在內部風險管理中設定智慧型手機偵測
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
注意事項
先前包含在 智慧型手機偵 測設定中的全域排除設定,現在會包含在全域 排除專案 (預覽) 設定中。
使用 可以使用 Microsoft Purview 內部風險管理 中的智慧型偵測設定來執行下列作業:
- 輸入最少的每日事件數目,以提升異常檔案下載活動的分數。
- 增加或減少高、中、低警示的磁碟區和分佈。
- 針對從內部風險管理範本建立之原則中所使用的活動,匯入並篩選適用於端點的Defender警示。
- 指定不允許的網域,以提升潛在風險活動的風險分數。
- 指定第三方網域以產生潛在風險下載活動的警示。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
檔案活動偵測
您可以使用本節來指定提升使用者認為不尋常的下載活動風險分數所需的每日事件數目。 例如,如果您輸入 「25」 如果使用者在過去 30 天內平均下載 10 個檔案,但原則偵測到他們在一天內下載了 20 個檔案,則即使該使用者的檔案數目小於 25,也不會提升該活動的分數。
警示磁碟區
測試人員風險原則偵測到的潛在風險活動會獲指派特定的風險分數,進而決定警示嚴重性 (低、中、高) 。 根據預設,內部風險管理會產生特定數量的低、中和高嚴重性警示,但您可以增加或減少特定層級的警示數量,以符合您的需求。
若要調整所有內部風險管理原則的警示數量,請選擇下列其中一個設定:
- 較少的警示:您會看到所有高嚴重性警示、較少的中度嚴重性警示,以及沒有低嚴重性警示。 如果您選擇此設定層級,可能會遺漏一些真正的肯定。
- 默認數量:您會看到所有高嚴重性警示,以及平衡的中嚴重性和低嚴重性警示數量。
- 更多警示:您會看到所有中嚴重性和高嚴重性警示,以及最低嚴重性的警示。 此設定層級可能會導致更多誤判。
適用於端點的 Microsoft Defender 警示狀態
重要事項
若要匯入安全性違規警示,您必須在組織中設定 適用於端點的 Microsoft Defender,並在Defender資訊安全中心啟用適用於端點的Defender以進行內部風險管理整合。 如需關於設定內部風險管理整合的 Defender for Endpoint 的詳細資訊,請參閱在 Defender for Endpoint 中設定進階功能。
適用於端點的 Microsoft Defender 是企業端點安全性平臺,其設計目的是協助企業網路預防、偵測、調查及回應進階威脅。 若要更清楚地了解組織中的安全性違規,您可以匯入並篩選適用於端點的 Defender 警示,以瞭解從內部風險管理安全性違規原則範本建立之原則中所使用的活動。
根據您感興趣的訊號類型,您可以選擇根據適用於端點的 Defender 警示分級狀態,將警示匯入內部風險管理。 您可以在要匯入的全域設定中定義下列一或多個警示分級狀態:
- Unknown
- 新增
- 進行中。
- Resolved
每天會匯入適用於端點的Defender警示。 根據您選擇的分級狀態,您可能會看到多個用戶活動,其警示與適用於端點的 Defender 中的分級狀態變更相同。
例如,如果您針對此設定選取 [新增]、[進行中] 和 [已解決],當產生 適用於端點的 Microsoft Defender 警示且狀態為 [新增] 時,就會為測試人員風險管理中的使用者匯入初始警示活動。 當適用於端點的 Defender 分級狀態變更為 [ 進行中] 時,會匯入此警示的第二個活動。 當最終的適用於端點的Defender分級狀態設定為 [ 已解決 ] 時,會匯入此警示的第三個活動。 這項功能可讓調查人員追蹤適用於端點的 Defender 警示進度,並選擇其調查所需的可見度層級。
網域
您可以指定不允許和第三方網域來提升偵測:
- 不允許的網域: 當您指定不允許的網域時,使用該網域進行的風險管理活動會有較高的風險分數。 例如,您可能想要指定涉及與某人共用內容的活動 (例如傳送電子郵件給具有 gmail.com 位址的人) 或涉及使用者從不允許的網域將內容下載到裝置的活動。 您最多可以新增 500 個不允許的網域。
- 第三方網域: 如果您的組織針對商務用途使用第三方網域, (例如雲端記憶體) ,請將它們包含在第 三方網域 一節中,以接收與裝置指標相關的潛在風險活動警示 。使用瀏覽器從第三方網站下載內容。 您最多可以新增 500 個第三方網域。
提示
您也可以指定 要排除的網域,不要由內部風險管理原則進行評分。
新增不允許的網域
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
選 取 頁面右上角的 [設定],然後選取 [ 測試人員風險管理 ] 以移至測試人員風險管理設定。
在 [測試人員風險設定] 下,選取 [智能型偵測]。
向下卷動至 [ 不允許的網域 ] 區段,然後選取 [ 新增網域]。
輸入網域。
提示
如果您不想一次輸入一個網域,您可以在上一頁選取 [從 CSV 檔案 匯入網域] 以將它們匯入為 CSV 檔案。
如果您想要在輸入的網域中包含所有子域,請選取 [ 包含多層級子域] 複選框。
[!注意 您可以使用通配符來協助比對根域或子域的變化。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,請使用通配符專案 「*.wingtiptoys.com」 來比對這些子域 (和相同層級的任何其他子域) 。 若要指定根域的多層級子域,您必須選取 [ 包含多層級子域] 複選框。
按 Enter。 針對您想要新增的每個網域重複此程式。
選取 [新增網域]。
新增第三方網域
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
選 取 頁面右上角的 [設定],然後選取 [ 測試人員風險管理 ] 以移至測試人員風險管理設定。
在 [測試人員風險設定] 下,選取 [智能型偵測]。
向下卷動至 [ 第三方網域] 區段,然後選取 [ 新增網域]。
輸入網域。
提示
如果您不想一次輸入一個網域,您可以在上一頁選取 [從 CSV 檔案 匯入網域] 以將它們匯入為 CSV 檔案。
如果您想要在輸入的網域中包含所有子域,請選取 [ 包含多層級子域] 複選框。
[!注意 您可以使用通配符來協助比對根域或子域的變化。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,請使用通配符專案 「*.wingtiptoys.com」 來比對這些子域 (和相同層級的任何其他子域) 。 若要指定根域的多層級子域,您必須選取 [ 包含多層級子域] 複選框。
按 Enter。 針對您想要新增的每個網域重複此程式。
選取 [新增網域]。