了解測試人員風險管理鑑識辨識項
重要事項
鑑識辨識項是測試人員風險管理中選擇加入的附加元件功能,可讓安全性小組以視覺方式深入瞭解潛在的內部數據安全性事件,並內建用戶隱私權。 鑑識辨識項包含可自定義的事件觸發程式和內建的使用者隱私權保護控件,讓安全性小組能夠進一步調查、瞭解及回應潛在的內部數據風險,例如未經授權的數據外流敏感數據。
組織會自行設定正確的原則,包括哪些具風險的事件是擷取鑑識辨識項的最高優先順序,以及哪些數據最敏感。 鑑識辨識項預設為關閉,原則建立需要雙重授權,且用戶名稱可以使用假名化 (遮罩,這是測試人員風險管理) 默認開啟的。 在測試人員風險管理內設定原則和檢閱安全性警示,會利用強大的角色型訪問控制 (RBAC) ,確保組織中指定的個人採取適當的動作,並提供額外的稽核功能。
重要事項
Microsoft Purview Insider Risk Management 會將各種訊號相互關聯,以識別潛在的惡意或意外內部風險,例如 IP 竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
在鑑識調查期間,擁有可視化內容對於安全性小組而言非常重要,以深入瞭解潛在風險的安全性相關用戶活動。 透過可自定義的事件觸發程式和內建的使用者隱私權保護控件,鑑識辨識辨識項可讓您跨裝置自定義可自定義的視覺活動擷取,以協助貴組織進一步減輕、瞭解及回應潛在的數據風險,例如未經授權的數據外流敏感數據。 您可以為組織設定正確的原則,包括哪些具風險的事件是擷取鑑識辨識項的最高優先順序、哪些數據最敏感,以及啟用鑑識擷取時是否通知使用者。 根據預設,鑑識辨識項擷取已關閉,且原則建立需要雙重授權。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
功能功能
- 視覺擷 取可讓組織擷取重要安全性相關用戶活動的剪輯,以提供更安全或符合規範的可見度,並符合組織需求。
- 包含或排除傳統型應用程式和/或網站 ,以設定著重於風險最高的應用程式和網站的錄製原則。 這會保留儲存空間和用戶隱私權。 例如,排除個人電子郵件和社交媒體帳戶。
- 增強的網路釣魚保護 (預覽) 可讓組織在 Microsoft Defender SmartScreen 中擷取與增強式網路釣魚保護相關的剪輯。 例如,您可以擷取使用者輸入用來登入其網路釣魚網站或應用程式上 Windows 11 裝置的Microsoft密碼,或連線到網路釣魚網站的應用程式。 深入瞭解 Microsoft Defender SmartScreen 中的增強式網路釣魚保護
- 透過多個層級的核准來啟用擷取功能,來保護用戶隱私權。
- 可自定義的觸發程式和擷取選項 表示安全性小組可以設定鑑識辨識項以符合其需求,不論是根據事件 (,例如 ,使用者下載 'SecretResearchPlans.docx') 之後的 5 分鐘和 10 分鐘 擷取,或根據持續擷取需求。
- 以使用者為中心的原則目標 表示安全性與合規性小組可以專注於依使用者而非裝置的活動,以取得更佳的內容深入解析。
- 強式角色型訪問控制 (RBAC) 表示設定和檢閱鑑識剪輯的能力受到嚴密控制,且僅適用於具有適當許可權的組織中的個人。
- 與目前的測試人員風險管理功能深度整合,讓內部風險管理系統管理員更輕鬆地上線和更熟悉的工作流程,以及受信任的單一平臺方法。
- 已擷取剪輯的試用容量 (最多 20 GB) ,並可快速存取容量使用率,以及購買額外容量的能力。
裝置和設定需求
下表包含使用內部風險管理鑑識辨識項的支援最低需求。
支援的平台
作業系統 | SKU | 處理器 |
---|---|---|
Windows 10 (包括 Windows 365) | 大型企業 | 64 位 (Intel 或 AMD) |
Windows 11 (包括 Windows 365) | 大型企業 | 64 位 (Intel 或 AMD) |
實體裝置
硬體 | 最低需求 |
---|---|
RAM | 用戶端使用量至少應為 8 GB (2 GB |
CPU 處理器 | Intel i5 或更新版本和 AMD Ryzen 5 或更新版本 |
顯卡 | 與 DirectX 11 或更新版本相容,具有 WDDM 1.0 驅動程式或更新版本 (目前僅支援整合式圖形卡片) |
磁碟空間 | 至少 10 GB 的磁碟記憶體 |
顯示 | 螢幕解析度下限為 1920 x 1080 |
Hyper-V 和虛擬機
硬體 | 最低需求 |
---|---|
RAM | 用戶端使用量至少應為 16 GB (至少 2 GB) |
CPU 處理器 | 至少八個 vCPU 處理器或對等 |
磁碟空間 | 至少 10 GB 的磁碟記憶體 |
顯示 | 螢幕解析度下限為 1920 x 1080 |
重要事項
如果不符合最低需求,使用者可能會遇到 Microsoft Purview 客戶端問題,而且鑑識擷取的品質可能不可靠。
擷取
觸發事件、全域指標和原則指標 在所有內部風險管理原則中扮演重要角色,包括鑑識辨識項原則。 觸發事件是用戶動作,可判斷使用者是否進入內部風險管理原則中的評估範圍。 全域設定指標可用來判斷內部風險管理會收集哪些活動。 原則指標可用來判斷範圍內用戶的風險分數。
根據貴組織決定設定鑑識辨識項的方式,有兩個擷取選項:
- 特定活動:只有在觸發事件已將已核准的使用者帶入鑑識辨識項原則的範圍,以及偵測到使用者的原則指標條件時,此原則選項才會擷取活動。 例如,核准鑑識辨識項擷取的用戶會進入鑑識辨識辨識項原則的範圍,而使用者會將數據複製到個人雲端記憶體服務或可攜式存儲設備。 擷取的範圍僅限於使用者將數據複製到個人雲端記憶體服務或可攜式儲存設備時所設定的時間範圍。 此選項的擷取將可在 [警示] 儀錶板的 [鑑識辨識辨識項] 索引卷標上檢閱。
- 所有活動:此原則選項會擷取使用者執行的任何活動。 例如,貴組織需要擷取已核准用戶的活動,而該用戶主動參與可能導致安全性事件的潛在風險活動。 原則指標可能尚未達到原則所產生警示的臨界值,而且可能未記載可能具風險的活動。 持續擷取有助於防止潛在風險的活動遺漏或未偵測到。 此選項的擷取將可在使用者活動報告的 [ 鑑識辨識 項] 索引卷標上 檢閱 (預覽) 儀錶板。
重要事項
鑑識辨識項剪輯會在擷取後 120 天刪除,或在預覽期間結束時刪除,以較早者為準。 您可以先下載或傳輸鑑識辨識項剪輯,再刪除它們。
工作流程
偵測、調查及補救包含剪輯擷取之警示的整體工作流程,會遵循與其他內部風險管理原則 相同的基本步驟 。 不過,在組織中設定鑑識辨識項時,有一些顯著的差異:
- 受擷取許可權的用戶必須有明確的擷取要求和核准:這是設定其他內部風險管理原則時未包含的額外程式。 指派給 測試人員風險管理 或 測試人員風險管理系統管理員 角色群組的使用者,必須先將要求提交給指派給 測試人員風險管理核准者 角色群組的使用者,貴組織中的任何使用者才符合任何剪輯擷取選項的資格。 例如,此需求有助於支持組織案例,其中內部風險管理系統管理員必須先取得指定法律或人力資源人員的明確核准,才能為任何使用者啟用擷取。
- 裝置必須上線並安裝 Microsoft Purview 客戶端:在鑑識辨識證據可以收集並儲存為合格使用者擷取的剪輯之前,其裝置必須上線至 Microsoft Purview 合規性入口網站。 此外,每個裝置都必須安裝 Microsoft Purview Client。 這些必要條件可支援在線和離線裝置擷取。
準備好開始使用了嗎?
- 如需在組織中設定鑑識辨識辨識項擷取的逐步指引,請參閱 開始使用內部風險管理 鑑識辨識項。
- 請參閱開始使用測試人員風險管理來設定必要條件、建立原則並開始接收警示。