藉由建立偵測群組 (預覽) ,微調內部風險管理中的排除專案
重要事項
Microsoft Purview Insider Risk Management 會將各種訊號相互關聯,以識別潛在的惡意或意外內部風險,例如 IP 竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
您可以使用全域排除設定,排除專案不受內部風險管理原則 的評分。 這些類型的排除專案適用於您在租使用者內建立之所有原則的每個觸發程式和指標。 藉由使用偵測群組,您可以修改內建的全域排除專案,使其符合組織的需求。
您也可以使用偵測群組來修改內建的內部風險指標,以針對原則層級的不同使用者集合量身打造偵測。 例如,若要減少電子郵件活動的誤判數目,您可能想要建立將 附件傳送給組織外部收件者 的電子郵件內建指標的變體,只偵測傳送至個人網域的電子郵件。
建立和使用偵測群組的程式
若要使用偵測群組作為全域排除的一部分,您可以如本文所述建立偵測群組,然後選取它作為 全域排除的一部分。
使用偵測群組修改內建指標包含下列步驟:
- 建立偵測群組, 如本文所述。 當您建立變體時,將會選取此偵測群組。
- 建立變體。
- 在新的或現有的原則中使用變體。
- 檢閱與變體中指定之活動的相關警示。
建立偵測群組
偵測群組可協助您將內建指標或全域排除範圍縮小,以專注於對組織很重要的高價值活動。
原則指標的偵測類型
每個原則指標都包含適用於該指標的特定偵測類型。 例如,針對 與組織外部人員共用SharePoint檔案 指標,其中一種偵測類型是 網域。 當您共用 SharePoint 檔案時,您會選擇要共用檔案的網域。 並非所有指標都有相同的偵測類型。 例如, 網域 是 與組織外部人員共用 SharePoint 檔案 指標的偵測類型,但不是 建立檔案或將檔案複製到 USB 指標的偵測類型,因為它不適用於該情況。
測試人員風險管理目前支援七種偵測類型:
- 網域
- 檔案路徑
- 檔案類型
- 關鍵字
- 敏感性資訊類型
- SharePoint 網站
- 可訓練分類器
提示
當您建立偵測群組時,您可以在群組類型的簡介文字中選取 [ 檢視適用的指標 ] 連結,以查看特定偵測的所有適用指標。
下列程式示範如何為每個群組類型建立偵測群組。
建立網域偵測群組
在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
在右側面板的 [ 類型] 底下,選取 [ 網域]。
在右側面板中,選取 [ 新增網域群組]。
在 [ 新增網域群組 ] 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
在 [ 新增網域] 字段中,輸入網域,然後按 Enter。 繼續以相同方式新增更多網域,或者,如果您有一長串要新增的網域,您可以 從 CSV 檔案選取 [匯入網域] 以將它們匯入為 CSV 檔案。 您新增的網域會列在窗格底部。 您最多可以建立10個網域偵測群組,而且每個群組最多可以有200個專案。
注意事項
若要指定根域的多層級子域,請選取 [ 包含多層級子域 ] 複選框、新增網域,然後按 Enter 將網域新增至清單。 該網域中包含的任何子域都會包含在內。 重複相同的程式以新增更多網域,然後在完成時選取 [ 新增網域 ]。
提示
您可以使用通配符來協助比對根域或子域的變化。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,請使用通配符專案 『*.wingtiptoys.com』 來比對這些子域 (和相同層級的任何其他子域) 。
選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
免費公用網域網域群組如何偵測將商務數據外流至個人電子郵件網域
網域偵測群組包含稱為 免費公用網域 的特殊網域群組,其中包含免費電子郵件提供者清單 (gmail.com 或 yahoo.com,例如可用來建立個人電子郵件標識碼的) 。 此清單可用來自動醒目提示將商務數據外流至個人電子郵件網域,以取得 [用戶活動 ] 和 [ 活動總管] 索引 標籤上的電子郵件深入解析。 深入解析會列出範圍內用戶傳送至免費公用網域的電子郵件數目。 此清單也用於識別傳送至自我傳送電子郵件的演算法, (傳送至範圍內使用者的個人電子郵件帳戶) 。 電子郵件深入解析會列出傳送給自我的電子郵件數目。
您可以使用這個內建網域群組,就像任何其他網域群組一樣,為您的原則建立內建指標的變體。 此網域群組僅適用於將 附件傳送至組織外部收件者指示器的傳送電子郵件 。 目前,您無法編輯或刪除 免費公用網域網域 群組。 深入瞭解如何建立內建指標的變體
建立檔案路徑偵測群組
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [ 檔案路徑]。
- 在右側面板中,選取 [ 新增檔案路徑群組]。
- 在 [ 新增檔案路徑群組 ] 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 選取 [新增檔案路徑],選取您要從評分中排除的檔案路徑,然後選取 [ 新增]。 您最多可以建立 10 個檔案路徑偵測群組,而且每個群組最多可以有 200 個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
建立文件類型偵測群組
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [檔案類型]。
- 在右側面板中,選取 [ 新增文件類型群組]。
- 在 [ 新增文件類型群組 ] 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 在 [ 新增檔類型] 字段中,輸入擴展名,然後按 Enter。 以相同方式繼續新增更多擴展名。 您新增的延伸模組會列在窗格底部。 您最多可以建立10個檔類型偵測群組,而且每個群組最多可以有200個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
建立關鍵詞偵測群組
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [關鍵詞]。
- 在右側面板中,選取 [ 新增關鍵詞群組]。
- 在 [ 新增關鍵詞] 群組 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 在 [ 新增關鍵詞] 字段中,輸入關鍵詞,然後按 Enter。 針對您想要新增的每個關鍵詞重複此程式。 您新增的關鍵詞會列在窗格底部。 您最多可以建立10個關鍵詞偵測群組,而且每個群組最多可以有200個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
建立敏感性資訊類型偵測群組
注意事項
敏感性資訊類型的排除清單優先於 優先順序內容 清單。
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [ 敏感性資訊類型]。
- 在右側面板中,選取 [ 新增敏感性資訊類型群組]。
- 在 [ 新增敏感性資訊類型群組 ] 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 選 取 [新增敏感性資訊類型],選取您要從評分中排除的敏感性資訊類型,然後選取 [ 新增]。 您最多可以建立10個敏感性資訊類型群組,而且每個群組最多可以有200個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
建立 SharePoint 網站偵測群組
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [SharePoint 網站]。
- 在右側面板中,選取 [ 新增 SharePoint 網站群組]。
- 在 [ 新增 SharePoint 網站群組 ] 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 選取 [新增網站],選取您想要從評分中排除的SharePoint網站,然後選取 [ 新增]。 您最多可以建立 10 個 SharePoint 網站偵測群組,而且每個群組最多可以有 200 個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。
建立可訓練分類器偵測群組
- 在內部風險管理設定中,選 取 [偵測群組 (預覽) 。
- 在右側面板的 [ 類型] 底下,選取 [ 可訓練分類器]。
- 在右側面板中,選取 [ 新增可訓練分類器群組]。
- 在 [ 新增可訓練分類器] 群組 窗格中,新增群組 (的名稱,或接受建議的名稱) 以及選擇性) (描述。
- 選 取 [新增可訓練分類器],選取您想要從評分中排除的可訓練分類器,然後選取 [ 新增]。 您最多可以建立10個可訓練分類器偵測群組,而且每個群組最多可以有200個專案。
- 選取 [儲存]。 您會看到 [ 後續步驟 ] 對話框,其中會建議您進行程式中的下一個步驟,其中包括在變體中使用此偵測群組。