在內部風險管理中管理警示數量的最佳做法

重要事項

Microsoft Purview Insider Risk Management 會將各種訊號相互關聯，以識別潛在的惡意或意外內部風險，例如 IP 竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置，用戶預設會以假名化，且已備妥角色型訪問控制和稽核記錄，以協助確保用戶層級隱私權。

檢閱、調查及處理潛在風險的內部人員警示，是將組織中內部風險降至最低的重要部分。 快速採取動作以將這些風險的影響降至最低，可能會為您的組織節省時間、金錢，以及法規或法律影響。 在此補救程式中，檢閱警示的第一個步驟對許多分析師和調查人員而言，似乎是最困難的工作。

本文提供在組織中管理警示數量的最佳做法，讓您沒有太多或太少的警示。 如需如何產生警示以及管理警示之工具的一般討論，請 參閱調查內部風險活動。

太少的警示無法檢閱

如果您收到的測試人員風險管理警示太少：

• 更新您的設定： 您對設定所做的變更會在所有原則中全域套用。

  • 啟用更多指標： 選取更多指標可讓您的原則有更大的活動群組要偵測。

    如何：移至 [設定原則指標>]，然後啟用所有可用和相關的指標。

  • 調整 [警示音量] 滑桿： 使用此滑桿可查看所有中高嚴重性警示，以及大部分低嚴重性警示。 注意： 調整滑桿可能會導致更多誤判。

    如何： 移至 [ 設定>智慧型偵測>警示磁碟區]，然後將滑桿移至 [ 更多警示]。

• 修改原則： 識別未產生足夠警示的原則，然後考慮下列動作：

  • 增加原則中的使用者涵蓋範圍： 範圍中包含少數用戶的原則較不可能產生警示。 如果適用，請考慮增加原則範圍內的用戶數目。

    如何： 在 [原則 ] 頁面上 選取特定原則，選取 [ 編輯原則]，然後移至 [ 使用者和群組 ] 頁面，以增加範圍內的用戶數目。

  • 降低觸發程式閾值： 以 數據外洩 和 有風險的瀏覽器使用量為基礎的原則 (預覽) 範本可讓您自定義某些觸發程式閾值。 這些閾值會定義您何時會開始偵測用戶活動。 如果您降低觸發程式閾值，則會降低用戶開始評估有風險活動的準則。 注意： 如果使用者未出現在 [ 使用者和群組 ] 頁面中，表示尚未符合觸發事件準則。

    如何： 移至 [原則 ] 頁面上的 特定原則，選取 [編輯原則]，移至 [觸發閾值 ] 頁面，選取 [ 使用自定義閾值 ] 選項，然後調整您的閾值。

  • 新增更多指標： 指標是用戶必須將活動視為有風險的活動。 如果您沒有許多指標 (在原則中選取) 被視為具風險的活動，則不太可能產生警示。

    如何： 移至 [原則 ] 頁面上的 特定原則，選取 [ 編輯原則]，移至 [ 指標 ] 頁面，然後選取更多指標。

  • 較低的指標臨界值： 當您的使用者開始進行評估 (有觸發事件) 之後，只有當使用者執行的活動超過特定閾值，可能表示其活動有風險時，才會為這些用戶產生警示。 降低指標閾值會降低用戶必須超過才能產生警示的臨界值。

    如何： 移至 [原則 ] 頁面上的 特定原則，選取 [ 編輯原則]，移至 [ 指標閾值 ] 頁面，選取 [自定義閾值 ] 選項，然後設定您的閾值。 了解指標閾值建議

太多警示無法檢閱

如果您收到太多有效警示，或有太多過時的低風險警示，請考慮採取下列動作：

• 啟用分析： 啟用分析可協助您快速識別使用者的潛在風險區域，並協助判斷您可能想要設定的內部風險管理原則類型和範圍。

  如何： 移至 [設定>分析]。

• 取得即時深入解析： 如果您想要利用閾值建議，也可以從分析取得即時深入解析。 這些深入解析可協助您有效率地調整活動發生的指標和臨界值選取，讓您不會收到太多或太多原則警示。

  如何： 請參閱 使用即時分析來協助管理警示磁碟區。

• 調整原則： 選取並設定正確的內部風險原則是解決警示類型和數量的最基本方法。 從適當的 原則範本 開始，可協助您專注於您看到的風險活動和警示類型。 其他可能會影響警示磁碟區的因素包括範圍內使用者和群組的大小，以及 已設定優先順序的內容和通道。 請考慮調整原則，將這些區域精簡為組織最重要的區域。

  如何： 在 [原則 ] 頁面上 選取特定原則，然後選取 [ 編輯原則]。

• 修改您的測試人員風險設定： 測試人員風險設定包含各種不同的設定選項，可能會影響您收到的警示數量和類型。 請務必檢閱並瞭解下列設定，以篩選掉警示雜訊：

  • 原則指標和指標閾值
  • 全域排除專案
  • 偵測群組
  • 內建指標的變體
  • 智慧型偵測
  • 原則時間範圍

• 啟用內嵌警示自定義： 啟用 內嵌警示自定義 可讓分析師和調查人員在檢閱警示時快速編輯原則。 他們可以使用Microsoft建議來更新活動偵測的閾值、設定自定義閾值，或選擇忽略建立警示的活動類型。 如果未啟用此功能，則只有指派給 測試人員風險管理 角色群組的使用者可以使用內嵌警示自定義。

  如何： 移至 [設定>內嵌警示自定義]。

• 在適用的情況下大量刪除警示： 這有助於節省分析人員和調查人員立即 大量關閉多個警示的 分級時間。 您一次最多可以選取 400 個警示來關閉。

管理組織中的資源條件約束

新式工作場所使用者通常對其時間有各種責任和需求。 您可以採取數個動作來協助解決資源條件約束：

• 請先將分析師和調查工作的重點放在最高風險警示： 視您的原則而定，您可能會擷取用戶活動，併產生對風險降低工作有不同程度潛在影響的警示。 依嚴重性篩選警示，並排定高嚴重性警示的優先順序。
• 使用 Microsoft Copilot：您可以 在 Microsoft Purview 中使用 Microsoft Copilot 來摘要警示，甚至不需要開啟警示。 這可以加速分級體驗。
• 將使用者指派為分析師和調查人員： 將適當的使用者指派給適當的角色，是內部風險警示檢閱程式中很重要的一部分。 請確定您已將適當的使用者指派給 測試人員風險管理分析師 和 測試人員風險管理調查人員 角色群組。
• 使用自動化內部風險功能來協助探索風險最高的活動：
  • 使用內部風險管理 順序偵測 和 累積外洩偵測 ，快速探索到難以在組織中尋找風險。
  • 請考慮微調 風險分數提升器，並使用 全域排除、 偵測群組和 變體。
  • 微調原則的最小指標閾值設定 。

另請參閱

調查內部風險管理活動