记录,以及主要风险因素。 首要风险因素提供有关用户角色、权限、参与外泄活动、顺序模式或任何异常行为的重要见解。 此视图有助于识别可能对组织构成最高内部风险的用户。

系统会自动列出建议的提示,以帮助进一步优化摘要,并帮助为与用户关联的活动提供其他见解。 从以下建议的提示中进行选择:

  • 列出涉及此用户的所有数据外泄活动
  • 列出涉及此用户的所有顺序活动
  • 用户是否参与任何异常行为?
  • 显示用户在过去 10 天内执行的关键操作
  • 汇总用户过去 30 天的活动

从作用域内分配策略中删除用户

在某些情况下,可能需要停止将风险分数分配给内部风险管理策略中的用户。 使用“用户”仪表板上的“停止用户评分”活动,停止从用户当前范围内的所有内部风险管理策略中为用户分配风险评分。 在将用户或组添加到策略配置) 时,此操作不会将用户从整体策略分配 (中删除,而只会在当前触发事件后将用户从策略的活动处理中删除。 如果用户将来有另一个触发事件,策略的风险评分将自动开始再次分配给用户。 不会删除此用户的任何现有警报或案例。

在所有内部风险管理策略中将用户从作用域内状态中删除

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规性门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 用户 ”。
  4. “用户”仪表板上,选择要停止其评分活动的用户 () 。
  5. 选择 “停止用户的评分活动”。

注意

从范围内状态中删除用户可能需要几分钟时间。 完成后,用户将不会在 “用户”仪表板上列出。 如果已删除的用户具有活动警报或案例,则用户将保留在 “用户”仪表板 上,并且用户详细信息将显示他们不再在策略范围内。

使用 Power Automate 流为用户运行自动化任务

使用建议的 Power Automate 流,风险调查人员和分析师可以快速采取措施,在用户添加到内部风险策略时通知用户。

若要为内部风险管理用户运行、管理和创建 Power Automate 流,请执行以下操作:

  1. 在用户操作工具栏上选择“ 自动 ”。
  2. 选择要运行的 Power Automate 流,然后选择“ 运行流”。
  3. 流完成后,选择“ 完成”。

若要详细了解用于内部风险管理的 Power Automate 流,请参阅 预览体验成员风险管理设置入门