在內部風險管理中啟用分析
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
啟用 Microsoft Purview 內部風險管理 分析提供兩個重要優點。 開啟分析時,您可以:
- 在不設定任何內部風險原則的情況下,對組織中的潛在內部風險進行評估。
- 接收有關設定指標閾值設定的即時指引。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
對組織中的內部風險進行評估
Microsoft Purview 內部風險管理 分析可讓您評估組織中的潛在內部風險,而不需要設定任何內部風險原則。 這項評估可協助您的組織找出用戶風險較高的潛在區域,並協助判斷您可能想要設定的內部風險管理原則類型和範圍。 分析掃描為您的組織提供下列優點:
- 容易設定:若要開始使用分析掃描,請在分析建議提示時選取 [執行 掃描 ],或移至 [ 測試人員風險設定>分析] 並啟用分析。
- 隱私權的設計:掃描的結果和深入解析會以匯總和匿名的用戶活動傳回。 檢閱者無法識別個別用戶名稱。 由於內部風險管理不會將組織中的任何身分識別分類以進行分析,因此解決方案會考慮可能涉及離開組織界限之數據的所有UPN/身分識別。 這可能牽涉到用戶帳戶、系統帳戶、來賓帳戶等等。
- 透過合併的深入解析來瞭解潛在風險:掃描結果可協助您快速識別使用者的潛在風險區域,以及哪一個原則最適合用來協助降低這些風險。
請參閱 測試人員風險管理分析影片 ,以協助瞭解分析如何協助加速識別潛在的內部風險。
掃描的區域
分析會掃描來自數個來源的風險管理活動,以協助識別潛在風險區域的深入解析。 根據您目前的設定,分析會在下列區域中尋找合格的風險活動:
- Microsoft 365 稽核記錄:包含在所有掃描中,這是識別大部分潛在風險活動的主要來源。
- Exchange Online:包含在所有掃描中,Exchange Online 活動可協助識別將附件中的數據傳送至外部聯繫人或服務的活動。
- Microsoft Entra ID:包含在所有掃描中,Microsoft Entra歷程記錄可協助識別與已刪除使用者帳戶的使用者相關聯的風險活動。
- Microsoft 365 HR 數據連接器:如果已設定, HR 連接器 事件可協助識別與具有離職或即將終止日期的使用者相關聯的風險活動。
掃描的分析深入解析是以內部風險管理原則所使用的相同風險管理活動訊號為基礎,並根據單一和循序用戶活動來報告結果。 不過,分析的風險評分是以最多 10 天的活動為基礎,而內部風險原則則使用每日活動進行深入解析。 當您第一次在組織中啟用並執行分析時,您會看到一天的掃描結果。 如果您讓分析保持啟用狀態,您會看到每個每日掃描的結果新增至深入解析報告,以取得過去 10 天活動的最大範圍。
接收有關設定指標閾值設定的即時指引
手動調整原則以減少「雜訊」可能是非常耗時的體驗,需要您進行大量的試用和錯誤,以判斷您原則所需的設定。 如果開啟分析,您可以取得即時深入解析,以協助您有效率地調整活動發生的指標和臨界值選取範圍,讓您不會收到太少或太多原則警示。 深入瞭解如何使用即時分析來協助管理警示數量。
啟用分析並開始掃描組織中的潛在內部風險
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
若要啟用測試人員風險分析,您必須是 測試人員風險管理、 測試人員風險管理管理員或 Microsoft 365 全域系統管理員 角色群組的成員。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 在 [ 概觀] 索引 卷標上,向下捲動至 [測試人員風險分析 ] 卡片,然後 在 [掃描組織中的內部風險] 下,選取 [ 執行掃描]。 這會為您的組織開啟分析掃描。 分析掃描結果最多可能需要 48 小時的時間,才能以報表方式提供深入解析以供檢閱。
提示
您也可以透過任何內部風險管理頁面頂端 的 [設定 ] 來開啟組織中的掃描。 選 取 [分析],然後開啟設定。
在第一次分析掃描之後檢視分析深入解析
為您的組織完成第一次分析掃描之後, 測試人員風險管理系統管理員 角色群組的成員會自動收到電子郵件通知,並可檢視用戶潛在風險活動的初始深入解析和建議。 除非您關閉組織的分析,否則每日掃描會繼續進行。 系統管理員 Email 通知會針對組織中第一個潛在風險活動實例之後的分析 (數據外泄、竊取和外洩) 三個範圍內類別各提供通知。 Email 通知不會傳送給系統管理員,以進行每日掃描所產生的後續風險管理活動偵測。
注意事項
如果 [分析] 設定已停用,然後重新啟用,則會重設自動電子郵件通知,並將電子郵件通知傳送給 測試人員風險管理系統管理員 角色群組的成員,以取得新的掃描深入解析。
若要檢視組織的潛在風險,請移至 [ 概觀 ] 索引卷標,然後在 [測試人員風險分析 ] 卡片上,選取 [ 檢視結果]。
注意事項
如果組織的掃描未完成,您會看到一則訊息,指出掃描仍在使用中。
如需完成的分析,您會看到組織中探索到的潛在風險,以及解決這些風險的深入解析和建議。 已識別的風險和特定深入解析會包含在依區域分組的報告中、 (所有類型 Microsoft Entra 帳戶的用戶總數,包括具有已識別風險的使用者、來賓、系統等) 、這些具有潛在風險活動的使用者百分比,以及建議的內部風險原則,以協助降低這些風險。 報告包括:
- 數據外洩深入解析:針對可能包含意外過度共享組織外部資訊或惡意用戶數據外泄的所有使用者。
- 數據竊取深入解析:對於離職使用者或已刪除 Microsoft Entra 帳戶的使用者,這些帳戶可能包含有風險的組織外部資訊共用,或惡意意圖的使用者竊取數據。
- 熱門外洩深入解析:適用於可能包含在組織外部共享數據的所有使用者。
若要顯示深入解析的詳細資訊,請選 取 [檢視詳細 數據] 以顯示深入解析的詳細數據窗格。 詳細數據窗格包含完整的深入解析結果、內部風險原則建議,以及 建立 原則以快速協助您建立建議的原則。 選 取 [建立原則 ] 會帶您前往原則精靈,並自動選取與深入解析相關的建議原則範本。 例如,如果分析深入解析適用於 數據竊取 活動,系統會在原則精靈中為您預先選取 數據竊取 原則範本。
關閉分析
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
若要關閉測試人員風險分析,您必須是 測試人員風險管理、 測試人員風險管理管理員或Microsoft 365 全域系統管理員 角色群組的成員。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 選 取 頁面右上角的 [設定]。
- 選 取 [測試人員風險管理] 以移至測試人員風險管理設定。
- 在 [測試人員風險設定] 下,選取 [ 分析],然後關閉設定。
停用分析之後:
- 分析深入解析報告會保持靜態,且不會針對新風險進行更新。
- 當您自定義原則的指標臨界值設定時,將無法看到即時分析。