在內部風險管理中設定智慧型手機偵測

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號，以識別潛在的惡意或意外內部風險，例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置，用戶預設會以假名化，且已備妥角色型訪問控制和稽核記錄，以協助確保用戶層級隱私權。

您可以使用 Microsoft Purview 內部風險管理 中的智慧型手機偵測設定來設定全域排除專案。 例如，您可能想要排除特定文件類型或網域，而不會針對風險進行評分。 您也可以使用智慧型手機偵測設定來調整警示數量或匯入 適用於端點的 Microsoft Defender 警示。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

忽略預覽 (的電子郵件簽章附件)

內部風險管理原則中「雜訊」的主要來源之一是電子郵件簽章中的影像，這些影像通常會在電子郵件中偵測為附件。 這可能會導致使用者透過電子郵件傳送潛在機密檔案的誤判。 如果選取 [傳 送含有附件的電子郵件給組織外部收件者 ] 指示器，則會像組織外部傳送的任何其他電子郵件附件一樣來評分附件，即使附件中的唯一事項是電子郵件簽章也一樣。 在此情況下，您可以開啟 [忽略電子郵件簽章附件] 設定，以排除電子郵件 簽章附件的 評分。

開啟此設定可大幅消除電子郵件簽章附件的雜訊，但不會完全消除所有雜訊。 這是因為只有 電子郵件寄件者的電子郵件 簽章附件 (起始電子郵件或回復電子郵件) 的人員會排除在評分之外。 To、CC 或 BCC 行上任何人的簽章附件仍會進行評分。 此外，如果有人變更其電子郵件簽章，則必須分析新的簽章，這可能會在短時間內造成警示雜訊。

注意事項

[ 忽略電子郵件簽章附件 ] 設定預設為關閉。

檔案活動偵測

若要從所有內部風險管理原則比對中排除特定文件類型，請輸入以逗號分隔的檔類型擴展名。 例如，若要從原則相符專案中排除特定類型的音樂檔案，請在 [檔類型排除] 字段中輸入 aac、mp3、wav、wma。 所有內部風險管理原則都會忽略具有這些擴展名的檔案。

警示磁碟區

測試人員風險原則偵測到的潛在風險活動會獲指派特定的風險分數，進而決定警示嚴重性 (低、中、高) 。 根據預設，內部風險管理會產生特定數量的低、中和高嚴重性警示，但您可以增加或減少磁碟區以符合您的需求。

若要調整所有內部風險管理原則的警示數量，請選擇下列其中一個設定：

• 較少的警示：您會看到所有高嚴重性警示、較少的中度嚴重性警示，以及沒有低嚴重性警示。 如果您選擇此設定層級，可能會遺漏一些真正的肯定。
• 默認數量：您會看到所有高嚴重性警示，以及平衡的中嚴重性和低嚴重性警示數量。
• 更多警示：您會看到所有中嚴重性和高嚴重性警示，以及最低嚴重性的警示。 此設定層級可能會導致更多誤判。

適用於端點的 Microsoft Defender 警示狀態

重要事項

您必須在組織中設定 適用於端點的 Microsoft Defender，並在 Defender 資訊安全中心啟用適用於端點的 Defender 內部風險管理整合，以匯入安全性違規警示。 如需關於設定內部風險管理整合的 Defender for Endpoint 的詳細資訊，請參閱在 Defender for Endpoint 中設定進階功能。

適用於端點的 Microsoft Defender 是企業端點安全性平臺，其設計目的是協助企業網路預防、偵測、調查及回應進階威脅。 若要更清楚地了解組織中的安全性違規，您可以匯入並篩選適用於端點的 Defender 警示，以瞭解從內部風險管理安全性違規原則範本建立之原則中所使用的活動。

根據您感興趣的訊號類型，您可以選擇根據適用於端點的 Defender 警示分級狀態，將警示匯入內部風險管理。 您可以在要匯入的全域設定中定義下列一或多個警示分級狀態：

• Unknown
• 新增
• 進行中。
• Resolved

每天會匯入適用於端點的Defender警示。 根據您選擇的分級狀態，您可能會看到多個用戶活動，其警示與適用於端點的 Defender 中的分級狀態變更相同。

例如，如果您針對此設定選取 [新增]、[進行中] 和 [已解決]，當產生 適用於端點的 Microsoft Defender 警示且狀態為 [新增] 時，就會為測試人員風險管理中的使用者匯入初始警示活動。 當適用於端點的 Defender 分級狀態變更為 [ 進行中] 時，會匯入此警示的第二個活動。 當最終的適用於端點的Defender分級狀態設定為 [ 已解決 ] 時，會匯入此警示的第三個活動。 這項功能可讓調查人員追蹤適用於端點的 Defender 警示進度，並選擇其調查所需的可見度層級。

網域

網域設定可協助您定義特定網域的風險管理活動風險層級。 這些活動包括共用檔案、傳送電子郵件訊息、下載內容或上傳內容。 藉由在這些設定中指定網域，您可以增加或減少這些網域所發生風險管理活動的風險評分。

使用 [新增網域] 來定義每個網域設定的網域。 此外，您可以使用通配符來協助比對根域或子域的變化。 例如，若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com，請使用通配符專案 『*.wingtiptoys.com』 來比對這些子域 (和相同層級的任何其他子域) 。 若要指定根域的多層級子域，您必須選取 [ 包含多層級子域 ] 複選框。

針對下列每個網域設定，您最多可以輸入 500 個網域：

• 不允許的網域： 當您指定不允許的網域時，使用該網域進行的風險管理活動會有 較高的 風險分數。 例如，您可能想要指定涉及與某人共用內容的活動 (例如傳送電子郵件給具有 gmail.com 位址的人) 或涉及使用者從不允許的網域將內容下載到裝置的活動。

• 允許的網域： 與 [允許的網域 ] 中指定的網域相關的風險管理活動，將會被您的原則忽略，而且不會產生警示。 這些活動包括：

  • Email 傳送至外部網域
  • 與外部網域共用的檔案、資料夾和網站
  • 使用 Microsoft Edge 瀏覽器 (上傳至外部網域的檔案)

  當您指定允許的網域時，該網域的風險管理活動會被視為類似處理內部組織活動的方式。 例如，[ 允許的網域] 中新增的網域 可能包含與組織外部人員共用內容的活動 (例如傳送電子郵件給具有 gmail.com 位址) 的人員。

• 第三方網域： 如果您的組織針對商務用途使用第三方網域， (例如雲端記憶體) ，請將它們納入此處，讓您可以收到與裝置指標相關的潛在風險活動警示 使用瀏覽器從第三方網站下載內容。

檔案路徑排除

當您指定要排除的檔案路徑時，對應至特定指標且發生在這些檔案路徑位置的用戶活動將不會產生原則警示。 範例包括將檔案複製或移動到系統資料夾或網路共享路徑。 您最多可以輸入 500 個檔案路徑來排除。

新增要排除的檔案路徑

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 選取頁面右上角的 [ 設定 ] 按鈕。
3. 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
4. 在 [測試人員風險設定] 下，選取 [智能型偵測]。
5. 在 [ 檔案路徑排除 ] 區段中，選取 [ 新增要排除的檔案路徑]。
6. 在 [ 新增檔案路徑] 窗格中，輸入確切的網路共用或裝置路徑，以排除風險評分。

您也可以使用 * 和 * ([0-9]) 來表示要排除的特定和通配符資料夾和子資料夾。 如需詳細資訊，請參閱下列範例。

範例	描述
\\ms.temp\LocalFolder\ 或 C：\temp	從輸入的前置詞開始，針對每個檔案路徑排除資料夾下方的檔案和所有子資料夾。
\public\local\	從包含所輸入值的每個檔案路徑中排除檔案。 符合 'C：\Users\Public\local\'、'C：\Users\User1\Public\local' 和 '\\ms.temp\Public\local'。
C：\Users\*\Desktop	符合 'C：\Users\user1\Desktop' 和 'C：\Users\user2\Desktop'。
C：\Users\* (2) \Desktop	符合 'C：\Users\user1\Desktop' 和 'C：\Users\user2\Shared\Desktop'。

7. 選取 [新增檔案路徑]。

合規性入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 移至 [設定智慧型>偵測]。
4. 在 [ 檔案路徑排除] 區段中，選取 [ 新增要排除的檔案路徑]。
5. 在 [ 新增檔案路徑] 窗格中，輸入確切的網路共用或裝置路徑，以排除風險評分。

您也可以使用 * 和 * ([0-9]) 來表示要排除的特定和通配符資料夾和子資料夾。 如需詳細資訊，請參閱下列範例。

範例	描述
\\ms.temp\LocalFolder\ 或 C：\temp	從輸入的前置詞開始，針對每個檔案路徑排除資料夾下方的檔案和所有子資料夾。
\public\local\	從包含所輸入值的每個檔案路徑中排除檔案。 符合 'C：\Users\Public\local\'、'C：\Users\User1\Public\local' 和 '\\ms.temp\Public\local'。
C：\Users\*\Desktop	符合 'C：\Users\user1\Desktop' 和 'C：\Users\user2\Desktop'。
C：\Users\* (2) \Desktop	符合 'C：\Users\user1\Desktop' 和 'C：\Users\user2\Shared\Desktop'。

6. 選取 [新增檔案路徑]。

注意事項

若要刪除檔案路徑排除，請選取檔案路徑排除，然後選取 [ 刪除]。

默認檔案路徑排除專案

根據預設，數個檔案路徑會自動從產生原則警示中排除。 這些檔案路徑中的活動通常是良性的，而且可能會增加無法採取動作的警示數量。 如有需要，您可以取消這些預設檔案路徑排除的選取專案，以啟用這些位置中活動的風險評分。

預設檔案路徑排除專案包括：

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

這些路徑中的通配符表示排除範圍中包含 \Users 和 \AppData 之間的所有資料夾層級。 例如， C：\Users\Test1\AppData\Local 和 C：\Users\Test2\AppData\Local、 C：\Users\Test3\AppData\Local (等) 的活動都會包含在內，且不會在 \Users\*\AppData\Local 排除範圍中針對風險評分。

預覽) (敏感性資訊類型排除專案

排除 的敏感性資訊類型 會對應至涉及端點、SharePoint、Teams、OneDrive 和 Exchange 檔案相關活動的指標和觸發程式。 這些排除的類型會被視為非敏感性信息類型。 如果檔案包含在本節中識別出的任何敏感性資訊類型，則檔案會有風險評分，但不會顯示為涉及敏感性資訊類型相關內容的活動。 如需敏感性資訊類型的完整清單，請參閱 敏感性資訊類型實體定義。

您可以從租使用者中可用的所有可用 (和自訂) 類型清單中選取要排除的敏感性資訊類型。 您可以選擇最多 500 個要排除的敏感性資訊類型。

注意事項

敏感性資訊類型的排除清單優先於 優先順序內容 清單。

排除敏感性信息類型

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 選取頁面右上角的 [ 設定 ] 按鈕。
3. 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
4. 在 [測試人員風險設定] 下，選取 [智能型偵測]。
5. 在 [ 敏感性資訊類型] 區段中，選取 [新增要排除的敏感性資訊類型]。
6. 在 [ 新增或編輯敏感性信息類型 ] 窗格中，選取您要排除的類型。
7. 選取 新增。

合規性入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 移至 [設定智慧型>偵測]。
4. 在 [ 敏感性資訊類型] 區段中，選取 [新增要排除的敏感性資訊類型]。
5. 在 [ 新增或編輯敏感性信息類型 ] 窗格中，選取您要排除的類型。
6. 選取 新增。

注意事項

若要刪除敏感性資訊類型排除，請選取排除範圍，然後選取 [ 刪除]。

可訓練分類器排除 (預覽)

排除 的可訓練分類器會 對應至涉及 SharePoint、Teams、OneDrive 和 Exchange 檔案相關活動的指標和觸發程式。 如果有任何檔案包含本節中識別出的任何可訓練分類器，則檔案會有風險評分，但不會顯示為與可訓練分類器相關內容的活動。 如需預先定型分類器的完整清單，請參閱 可訓練分類器定義。

您可以從租使用者中可用的所有可用 (和自訂) 類型清單中選取要排除的可訓練分類器。 根據預設，內部風險管理會排除一些可訓練的分類器，包括威脅、粗話、針對性攻擊、冒犯性語言和辨識。 您可以選擇最多 500 個可訓練分類器來排除。

注意事項

您可以選擇選擇要包含在 優先順序內容 清單中的可訓練分類器。

排除可訓練分類器

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 選取頁面右上角的 [ 設定 ] 按鈕。
3. 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
4. 在 [測試人員風險設定] 下，選取 [智能型偵測]。
5. 在 [ 可訓練分類器 ] 區段中，選取 [ 新增要排除的可訓練分類器]。
6. 在 [ 新增或編輯可訓練分類器 ] 窗格中，選取您想要排除的分類器。
7. 選取 新增。

合規性入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 移至 [設定智慧型>偵測]。
4. 在 [ 可訓練分類器 ] 區段中，選取 [ 新增要排除的可訓練分類器]。
5. 在 [ 新增或編輯可訓練分類器 ] 窗格中，選取您想要排除的分類器。
6. 選取 新增。

注意事項

若要刪除可訓練分類器排除，請選取排除範圍，然後選取 [ 刪除]。

網站排除專案

設定網站 URL 排除專案，以防止與 Teams 頻道網站相關聯的 SharePoint (和 SharePoint 網站中發生的潛在風險活動) 產生原則警示。 您可能想要考慮排除包含非敏感性檔案和數據的網站和通道，這些檔案和數據可以與項目關係人或大眾共用。 您最多可以輸入 500 個要排除的網站 URL 路徑。

新增要排除的網站 URL 路徑

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 選取頁面右上角的 [ 設定 ] 按鈕。
3. 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
4. 在 [測試人員風險設定] 下，選取 [智能型偵測]。
5. 在 [ 網站 URL 排除 ] 區段中，選取 [新增或編輯 SharePoint 網站]。
6. 在 [ 新增或編輯 SharePoint 網站 ] 窗格中，輸入或搜尋要排除風險評分的 SharePoint 網站。
7. 選取 新增。

合規性入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 移至 [設定智慧型>偵測]。
4. 在 [ 網站 URL 排除 ] 區段中，選取 [新增或編輯 SharePoint 網站]。
5. 在 [ 新增或編輯 SharePoint 網站 ] 窗格中，輸入或搜尋要排除風險評分的 SharePoint 網站。
6. 選取 新增。

注意事項

• 若要編輯要排除的網站 URL 路徑，請從 [新增或編輯 SharePoint 網站] 窗格中選取 [編輯]。
• 若要刪除網站 URL 排除，請選取網站 URL 排除，然後選取 [ 刪除]。

關鍵詞排除

針對出現在檔名、檔案路徑或電子郵件訊息主旨行中的關鍵詞設定排除專案。 這可讓需要降低潛在警示頻率的組織具有彈性，因為為您的組織指定了良性詞彙的旗標。 您的測試人員風險管理原則會忽略與包含 關鍵詞之檔案或電子郵件主體相關的這類活動，且不會產生警示。 您最多可以輸入 500 個關鍵詞來排除。

只有在 [排除] 不包含字段時，才使用它來定義要忽略以排除的特定字詞群組。 例如，如果您想要排除關鍵詞 'training'，但不要排除 「合規性訓練」，請在 [排除] 中輸入 'compliance' (或 [合規性訓練 ) 只有在其中不包含 欄位，而且 [但是] 包含 欄位時，才在 [排除] 中 輸入 'compliance' 。

如果您只想要排除特定的獨立字詞，請在 [ 但只包含 ] 字段中輸入字詞。

新增要排除的獨立關鍵詞

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 選取頁面右上角的 [ 設定 ] 按鈕。
3. 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
4. 在 [測試人員風險設定] 下，選取 [智能型偵測]。
5. 在 [ 關鍵詞排除 ] 區段中，於 [ 但確實包含 ] 字段中輸入獨立關鍵詞。
6. 選 取 [儲存 ] 以設定關鍵詞排除專案。

合規性入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 移至 [設定智慧型>偵測]。
4. 在 [ 關鍵詞排除 ] 區段中，於 [ 但確實包含 ] 字段中輸入獨立關鍵詞。
5. 選 取 [儲存 ] 以設定關鍵詞排除專案。

若要刪除要排除的獨立關鍵字：

1. 在 [關鍵詞排除] 區段中，選取 [但確實包含] 字段中特定獨立關鍵詞的 X。 視需要重複移除多個關鍵詞。
2. 選取 [儲存]。