使用測試人員風險管理用戶儀錶板管理工作流程

重要事項

Microsoft Purview Insider Risk Management 會將各種訊號相互關聯，以識別潛在的惡意或意外內部風險，例如 IP 竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置，用戶預設會以假名化，且已備妥角色型訪問控制和稽核記錄，以協助確保用戶層級隱私權。

用戶儀錶板是測試人員風險管理工作流程中的重要工具，可協助調查人員和分析師更完整地了解風險活動。 此儀錶板提供檢視和管理功能，以符合建立內部風險管理原則和管理內部風險管理案例之間的系統管理需求。

將使用者新增至內部風險管理原則之後，背景程式會自動評估觸發 指標的用戶活動。 觸發指標出現之後，會將風險分數指派給用戶活動。 其中一些活動可能會導致內部風險警示，但某些活動可能不符合最低風險分數等級，且不會建立內部風險警示。 [使用者] 儀錶板可讓您檢視具有這些指標和風險分數類型的使用者，以及具有作用中內部風險警示的使用者。

在下列案例中深入瞭解用戶儀錶板如何顯示使用者：

• 具有作用中內部風險原則警示的使用者
• 具有觸發事件的使用者
• 識別為潛在高影響力使用者或優先順序使用者群組中的使用者
• 暫時新增至原則的使用者

提示

開始使用 Microsoft Copilot for Security，探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。

具有作用中內部風險原則警示的使用者

[ 使用者] 儀錶板會 自動顯示具有作用中內部風險原則警示的所有使用者。 這些具有警示的用戶同時具有觸發指標和符合建立測試人員風險警示需求的活動風險分數。 選取 [使用者] 儀錶板 中的使用者並流覽至 [用戶活動] 索引標籤，即可檢視這些 用戶的活動 。

具有觸發事件的使用者

[ 使用者] 儀錶板會 自動顯示具有觸發事件的所有使用者，但沒有會建立測試人員風險警示的活動風險分數。 例如，因為此活動是觸發事件，但不是具有風險分數的活動，所以會顯示具有回報之摘要日期的使用者。 選取 [使用者] 儀錶板 中的使用者並流覽至 [用戶活動] 索引標籤，即可檢視這些 用戶的活動 。

暫時新增至原則的使用者

用戶 儀錶板 包含在內部風險管理工作流程外部發生異常事件之後，新增至測試人員風險管理原則的使用者。 暫時從 [原則] 儀錶板新增使用者 () 也是一種開始為測試原則的內部風險管理原則評分用戶活動的方式，即使未設定必要的連接器也一般。

當使用者手動新增至原則時，會評分過去 90 天的用戶活動，並新增至 使用者啟用 時程表。 例如，您有一位使用者目前未獲指派內部風險原則的風險分數，且使用者有向貴組織法律部門回報的數據外泄活動。 法務部門建議您為用戶設定新的短期偵測需求。 您可以將用戶暫時指派給 您的數據外泄 原則， (啟用視窗) 的指定時間長度。 因為觸發事件需求已放棄，所以暫時新增的所有使用者都會顯示在 [使用者] 儀錶板 中。

注意事項

新的手動新增使用者可能需要數小時才會出現在 [ 使用者] 儀錶板中。 這些使用者過去 90 天的活動最多可能需要 24 小時的時間才能顯示。 若要檢視手動新增用戶的活動，請在 [ 使用者] 儀錶板 上選取使用者，然後在詳細數據窗格上開啟 [ 用戶活動 ] 索引卷標。

使用者會自動從 [使用者] 儀錶板 中移除，而當 [ 啟用] 視窗 中定義的時間到期時，評分會在下列情況下停止：

• 用戶沒有任何其他觸發事件或內部風險原則警示，而且
• 如果手動定義的 啟用視窗 持續時間超過全域原則 啟用時段 持續時間，則為 。

持續時間最長的 [ 啟用] 視窗 設定一律會以較短的持續時間覆寫 [ 啟用] 視窗 設定。 例如，您已在測試人員風險管理全域設定的 [全域原則時間範圍] 索引標籤上設定 [啟用] 視窗 15 天，這會自動套用至您的所有內部風險原則。

您會暫時將使用者新增至 數據外泄 內部風險原則，並將 30 天定義為此使用者的 啟用視窗 。 為暫時新增的使用者定義 30 天的 [啟用] 視窗設定，以覆寫 15 天的全域啟用窗口設定。 暫時新增的使用者會保留在 [使用者] 儀錶板 中，並在原則範圍內保留 30 天。

在全域 啟用視窗 設定比為暫時新增用戶定義的 [ 啟用視窗 ] 設定還長的相反案例中，全域啟 用視窗 設定會覆寫暫時新增使用者的 [ 啟用] 視窗 設定。 暫時新增的使用者會保留在 [使用者] 儀錶板 中，並且在全域啟 用窗口 設定中所定義天數的原則範圍內。

在用戶儀錶板上檢視用戶資訊

[ 使用者] 儀表板 中顯示的每個使用者都有下列資訊：

• 使用者：用戶的用戶名稱。 如果已啟用測試人員風險管理的全域匿名設定，則此欄位會匿名。
• 警示嚴重性層級：使用者目前的計算風險層級。 此分數會每隔 24 小時計算一次，並使用與使用者相關聯之所有作用中警示的警示風險分數。 對於只有觸發指標的使用者，警示嚴重性層級為零。
• 作用中警示：所有原則的作用中警示數目。
• 已確認的違規：已解決為使用者 已確認原則違規 的案例數目。
• 案例：使用者目前的使用中案例。

若要快速找出特定使用者，請使用 [使用者] 儀錶板右上方的 [ 搜尋 ]。 搜尋使用者時，您必須使用 UPN) (用戶主體名稱。 例如，當您在組織中搜尋名為 『Tiara Hidayah』 且 UPN 為 'tidayah' 的使用者時，您會在 搜尋中輸入 'tidayah' 或 UPN 的某些部分。

注意事項

在某些情況下，用戶 儀錶板 上顯示的用戶數目可能會受到限制，視作用中警示的數量和比對原則而定。 當警示產生時，具有作用中警示的用戶會顯示在用戶 儀錶板 上，而且在達到顯示的用戶數目上限時，可能很罕見。 如果發生此限制，具有未顯示作用中警示的使用者將會新增至 用戶儀錶板 ，因為現有的使用者警示會分級。

檢視使用者詳細數據

若要檢視用戶風險活動的詳細數據，請按兩下 [使用者] 儀錶板中的使用者，以開啟 [使用者詳細數據] 窗格。 在詳細資料窗格中，您可以檢視下列資訊：

• 使用者配置檔索引標籤

  • 名稱和標題：使用者從 Microsoft Entra ID 的名稱和位置標題。 如果啟用測試人員風險管理的全域匿名設定，這些使用者字段將會匿名或空白。
  • 使用者詳細數據：列出是否已將使用者識別為潛在高影響力使用者，或使用者是否在優先順序使用者群組中。
  • 警示和活動摘要：列出作用中的使用者警示和開啟案例。
  • 用戶電子郵件：用戶的電子郵件位址。
  • 別名：用戶的網路別名。
  • 組織或部門：用戶的組織或部門。
  • 在範圍中：列出使用者對原則的範圍內指派。

• [用戶活動] 索引 標籤

  • 最近用戶活動的歷程記錄：列出過去 90 天內風險活動的觸發指標和內部風險指標。 與測試人員風險指標相關的所有風險活動也會進行評分，不過活動可能或可能不會產生測試人員風險警示。 觸發指標範例可能是使用者的約會日期或最後排定的工作日期。 測試人員風險指標是判斷為具有風險元素的活動，這可能會導致安全性事件，而且會在使用者包含的原則中定義。 事件和風險活動會先列出最新的專案。

使用 Copilot 摘要用戶活動 (預覽)

您可以在使用者詳細數據窗格上選取 [使用 Copilot 摘要 ]，快速摘要說明可能需要進一步調查的用戶活動。 當您在 Microsoft Purview 中使用 Microsoft Copilot 摘要說明用戶風險活動時，畫面右側會出現 Copilot 窗格，其中包含用戶摘要。

使用者摘要包含基本詳細數據，例如使用者名稱、標題、用戶主體名稱、警示和案例歷程記錄，以及最高風險因素。 最高風險因素提供使用者角色、許可權、參與外泄活動、循序模式或任何異常行為的重要見解。 此檢視可協助識別可能對貴組織造成最高內部風險的使用者。

系統會自動列出建議的提示，以協助進一步精簡您的摘要，並協助提供與使用者相關聯之活動的額外深入解析。 從下列建議提示中選擇：

• 列出與此使用者有關的所有數據外流活動。
• 列出與此用戶有關的所有循序活動。
• 使用者是否參與任何不尋常的行為？
• 顯示使用者在過去 10 天內執行的主要動作。
• 摘要說明用戶過去 30 天的活動。

提示

您也可以使用 獨立版本的 Microsoft Copilot for Security 來調查內部風險管理、Microsoft Purview 數據外洩防護 (DLP) ，以及Microsoft Defender XDR 警示。

從原則的範圍內指派移除使用者

在某些情況下，您可能需要停止在內部風險管理原則中將風險分數指派給使用者。 使用 [使用者] 儀錶板上使用者的 [停止評分] 活動，從他們目前範圍內的所有測試人員風險管理原則中，停止指派用戶的風險分數。 當您將使用者或群組新增至原則設定) 時，此動作不會將使用者從整體原則指派 (中移除，而只會在目前觸發事件之後，將使用者從原則的作用中處理中移除。 如果用戶未來有另一個觸發事件，來自原則的風險分數會自動開始再次指派給使用者。 不會移除此使用者的任何現有警示或案例。

從所有內部風險管理原則的範圍內狀態移除使用者

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 [ 使用者 ]。
4. 在 [ 使用者] 儀錶板上，選取您想要停止評分活動的使用者 () 。
5. 選取 [停止用戶評分活動]。

合規性入口網站

1. 使用Microsoft 365 組織中系統管理員帳戶的認證登入 合規性 入口網站。
2. 移至 測試人員風險管理 解決方案。
3. 選取 [ 使用者] 索引 標籤。
4. 在 [ 使用者] 儀錶板上，選取您想要停止評分活動的使用者 () 。
5. 選取 [停止用戶評分活動]。

注意事項

將使用者從範圍內狀態移除可能需要幾分鐘的時間。 完成後，使用者將不會列在 [使用者] 儀錶板上。 如果移除的使用者有作用中的警示或案例，使用者會保留在 [ 使用者] 儀錶板 上，而使用者詳細數據會顯示他們已不再在原則的範圍內。

為使用者使用Power Automate流程執行自動化工作

風險調查人員和分析師可以使用建議的 Power Automate 流程，在使用者新增至內部風險原則時，快速採取行動來通知使用者。

若要執行、管理及建立內部風險管理使用者的Power Automate 流程：

1. 選 取 使用者動作工具列上的 [自動化]。
2. 選擇要執行的 Power Automate 流程，然後選取 [ 執行流程]。
3. 流程完成之後，選取 [ 完成]。

若要深入瞭解適用於內部風險管理的Power Automate流程，請參閱 開始使用內部風險管理設定。