了解測試人員風險管理

重要事項

Microsoft Purview 內部風險管理相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如 IP 竊取、資料外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,使用者預設會以假名化,且已備妥角色型存取控制和稽核記錄,以協助確保使用者層級隱私權。

Microsoft Purview 內部風險管理可以透過啟用偵測、調查及處理貴組織中惡意和意外的活動,協助將內部風險降到最低。 測試人員風險原則可讓您定義要在貴組織中識別和偵測的風險類型,包括視需要對案例採取行動,以及將案例升級至 Microsoft 電子文件探索 (進階版)。 組織中的風險分析師可以迅速採取適當的動作,以確保使用者符合組織的合規性標準。

如需詳細資訊和規劃程式的概觀,以解決組織中可能導致安全性事件的潛在風險活動,請參閱 啟動測試人員風險管理計劃

觀看下列影片,瞭解測試人員風險管理如何協助您的組織預防、偵測及包含風險,同時為您的組織值、文化特性和使用者體驗設定優先順序:

測試人員風險管理解決方案 & 開發


測試人員風險管理工作流程

請參閱 Microsoft Mechanics 影片 ,瞭解測試人員風險管理和通訊合規性如何共同運作,以協助將組織中使用者的資料風險降至最低。

重要事項

內部風險管理目前適用于裝載于地理區域的租使用者,以及 Azure 服務相依性所支援的國家/地區。 若要確認貴組織支援內部風險管理,請參閱 依國家/地區提供的 Azure 相依性

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

現代化風險的困難點

管理組織中的風險並將風險降至最低,可讓您了解在現代化工作場所發現的風險類型。 某些風險是由直接控制之外的外來事件和因素所驅動。 其他風險是由內部事件和使用者動作所驅動,這些事件和使用者動作可以最小化和避免。 有些範例是組織中使用者不合法、不適當、未經授權或不正確行為和動作的風險。 這些行為包括來自使用者的各種內部風險:

  • 洩漏機密資料和資料外洩
  • 違反保密協定
  • 智慧財產權 (IP) 竊取
  • 偽造
  • 測試人員交易
  • 法規合規性違規

新式工作場所中的使用者可以跨各種平臺和服務來建立、管理及共用資料。 在大部分情況下,組織具有有限的資源和工具,可識別並降低整個組織的風險,同時也符合使用者隱私權標準。

內部風險管理會使用完整的服務和協力廠商指標,協助您快速識別、分級及處理風險活動。 透過使用來自 Microsoft 365 和 Microsoft Graph 的記錄,內部風險管理可讓您定義特定原則來識別風險指標。 這些原則可讓您識別有風險的活動,並採取行動來降低這些風險。

測試人員風險管理聚焦於以下原則:

  • 透明度:使用依設計隱私權的架構來平衡使用者隱私權與組織風險。
  • 可設定的:可根據業界、地理位置和商務群組進行設定的原則。
  • 整合式:跨 Microsoft Purview 解決方案的整合式工作流程。
  • 可採取動作:提供深入解析以啟用檢閱者通知、資料調查和使用者調查。

流量分析識別潛在風險

內部風險分析可讓您對組織中潛在的內部風險進行評估,而不需要設定任何內部風險原則。 此評估可協助貴組織識別使用者風險較高的潛在區域,並有助於判斷您可能要考慮的內部風險管理原則類型和範圍。 這項評估也可協助您判斷現有內部風險原則的額外授權或未來優化需求。

若要深入瞭解測試人員風險分析,請參閱 測試人員風險管理設定:分析

無論您是第一次設定測試人員風險管理,還是開始建立新原則,新的 建議動作 體驗都可協助您充分利用內部風險管理功能。 建議的動作包括設定許可權、選擇原則指標、建立原則等等。

工作流程

測試人員風險管理工作流程可協助您識別、調查及採取行動,以解決組織中的內部風險。 透過專注的原則範本、跨 Microsoft 365 服務的全方位活動訊號,以及警示和案例管理工具,您可以使用可採取動作的深入解析來快速識別風險行為並採取行動。

使用下列工作流程,識別及解決內部風險活動和內部風險管理的合規性問題:

測試人員風險管理工作流程。

原則

測試人員風險管理原則 是使用預先定義的範本和原則條件所建立,這些範本和原則條件會定義要在組織中檢查哪些觸發事件和風險指標。 這些條件包括警示使用風險指標的方式、原則中包含哪些使用者、哪些服務已排定優先順序,以及偵測時間週期。

您可以從下列原則範本中選取,以快速開始使用測試人員風險管理:

測試人員風險管理原則儀表板。

警示

通知是由符合原則條件的風險指標自動產生,且會顯示在警示儀表板中。 此儀表板可讓您快速查看組織需要查看的所有警示、一段時間後待處理的警示以及警示統計資料。 所有原則警示都會顯示下列資訊,以協助您快速識別現有警示的狀態,以及需要採取動作的新警示:

  • 狀態
  • 嚴重性
  • 偵測時間
  • 案例
  • 案例狀態

測試人員風險管理警示儀表板。

分級

需要調查的新使用者活動會自動產生已指派「 需要檢閱 」狀態的警示。 檢閱者可以快速識別及檢閱、評估及分級這些警示。

開啟新案例、將警示指派給現有案例或解除警示,就能解決警示。 您可以使用警示篩選器,輕鬆地依狀態、嚴重性或偵測時間來辨識警示。 在分級程式中,檢閱者可以檢視原則所識別活動的警示詳細資料、檢視與原則相符專案相關聯的使用者活動、查看警示的嚴重性,以及檢閱使用者設定檔資訊。

測試人員風險管理分級。

調查

使用使用者活動報告快速調查所選使用者的所有風險活動 , (預覽) 。 這些報告可讓組織中的調查人員檢查特定使用者在一段定義期間內的活動,而不必暫時或明確地指派給內部風險管理原則。 檢查使用者的活動之後,調查人員可以將個別活動關閉為良性、與其他調查人員共用或傳送報表連結,或選擇暫時或明確指派給測試人員風險管理原則。

系統 會針對需要更深入檢閱和調查活動詳細資料和原則比對相關情況的警示建立案例。 [案例儀表板] 提供組織內所有使用中案例、一段時間後待處理以及案例統計資料的完整檢視。 檢閱者可以按照狀態、開啟案例的日期,以及上次更新案例的日期來快速篩選案例。

在案例儀表板上選取案例即可開啟要調查和檢閱的案例。 此步驟是測試人員風險管理工作流程的核心。 在這個區域中,風險活動、原則條件、警示詳細資料和使用者詳細資料會合成為檢閱者的整合式檢視。 此區域中的主要調查工具如下:

  • 使用者活動:使用者風險活動會自動顯示在互動式圖表中,以繪製一段時間的活動,並依目前或過去風險活動的風險層級來繪製活動。 檢閱者可以快速篩選和檢視使用者的整個風險歷程記錄,並深入瞭解特定活動以取得詳細資料。
  • 內容總管:與警示活動相關聯的所有資料檔案和電子郵件訊息都會自動擷取並顯示在內容總管中。 檢閱者可以依照資料來源、檔案類型、標記、交談和其他更多屬性篩選和查看檔案和郵件。
  • 案例注意事項:檢閱者可以在案例附注一節中提供案例的附注。 此清單會合並集中檢視中的所有附注,並包含檢閱者和提交日期資訊。

測試人員風險管理調查。

此外,新的 稽核記錄 (預覽) 可讓您隨時掌握對內部風險管理功能所採取的動作。 此資源可讓您獨立檢閱指派給一或多個內部風險管理角色群組的使用者所採取的動作。

動作

調查案例之後,檢閱者可以快速採取行動來解決案例,或與組織中的其他風險專案關係人共同作業。 如果使用者不小心或不小心違反原則條件,可以從您可以為組織自訂的通知範本,將簡單的提醒通知傳送給使用者。 這些通知可作為簡單的提醒,或是引導使用者進行重新整理訓練或指引,以協助防止未來有風險的行為。 如需詳細資訊,請參閱內部風險管理通知範本

在更嚴重的情況下,您可能需要與組織中的其他檢閱者或服務共用內部風險管理案例資訊。 測試人員風險管理與其他 Microsoft Purview 解決方案緊密整合,可協助您解決端對端風險。

  • eDiscovery (Premium) :擴大案例以供調查,可讓您將案例的資料和管理傳輸至 Microsoft Purview 電子檔探索 (Premium) 。 電子文件探索 (進階版) 提供端對端工作流程,可讓您保留、收集、檢閱、分析及匯出回應您組織內部及外部調查的內容。 這可讓法務小組管理整個法務保存措施通知工作流程。 若要深入瞭解 eDiscovery (Premium) 案例,請參閱 Microsoft Purview 電子檔探索 (Premium) 概觀
  • Office 365管理 API 整合 (預覽) :測試人員風險管理支援透過 Office 365 管理 API 將警示資訊匯出至安全性資訊和事件管理 (SIEM) 服務。 能夠在平臺中存取最適合您組織風險程式的警示資訊,可讓您更靈活地處理風險活動。 若要深入瞭解如何使用Office 365管理 API 匯出警示資訊,請參閱匯出警示

注意事項

感謝您在 ServiceNow 連接器預覽期間的意見反應和支援。 我們決定在 2020 年 11 月 30 日結束 ServiceNow 連接器的預覽,並停止支援內部風險管理。 我們正在積極評估替代方法,為客戶提供內部風險管理中的 ServiceNow 整合。

案例

測試人員風險管理可協助您偵測、調查並採取行動,以降低組織中數個常見案例的內部風險:

離職使用者竊取的資料

當使用者主動離開組織或因終止而離開組織時,通常會有公司、客戶和使用者資料有風險的合理疑慮。 使用者可能會錯誤地假設專案資料不是專屬的,或是他們為了個人利益而想要擷取公司資料,並違反公司原則和法律標準。 透過離職使用者原則範本使用 資料竊取 的內部風險管理原則,會自動偵測通常與這種竊取類型相關聯的活動。 使用此原則時,您會自動收到與離職使用者的資料竊取相關可疑活動的警示,以便採取適當的調查動作。 此原則範本需要為您的組織設定 Microsoft 365 HR 連接器

故意或無意洩漏敏感或機密資訊

在大部分情況下,使用者會盡力正確處理敏感性或機密資訊。 但有時候使用者可能會犯錯,且不小心在組織外部共用資訊,或違反您的資訊保護原則。 在其他情況下,使用者可能會刻意洩漏或共用具有惡意意圖和潛在個人利益的機密和機密資訊。 使用下列資料外泄原則範本建立的內部風險管理原則,會自動偵測通常與共享機密或機密資訊相關聯的活動:

預覽) (刻意或無意的安全性原則違規

在現代化工作場所中管理裝置時,使用者通常會有很大程度的控制權。 此控制項可能包含安裝或卸載其職責效能所需之應用程式的許可權,或暫時停用裝置安全性功能的能力。 不論此風險活動是意外、意外或惡意的,這種行為都可能會對您的組織造成風險,而且對於識別並採取行動以將風險降到最低非常重要。 為了協助識別這些具風險的安全性活動,下列內部風險管理安全性原則違規模板會為安全性風險指標評分,並使用適用於端點的 Microsoft Defender警示來提供安全性相關活動的深入解析:

根據位置、存取層級或風險歷程記錄 (預覽) 的使用者原則

根據使用者的位置、敏感性資訊的存取層級或風險歷程記錄,貴組織中的使用者可能會有不同的風險層級。 此結構可能包括貴組織的執行領導小組成員、具有大量資料和網路存取權的 IT 系統管理員,或具有過去有風險活動歷程記錄的使用者。 在這些情況下,更仔細的檢查和更積極的風險評分對於協助呈現警示以進行調查和快速動作非常重要。 若要協助識別這些使用者類型的有風險活動,您可以從下列原則範本建立優先順序使用者群組並建立原則:

醫療保健 (預覽)

針對醫療保健產業中的組織,最近的研究發現非常高的內部相關資料外泄率。 偵測誤用病患資料和健康記錄資訊是保護病患隱私權及遵守合規性法規的重要元件,例如健康保險可攜性和責任法案 (HIPAA) ,以及適用于經濟與臨床健康情況的健全狀況資訊技術 (HITECH) Act。病患資料誤用的範圍可以從存取特殊許可權的病患記錄到存取具有惡意意圖之家庭或芳鄰的病患記錄。 為了協助識別這些類型的風險活動,下列測試人員風險管理原則範本會使用 Microsoft 365 HR 連接器和醫療保健專屬的資料連線器,開始評分風險指標,這些指標與電子健康記錄 (EHR) 系統內可能發生的行為相關:

風險性使用者 (預覽) 的動作和行為

雇用壓力因素事件可能會以數種與內部風險相關的方式影響使用者行為。 這些壓力可能是效能檢閱不佳、職位降級,或使用者放置在效能檢閱計畫上。 壓力也可能會導致可能不適當的行為,例如使用者在電子郵件和其他訊息中傳送可能的威脅、破壞或惡意語言。 雖然大部分的使用者不會惡意回應這些事件,但這些動作的壓力可能會導致某些使用者的行為方式通常不會在正常情況下考慮。 為了協助識別這些類型的潛在風險活動,下列內部風險管理原則範本可以使用 HR 連接器和/或與 專用通訊合規性原則 整合,將使用者帶入內部風險管理原則的範圍,並開始評分與可能發生行為相關的風險指標:

具有鑒識辨識項 (預覽) 的潛在具風險使用者活動的視覺內容

在鑒識調查期間,擁有視覺化內容對於安全性小組而言非常重要,以深入瞭解可能導致安全性事件的潛在風險使用者活動。 這可能包括視覺化擷取這些活動,以協助評估這些活動是否確實具風險或不具風險。 對於判斷為有風險的活動,擁有鑒識辨識項擷取可協助調查人員和您的組織更妥善地減輕、瞭解及回應這些活動。 若要協助處理此案例,請為組織中的線上和離線裝置 啟用鑒識辨 識辨識項擷取。

準備好開始使用了嗎?