分享方式:

在測試人員風險管理中啟用分析

重要事項

Microsoft Purview 內部風險管理會相互關聯各種訊號,以識別潛在的惡意或不小心的內部風險,例如 IP 竊取、數據外洩和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據隱私設計構建,默認情況下用戶是假名的,並且基於角色的訪問控制和審計日誌已到位,以幫助確保用戶級別的隱私。

啟用 Microsoft Purview 內部風險管理分析可提供數個重要優點。 啟用分析功能後,您可以:

  • 對組織中的潛在內部風險進行評估,而不設定任何內部風險原則。
  • 接收有關配置指標閾值設置的實時指導。
  • 為不屬於原則的使用者產生內部風險嚴重性和使用者活動摘要。 與資料外洩防護、通訊合規性和 Microsoft Defender 共用此摘要資訊。

提示

如果您不是 E5 客戶,請使用 90 天 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助組織管理數據安全性和合規性需求。 立即從 Microsoft Purview 試用中心開始。 瞭解有關 註冊和試用條款的詳細資訊。

對組織中的內部風險進行評估

Microsoft Purview 內部風險管理分析可讓您評估組織中的潛在內部風險,而不需要設定任何內部風險原則。 此評估可協助您的組織識別使用者風險較高的潛在區域,並協助判斷您可能想要設定的測試人員風險管理原則類型和範圍。 分析掃描為您的組織提供下列優勢:

  • 易於設定:若要開始使用分析掃描,請在分析建議提示時選取 [執行掃描] ,或移至 [測試人員風險設定>分析 ]並啟用分析。
  • 隱私設計:掃描結果和見解會以彙總和匿名的使用者活動形式傳回。 檢閱者無法識別個別使用者名稱。 由於測試人員風險管理不會分類組織中的任何身分識別以進行分析,因此解決方案會考慮離開組織界限之數據可能涉及的所有 UPN/身分識別。 這可能涉及使用者帳戶、系統帳戶、來賓帳戶等。
  • 透過合併的深入解析來了解潛在風險:掃描結果可協助您快速識別使用者的潛在風險區域,以及哪個原則最適合協助減輕這些風險。

觀看 測試人員風險管理分析影片 ,以協助瞭解分析如何協助加速識別潛在的內部風險。

掃描區域

分析會掃描來自多個來源的風險管理活動,以協助識別潛在風險區域的深入解析。 視您目前的設定而定,分析會在下列區域中尋找合格的風險活動:

  • Microsoft 365 稽核記錄:包含在所有掃描中,這是識別大部分潛在風險活動的主要來源。
  • Exchange Online:Exchange Online 活動包含在所有掃描中,可協助識別附件中資料透過電子郵件傳送給外部連絡人或服務的活動。
  • Microsoft Entra ID:Microsoft Entra 歷程記錄包含在所有掃描中,有助於識別與已刪除使用者帳戶之使用者相關聯的風險活動。
  • Microsoft 365 HR 數據連接器:如果已設定, HR 連接器 事件可協助識別與辭職或即將終止日期的使用者相關聯的風險活動。

掃描的分析深入解析是以測試人員風險管理原則所使用的相同風險管理活動訊號為基礎,並根據單一和序列使用者活動報告結果。 不過,分析的風險評分是以最多 10 天的活動為基礎,而內部風險原則會使用每日活動來取得深入解析。 當您第一次在組織中啟用並執行分析時,您會看到一天的掃描結果。 如果您啟用分析,您會看到每次每日掃描的結果新增至洞察報告,以達到過去 10 天活動的最大範圍。

接收有關配置指標閾值設置的實時指導

手動調整原則以減少「雜訊」可能是一項耗時的體驗,需要進行大量試錯測試,才能判斷原則所需的組態。 如果已開啟分析,您可以取得即時深入解析,以協助您有效率地調整活動發生的指標和臨界值的選取範圍,以免收到太少或太多的原則警示。 深入瞭解如何使用即時分析來協助管理警示量

啟用分析並開始掃描組織中的潛在內部風險

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

若要啟用測試人員風險分析,您必須是 測試人員風險管理測試人員風險管理系統管理員Microsoft 365 全域系統管理員 角色群組的成員。

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站
  2. 移至 測試人員風險管理 解決方案。
  3. 在 [概觀] 索引標籤上,向下捲動至 [測試人員風險分析] 卡片,然後在 [掃描組織中的測試人員風險] 底下,選取 [執行掃描]。 這會開啟貴組織的分析掃描。 Analytics 掃描結果最多可能需要 48 小時才能以報告的形式提供見解以供審查。

提示

您也可以透過任何測試人員風險管理頁面頂端的 [ 設定 ] 在組織中開啟掃描。 選取 [分析],然後開啟設定。

在第一次分析掃描後檢視分析見解

若要檢視組織中分析掃描的結果,請移至 測試人員風險管理>報表>分析。 若要深入瞭解報表,請參閱 在 測試人員風險管理中使用報表

關閉分析

若要關閉測試人員風險分析,您必須是 測試人員風險管理測試人員風險管理系統管理員或 Microsoft 365 全域系統管理員 角色群組的成員。

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站
  2. 選取頁面右上角的 [ 設定 ]。
  3. 選取 [測試人員風險管理] 以移至 [測試人員風險管理] 設定。
  4. [測試人員風險設定] 底下,選取 [分析],然後關閉設定。

停用分析之後:

在組織中啟用使用者層級分析

測試人員風險管理會針對使用者層級的潛在風險行為產生使用者活動摘要和測試人員風險嚴重性深入解析。 這些深入解析可在下列體驗中檢視:

  • 資料外洩防護 (DLP) 警示
  • 通訊合規性原則
  • Microsoft Defender 使用者實體頁面和警示

使用者分析涵蓋組織中所有符合資格的使用者,包括不在任何測試人員風險管理原則範圍內的使用者。 在 Microsoft Defender、DLP 或通訊合規性中調查警示時,分析師會自動存取有助於改善風險評量的使用者資訊。 分析師還可以使用內部風險嚴重性來快速識別最嚴重和時間敏感的警報,並排定這些警報的優先順序以進行調查和補救。

若要啟用測試人員風險使用者層級分析,您必須是 測試人員風險管理測試人員風險管理系統管理員或 Microsoft 365 全域系統管理員 角色群組的成員。

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站
  2. 選取頁面右上角的 [ 設定 ]。
  3. 選取 [測試人員風險管理] 以移至 [測試人員風險管理] 設定。
  4. [測試人員風險管理] 設定下,選取 [ 分析 ],然後開啟 [在使用者層級顯示深入解析] 設定。
  5. [測試人員風險管理] 設定下,選取 [ 數據共用 ],然後開啟 [與其他安全性解決方案共用使用者風險詳細數據] 設定。