開始使用測試人員風險管理
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
使用內部風險管理原則來識別具風險的活動和管理工具,以處理組織中的風險警示。 完成下列步驟來設定必要條件,並設定測試人員風險管理原則。
重要事項
測試人員風險管理解決方案提供租用戶層級選項,可協助客戶在用戶層級進行內部治理。 租使用者層級系統管理員可以設定許可權,為組織成員提供此解決方案的存取權,並在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定數據連接器,以匯入相關數據,以支援用戶層級識別潛在風險的活動。 客戶認可與個別用戶行為、字元或與雇用相關之效能的相關深入解析,可由系統管理員計算,並提供給組織中的其他人使用。 此外,客戶也確認他們必須自行進行與個人用戶行為、字元或與雇用相關之效能的完整調查,而不只是依賴來自內部風險管理服務的深入解析。 客戶完全負責使用內部風險管理服務,以及符合所有適用法律的任何相關功能或服務,包括與個別使用者識別相關的法律和任何補救動作。
如需有關內部風險原則如何協助您管理組織中風險的詳細資訊,請參閱 瞭解內部風險管理。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
訂用帳戶和授權
開始使用測試人員風險管理之前,您應該確認 Microsoft 365 訂閱 和任何附加元件。 若要存取和使用測試人員風險管理,系統管理員必須確認其組織具有支援的訂用帳戶,並將適當的授權指派給使用者。 如需訂用帳戶和授權的詳細資訊,請參閱內部風險管理的 訂 用帳戶需求。
重要事項
內部風險管理目前適用於裝載於地理區域的租使用者,以及 Azure 服務相依性所支援的國家/地區。 若要確認貴組織支援內部風險管理,請參閱 依國家/地區提供的 Azure 相依性。
如果您沒有現有的 Microsoft 365 企業版 E5 方案,而且想要嘗試內部風險管理,您可以將 Microsoft 365 新增至現有的訂用帳戶,或註冊 Microsoft 365 企業版 E5 試用版。
隨用隨付計費
只有在您為組織啟用隨用隨 付計費模型 時,才能使用內部風險管理中包含的一些指標。 如需詳細資訊, 請參閱在內部風險管理中設定原則指標。
建議的動作
建議的動作可協助您的組織快速取得內部風險管理。 [概 觀 ] 頁面上包含的建議動作,可協助引導您完成設定和部署原則的步驟。
下列建議可協助您開始使用或最大化測試人員風險管理設定:
- 開啟稽核:開啟時,組織中的用戶和系統管理員活動會記錄到Microsoft 365 稽核記錄檔。 測試人員風險原則和分析掃描會使用此記錄來偵測風險活動。
- 取得使用測試人員風險管理的許可權:您對內部風險管理功能的存取層級取決於您獲指派的角色群組。 若要存取和設定建議的動作,必須將使用者指派給 測試人員風險管理 或 測試人員風險管理系統管理員 角色群組。
- 選擇原則指標:指標基本上是您想要偵測和調查的風險管理活動。 您可以選擇指標來偵測數個Microsoft 365 個位置和服務的活動。
- 掃描潛在的測試人員風險:執行分析掃描,以探索組織中發生的潛在內部風險。評估結果之後,請檢閱要設定的建議原則。
- 將許可權指派給其他人:如果有其他小組成員負責管理內部風險功能,您必須將這些許可權指派給適當的角色群組。
- 建立您的第一個原則:若要接收潛在風險活動的警示,您必須根據預先定義的範本來設定原則,以定義您想要偵測和調查的用戶活動。
此體驗中包含的每個建議動作都有四個屬性:
- 動作:建議動作的名稱和描述。
- 狀態:建議動作的狀態。 值為 [未啟動]、[進行中]、[儲存供稍後使用] 或 [已完成]。
- 必要或選擇性:測試人員風險管理功能是否需要或選擇性建議的動作,才能如預期般運作。
- 預估完成時間:以分鐘為單位完成建議動作的預估時間。
從清單中選擇建議,以開始設定內部風險管理。 每個建議的動作都會引導您完成建議的必要動作,包括任何需求、預期的情況,以及在組織中設定功能的影響。 每個建議的動作在設定時都會自動標示為完成,或者您必須在設定時手動選取動作為完成。
步驟 1 (必要):為測試人員風險管理啟用權限
重要事項
設定角色群組之後,角色群組許可權最多可能需要 30 分鐘才會套用至整個組織中指派的使用者。
有六個角色群組可用來設定測試人員風險管理功能。 若要讓 測試人員風險管理 成為 Microsoft Purview 中的功能表選項,並繼續進行這些設定步驟,您必須指派給下列其中一個角色或角色群組:
- Microsoft Entra ID 全域管理員角色
- Microsoft Entra ID 合規性系統管理員角色
- Microsoft Purview 組織管理 角色群組
- Microsoft Purview 合規性系統管理員 角色群組
- 測試人員風險管理 角色群組
- 測試人員風險管理系統管理員 角色群組
根據您想要管理內部風險管理原則和警示的方式,您必須將使用者指派給特定的角色群組,以管理不同組的內部風險管理功能。 您可以將具有不同合規性責任的使用者指派給特定角色群組,以管理內部風險管理功能的不同區域。 或者,您可以決定將指定的系統管理員、分析師、調查人員和檢視者的所有用戶帳戶指派給 測試人員風險管理 角色群組。 使用單一角色群組或多個角色群組,以最符合您的合規性管理需求。
使用內部風險管理時,請從這些角色群組選項和解決方案動作中選擇:
動作 | 內部風險管理 | 測試人員風險管理管理員 | 測試人員風險管理分析員 | 測試人員風險管理調查員 | 測試人員風險管理稽核員 | 測試人員風險管理核准者 |
---|---|---|---|---|---|---|
設定原則和設定 | 是 | 是 | 否 | 否 | 否 | 否 |
存取分析深入解析 | 是 | 是 | 是 | 否 | 否 | 否 |
存取 & 調查警示 | 是 | 否 | 是 | 是 | 否 | 否 |
存取 & 調查案例 | 是 | 否 | 是 | 是 | 否 | 否 |
存取 & 檢視內容總管 | 是 | 否 | 否 | 是 | 否 | 否 |
設定通知範本 | 是 | 否 | 是 | 是 | 否 | 否 |
檢視 & 匯出稽核記錄 | 是 | 否 | 否 | 否 | 是 | 否 |
存取 & 檢視鑑識辨識項擷取 | 是 | 否 | 否 | 是 | 否 | 否 |
建立鑑識辨識項擷取要求 | 是 | 是 | 否 | 否 | 否 | 否 |
核准鑑識辨識項擷取要求 | 是 | 否 | 否 | 否 | 否 | 是 |
設定調適型保護 | 是 | 是 | 否 | 否 | 否 | 否 |
檢視調適型保護使用者索引標籤 | 是 | 否 | 是 | 是 | 否 | 否 |
重要事項
請確定您在內建的 測試人員風險管理 或 測試人員風險管理 系統管理員角色群組中一律至少有一個使用者 (視您選擇的選項) ,如此一來,如果特定使用者離開您的組織,您的內部風險管理設定就不會進入「零系統管理員」案例。
下列角色的成員可以將使用者指派給測試人員風險管理角色群組,並具有與 測試人員風險管理系統管理員 角色群組包含的相同解決方案許可權:
- Microsoft Entra ID 全域管理員
- Microsoft Entra ID 合規性系統管理員
- Microsoft Purview 組織管理
- Microsoft Purview 合規性系統管理員
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
將使用者新增至測試人員風險管理角色群組
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 選 取 頁面右上角的 [設定],選取 [ 角色和群組],然後選取左側瀏覽窗格中的 [ 角色群組 ]。
- 選取 [ 測試人員風險管理 ] 角色群組,然後選取 [ 編輯]。
- 選 取 [選擇使用者],然後選取您要新增至角色群組之所有使用者的複選框。
- 選擇 [選取],然後選取 [ 下一步]。
- 選 取 [儲存 ] 將使用者新增至角色群組,然後選取 [ 完成]。
如果您想要將用戶權力限定在區域或部門,請考慮管理單位
您可以在測試人員風險管理 (預覽) 中使用管理單位,將用戶權力限定在特定地理位置或部門。 例如,在全球有子公司的全球公司可能會想要建立一個系統管理單位,為調查人員提供德文範圍,讓他們只看到德國用戶的用戶活動。
若要在內部風險管理中使用系統管理單位,您必須先建立系統管理 單位 (如果尚未建立) ,然後將系統管理單位指派給角色群組的成員。 將系統管理單位指派給角色群組的成員之後,這些成員會變成 受限制的系統管理員 ,且對組織中的內部風險管理設定、原則和用戶數據的存取權有限。 未指派管理單位的成員是 不受限制的系統管理員 ,而且可以存取所有設定、原則和用戶數據。
重要事項
受限制的系統管理員無法透過管理單位中新增的安全組或通訊群組,存取指派給他們之使用者的警示。 只有不受限制的系統管理員可以看到這類使用者警示。 Microsoft建議將使用者直接新增至管理單位,以確保其警示也會顯示給已指派管理單位的限制系統管理員。
系統管理單位的範圍對內部風險管理角色的影響
下表顯示系統管理員單位在強制執行時如何影響測試人員風險管理工作/角色的每個組合。
注意事項
在下表中,限定範圍表示該角色的系統管理員動作受限於其指派的系統管理單位。
工作 | 限定範圍的測試人員風險管理 | 限定範圍的測試人員風險管理 管理員 | 限定範圍的測試人員風險管理分析師 | 限定範圍的測試人員風險管理調查人員 | 限定範圍的測試人員風險管理核准者 |
---|---|---|---|---|---|
設定全域設定 | 不受限制 | 不受限制 | 永不允許 | 永不允許 | 永不允許 |
設定原則 | 範圍 | 範圍 | 永不允許 | 永不允許 | 永不允許 |
開始用戶評分活動 | 範圍 | 範圍 | 範圍 | 範圍 | 永不允許 |
存取分析深入解析 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 |
存取和調查警示 | 範圍 | 永不允許 | 範圍 | 範圍 | 永不允許 |
調查用戶活動 | 範圍 | 永不允許 | 永不允許 | 範圍 | 永不允許 |
存取和調查案例 | 範圍 | 永不允許 | 範圍 | 範圍 | 永不允許 |
存取和檢視內容總管 | 不受限制 | 永不允許 | 永不允許 | 不受限制 | 永不允許 |
設定通知範本 | 不受限制 | 永不允許 | 不受限制 | 不受限制 | 永不允許 |
存取和檢視鑑識辨識項擷取 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 不允許,如果已設定範圍 | 永不允許 |
建立鑑識辨識項擷取要求 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
核准鑑識辨識項擷取要求 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 | 不允許,如果已設定範圍 |
設定調適型保護 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
檢視調適型保護使用者索引標籤 | 不允許,如果已設定範圍 | 永不允許 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 |
檢視裝置健康情況報告 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
建立快速原則 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
設定優先順序使用者特定原則 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
設定優先順序使用者群組 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 | 永不允許 | 永不允許 |
指派或重新指派警示 | 不允許,如果已設定範圍 | 永不允許 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 |
指派或重新指派案例 | 不允許,如果已設定範圍 | 永不允許 | 不允許,如果已設定範圍 | 不允許,如果已設定範圍 | 永不允許 |
注意事項
您可以 使用調適型範圍 (預覽,搭配系統管理員單位) 內部風險管理。 如果角色群組的範圍是由您組織的一或多個系統管理員單位所設定,當您建立或編輯原則時可選取的調適型範圍會受限於系統管理單位。
步驟 2 (必要) :啟用Microsoft 365 稽核記錄
測試人員風險管理會使用Microsoft 365 稽核記錄,來取得原則和分析深入解析中識別的使用者深入解析和風險管理活動。 Microsoft 365 稽核記錄是組織內所有活動的摘要,而內部風險管理原則可能會使用這些活動來產生原則深入解析。
預設會針對 Microsoft 365 組織啟用稽核。 某些組織可能因為特定原因停用稽核。 如果已為組織停用稽核,這可能是因為另一個系統管理員已將其關閉。 建議您在完成此步驟時,確認可以重新開啟稽核。
如需開啟稽核的逐步指示,請參閱開啟或關閉稽核記錄搜尋。 開啟稽核後,就會顯示一則訊息,表示正在準備稽核記錄,而您可以在準備完成 (約幾小時) 後執行搜尋。 您只須執行此動作一次。 如需使用 Microsoft 365 稽核記錄的詳細資訊,請參閱搜尋稽核記錄。
步驟 3 (選擇性) :啟用和檢視測試人員風險分析深入解析
如果您啟用測試人員風險管理分析,您可以:
- 在建立原則之前,請先掃描潛在內部風險。 您可以在不設定任何內部風險原則的情況下,對組織中的潛在內部風險進行評估。 這項評估可協助您的組織找出用戶風險較高的潛在區域,並協助判斷您可能想要設定的內部風險管理原則類型和範圍。 這項評估也可協助您判斷對現有原則進行額外授權或未來優化的需求。 分析掃描結果最多可能需要 48 小時的時間,深入解析才能以報告形式提供檢閱。 若要深入瞭解分析深入解析,請參閱 測試人員風險管理設定:分析 並查看 測試人員風險管理分析影片 ,以協助瞭解分析如何協助加速識別潛在的內部風險,並協助您快速採取行動。
- 接收指標閾值設定的實時建議。 手動調整原則以減少「雜訊」可能是非常耗時的體驗,需要您進行大量的試用和錯誤,以判斷您原則所需的設定。 如果開啟分析,內部風險管理可以提供指標閾值的實時建議。 您也可以手動調整所提供的建議,並根據您所做的變更,即時查看有多少用戶會進入原則範圍。 深入了解即時指標閾值建議
注意事項
若要啟用測試人員風險分析,您必須是 測試人員風險管理、 測試人員風險管理管理員或Microsoft 365 全域系統管理員 角色群組的成員。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
啟用測試人員風險分析
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 在 [ 概觀] 索引 標籤的 [掃描組織內部風險 ] 卡片上,選取 [ 執行掃描]。 此動作會開啟組織的分析掃描。 您也可以移至 [測試人員風險設定>分析 ] 並啟用 [掃描租使用者的用戶活動] 來識別潛在的內部風險,以開啟掃描。
- 在 [ 分析詳細數據 ] 窗格上,選取 [ 執行掃描] 以開始組織的掃描。 分析掃描結果最多可能需要 48 小時的時間,深入解析才能以報告形式提供檢閱。
檢閱分析深入解析之後,請選擇內部風險原則,並設定最符合貴組織內部風險降低策略的相關必要條件。
步驟 4 (建議) :設定原則的必要條件
大部分的內部風險管理原則都有必要條件,必須針對原則指標進行設定,才能產生相關的活動警示。 根據您計劃為組織設定的原則,設定適當的必要條件。
線上到 Microsoft Defender中的雲端應用程式
測試人員風險管理包含下列雲端指標 (預覽) :
- 雲端記憶體指標,包括Google雲端硬碟、Box和Dropbox
- 雲端服務指標,包括 Amazon S3 和 Azure (記憶體和 SQL Server)
雲端記憶體指標
使用雲端記憶體指標偵測 Google 雲端硬碟、Box 和 Dropbox 中的下列活動:
- 發現: 用來找出環境的技術
- 收集: 用來收集感興趣數據的技術
- 外流: 用來竊取數據的技術,例如敏感性檔
- 刪除 (影響) : 用來中斷可用性或危害系統完整性的技術
雲端服務指標
使用雲端服務指標偵測 Amazon S3 和 Azure 中的下列活動:
- 防禦規避:藉由停用追蹤記錄或更新或刪除防火牆規則來避免偵 SQL Server 測有風險活動的技術
- 外流: 用來竊取數據的技術,例如敏感性檔
- 刪除 (影響) : 用來中斷可用性或危害系統完整性的技術
- 許可權提升: 用來取得系統和數據更高層級許可權的技術
存取雲端指標的必要條件
若要從內部風險管理設定和原則中的雲端指標中選取,如果您尚未這麼做,則必須先連線到相關雲端應用程式 () Microsoft Defender。
線上到應用程式 () 之後,指標將可從 [原則 指標設定 ] 頁面和個別原則取得。
設定測試人員風險指標 (預覽) 連接器
您可以藉由匯入非Microsoft (第三方) 工作負載的偵測,來擴充測試人員風險管理。 例如,您可能想要擴充偵測以包含 Salesforce 和 Dropbox 活動,並將其與內部風險管理解決方案所提供的內建偵測搭配使用,其著重於 SharePoint Online 和 Exchange Online 等Microsoft服務。
若要將您自己的偵測帶入內部風險管理解決方案,您可以從安全性資訊和事件管理匯入前置處理的匯總偵測, (SIEM) 解決方案,例如 Microsoft Sentinel 或 Splunk。 若要這麼做,請將範例檔案匯入測試人員風險指標連接器精靈。 連接器精靈會分析範例檔案,並設定必要的架構。
注意事項
目前,您無法將「原始」偵測訊號匯入內部風險管理。 您只能將預先處理的匯總匯入為檔案。
您可以使用自訂指標作為:
- 用來將使用者帶入原則範圍的觸發程式。
- 用來為用戶評分風險的原則指標。
如需為組織設定測試 人員風險指標連接器 的逐步指引,請參閱測試人員風險指標連接器一文。 設定連接器之後,請返回這些設定步驟。
設定 Microsoft 365 HR 連接器
測試人員風險管理支援從協力廠商風險管理和人力資源平台匯入使用者和記錄資料。 Microsoft 365 人力資源 (人力資源) 數據連接器可讓您從 CSV 檔案提取人力資源數據,包括用戶終止日期、上次僱用日期、效能改進計劃通知、效能檢閱動作和作業層級變更狀態。 此資料可協助推動測試人員風險管理原則中的警示指標,且是在組織中設定完整風險管理覆蓋範圍的重要部分。 如果您為組織設定多個 HR 連接器,內部風險管理會自動從所有 HR 連接器提取指標。
使用下列原則範本時,需要Microsoft 365 HR 連接器:
- 有風險用戶的數據外洩
- 離職用戶數據竊取
- 病患數據誤用
- 離職使用者造成的安全性原則違規
- 有風險的用戶違反安全策略
如需為組織設定 Microsoft 365 HR 連接器的逐步指引,請參閱設定 連接器以匯入 HR 數據 一文。 設定 HR 連接器之後,請返回這些設定步驟。
設定醫療保健特定的數據連接器
測試人員風險管理支援匯入從現有電子醫療記錄 (EMR) 系統上第三方匯入的使用者和記錄數據。 Microsoft Healthcare 和 Epic 數據連接器可讓您使用 CSV 檔案從 EMR 系統提取活動數據,包括不當的病患記錄存取、可疑的磁碟區活動,以及編輯和導出活動。 此資料可協助推動測試人員風險管理原則中的警示指標,且是在組織中設定完整風險管理覆蓋範圍的重要部分。
如果您為組織設定多個 Healthcare 或 Epic 連接器,內部風險管理會自動支援來自所有 Healthcare 和 Epic 連接器的事件和活動訊號。 使用下列原則範本時,需要Microsoft 365 Healthcare 或 Epic 連接器:
- 病患數據誤用
如需為貴組織設定醫療保健特定連接器的逐步指引,請參閱 設定連接器以匯入醫療保健數據 或 設定連接器以匯入 Epic EHR 數據 一文。 設定連接器之後,請返回這些設定步驟。
設定數據外洩防護 (DLP) 原則
內部風險管理支援使用 DLP 原則,協助識別針對高嚴重性層級 DLP 警示,刻意或意外將敏感性資訊暴露給不想要的一方。 使用任何 數據外 泄範本設定內部風險管理原則時,您可以針對這些類型的警示,將特定 DLP 原則指派給原則。
提示
您也可以在內部風險管理中使用調適型保護,以動態方式將 DLP 保護控件套用至高風險使用者,同時維持較低風險使用者的生產力。 深入瞭解調適型保護
數據遺失原則可協助識別使用者在內部風險管理中啟用風險評分,以取得敏感性資訊的高嚴重性 DLP 警示,也是在組織中設定完整風險管理涵蓋範圍的重要部分。 如需內部風險管理和 DLP 原則整合和規劃考慮的詳細資訊,請參閱 測試人員風險管理原則。
重要事項
請確定您已完成下列作業:
- 您瞭解並正確設定 DLP 和內部風險管理原則中的範圍內使用者,以產生您預期的原則涵蓋範圍。
- 搭配這些範本使用的測試人員風險管理 DLP 原則中 的事件報告 設定會針對 高 嚴重性層級警示進行設定。 內部風險管理警示不會從 DLP 原則產生, 且事件報告 字段設定為 [低 ] 或 [中]。
使用下列原則範本時,DLP 原則是選擇性的:
- 資料外洩
- 優先使用者造成的資料外洩
如需為組織設定 DLP 原則的逐步指引,請參閱 建立和部署數據外洩防護 原則一文。 設定 DLP 原則後,請返回這些設定步驟。
注意事項
端點 DLP 現在支援虛擬化環境,這表示內部風險管理解決方案支援透過端點 DLP 的虛擬化環境。 深入瞭解端點 DLP 中虛擬化環境的支援。
使用 Microsoft Defender 和 DLP 警示設定內部風險層級的共用
您可以從內部風險管理 (預覽) 共用內部風險層級,以將唯一的用戶內容帶入 Microsoft Defender 和 DLP 警示。 測試人員風險管理會分析 90-120 天內的用戶活動,並尋找該期間內的異常行為。 將此數據新增至 Microsoft Defender 和 DLP 警示可增強這些解決方案中可用的數據,以協助分析師排定警示的優先順序。 深入瞭解與 Microsoft Defender和 DLP 警示共用用戶風險嚴重性層級。
共用內部風險管理用戶風險嚴重性層級也會增強安全性 Microsoft Copilot。 例如,在 Copilot for Security 中,您可能想要從要求 Copilot 摘要 DLP 警示開始,然後要求 Copilot 顯示與警示中標幟的使用者相關聯的內部風險層級。 或者,您可能想要詢問為何會將用戶視為高風險使用者。 在此案例中,用戶風險資訊來自內部風險管理。 Copilot for Security 可將內部風險管理與 DLP 緊密整合,以協助調查。 深入瞭解如何使用獨立版本的 Copilot 進行合併的 DLP/內部風險管理調查。
設定優先順序使用者群組
測試人員風險管理支援將優先使用者群組指派給原則,以協助識別具有重要位置、高數據層級和網路存取,或過去風險行為歷程記錄之使用者的唯一風險活動。 建立優先順序使用者群組,並將使用者指派給群組說明範圍原則,以瞭解這些使用者所呈現的唯一情況。
您可以建立優先順序使用者群組,並將使用者指派給群組,以協助您將原則限定於這些已識別使用者所呈現的唯一情況。 若要啟用 優先順序使用者群組 風險分數提升器,請移至 [ 測試人員風險管理設定 ] 頁面,然後選取 [ 原則指標 ] 和 [ 風險分數提升器]。 這些識別的使用者較可能收到 警示,因此分析師和調查人員可以檢閱這些用戶的風險嚴重性並設定其優先順序,以協助根據貴組織的風險原則和標準來分級警示。
使用下列原則範本時,需要優先順序使用者群組:
- 優先使用者的安全性原則違規
- 優先使用者造成的資料外洩
如需逐步設定指引,請參閱 開始使用內部風險管理設定 一文。
設定實體徽章連接器
內部風險管理支援從實體控制和存取平臺匯入用戶和記錄數據。 實體徽章連接器可讓您從 JSON 檔案提取存取數據,包括使用者識別碼、存取點標識碼、存取時間和日期,以及存取狀態。 此資料可協助推動測試人員風險管理原則中的警示指標,且是在組織中設定完整風險管理覆蓋範圍的重要部分。 如果您為組織設定多個實體錯誤連接器,內部風險管理會自動從所有實體徽章連接器提取指標。 實體徽章連接器的資訊可在使用所有內部風險原則範本時,補充其他內部風險訊號。
重要事項
若要讓內部風險管理原則使用與離職和已終止使用者相關的訊號數據與實體控制和存取平臺的事件數據相互關聯,您也必須設定Microsoft 365 HR 連接器。 如果您啟用實體徽章連接器,但未啟用 Microsoft 365 HR 連接器,則內部風險管理原則只會處理貴組織中使用者未經授權實體存取的事件。
如需為組織設定實體徽章連接器的逐步指引,請參閱 設定連接器以匯入實體徽章數據 一文。 設定連接器之後,請返回這些設定步驟。
設定適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 是企業端點安全性平臺,其設計目的是協助企業網路預防、偵測、調查及回應進階威脅。 若要更清楚地了解組織中的安全性違規,您可以匯入並篩選適用於端點的 Defender 警示,以瞭解從內部風險管理安全性違規原則範本建立之原則中所使用的活動。
如果您建立安全性違規原則,您必須在組織中設定 適用於端點的 Microsoft Defender,並在Defender資訊安全中心啟用適用於端點的Defender內部風險管理整合,以匯入安全性違規警示。 如需需求的詳細資訊,請參閱 適用於端點的 Microsoft Defender 的最低需求一文。
如需設定適用於端點的 Defender 以進行內部風險管理整合的逐步指引,請參閱在 適用於端點的 Defender 中設定進階功能一文。 設定 適用於端點的 Microsoft Defender 之後,請返回這些設定步驟。
設定鑑識辨識項
在鑑識調查期間,擁有可視化內容對於安全性小組而言非常重要,以深入瞭解可能導致安全性事件的風險性用戶活動。 透過可自定義的事件觸發程式和內建的使用者隱私權保護控制,鑑識辨識項可讓您跨裝置自定義擷取,以協助貴組織進一步減輕、瞭解及回應潛在的數據風險,例如未經授權的數據外流敏感數據。
如需為組織設定鑑識辨識項的逐步指引,請參閱 開始使用內部風險管理鑑識辨識 項一文。
設定光學字元識別
Microsoft Purview 可以掃描檔中的敏感性內容,以協助保護這些檔免於不當曝光。 當您在 Microsoft Purview 中啟用光學字元識別 (OCR) 時,敏感性資訊類型和可訓練分類器等數據分類器也可以偵測獨立影像中的字元。 在預覽) (設定 OCR 設定之後,您現有的內部風險原則將會同時套用至影像和檔。
針對 OCR 預覽版,內部風險管理支援在下列位置進行掃描:Windows 端點裝置、SharePoint Online 和 Teams。 預覽不支援 Exchange Online和 OneDrive。
OCR 設定不適用於內部風險管理中的鑑識辨識項剪輯。
步驟 5 (必要) :設定測試人員風險設定
不論您在建立原則時選擇的範本為何,測試人員風險設定都適用於所有內部風險管理原則。 設定是使用位於內部風險管理頁面頂端的 [ 設定 ] 來設定。 這些設定可控制隱私權、指標、全域排除專案、偵測群組、智慧型偵測等等。 深入瞭解建立原則之前要考慮的設定。
步驟 6 (必要) :建立內部風險管理原則
測試人員風險管理原則包括指派的使用者,並定義針對警示設定的風險指標類型。 在有潛在風險的活動可以觸發警示之前,必須先設定原則。 使用原則精靈來建立新的內部風險管理原則。
注意事項
若要建立非Microsoft工作負載的自定義觸發程式或指標,請參閱 自定義指標。
建立原則
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選 取 左側導覽中的原則。
選取 [建立原則] 以開啟原則精靈。
在 [原則範本] 頁面,選擇一個原則類別,然後為新原則選取範本。 這些範本是由各種條件和指標組成,可定義您要偵測及調查的風險活動。 檢閱範本先決條件、觸發事件和偵測到的活動,以確認此原則範本符合您的需求。
重要事項
某些原則範本具有先決條件,必須針對該原則進行先決條件,以產生相關警示。 如果您尚未設定適用的原則必要條件,請參閱上述步驟 4。
選取 [下一步] 繼續。
在 [名稱與訂閱] 頁面上,完成下列欄位:
- 名稱 (必要):為原則輸入好記的名稱。 建立原則之後,就無法變更此名稱。
- 說明 (選用):輸入原則的說明。
選取 [下一步] 繼續。
如果您的租使用者已建立系統管理單位,您會看到 [管理員 單位] 頁面。 否則,您會看到 [ 使用者和群組 ] 頁面,並可跳至下一個步驟。
如果您想要將原則的範圍設定為一或多個系統管理單位,請選取 [ 新增系統管理單位],然後選取您要套用至原則的管理單位 () 。
注意事項
您只能看到範圍設為您角色的系統管理單位。 如果您是不受限制的系統管理員,您可以看到租使用者的所有系統管理員單位。 若要檢視指派給您的角色群組和系統管理單位的摘要,請選取 [ 檢視我的許可權]。
選取 [下一步] 繼續。
在 [ 使用者和群組] 頁面上,選取下列其中一個選項:
包含所有使用者和群組。 選取此選項會導致內部風險管理尋找觸發事件,讓組織中的所有使用者和群組開始指派原則的風險分數。
如果您的原則 受限於一或多個系統管理單位,此選項會選取管理單位內的所有使用者和群組 () 。
注意事項
若要利用即時分析 (預覽) 指標閾值設定,您必須將原則的範圍設定為 包含所有使用者和群組。 即時分析可讓您查看可能即時符合一組指定原則條件的用戶數目估計值。 這可協助您有效率地調整選取的指標和活動發生閾值,讓您沒有太多或太多原則警示。 將原則的範圍設定為 包含所有使用者和群組 ,也可在整個租使用者中提供更好的整體保護。 如需指標閾值設定之即時分析的詳細資訊,請 參閱指標層級設定。
包含特定使用者和群組。 選取此選項可定義原則中包含哪些使用者或群組。
如果您的原則 受限於一或多個系統管理單位,您只能選擇系統管理單位範圍內的使用者。
注意事項
不支援來賓帳戶。
調適型範圍。 如果您選取 [ 包含特定使用者和群組 ] 選項, (預覽測試人員風險管理) 會出現此選項。 選 取 [新增或編輯調適型範圍] ,將 調適型範圍套用至原則。 您必須先建立調適型範圍,才能建立或編輯原則。 如果原則也 受限於一或多個系統管理單位,則系統管理單位 () 會限制您可用的調適型範圍。 瞭解調適型範圍如何與系統管理單位搭配運作。
新增或編輯優先順序使用者群組。 只有當您選擇優先 用戶的數據外泄 範本時,才會出現此選項。 選取此選項,然後新增或編輯優先順序使用者群組。
注意事項
如果原則範本是以優先順序使用者群組為基礎,您就無法選取管理 單位 來設定原則的範圍。 優先順序使用者群組目前不支援與系統管理單位搭配使用。
選取 [下一步] 繼續。
如果您在上一個步驟中選取 [ 包含所有使用者和群組 ],[ 排除使用者和群組 (選擇性) (預覽) 頁面隨即出現。
注意事項
此時,您必須選取 [ 包含所有使用者和群組 ] 來排除使用者和群組。
如果您想要從原則範圍中排除特定使用者或群組,請使用此頁面。 例如,您可能想要建立一個原則,以偵測整個組織中的人員有潛在風險的動作,但排除執行層級銷售經理。 選 取 [新增或編輯使用者] 或 [新增或編輯群組 ],以選取您要排除的使用者或群組。 如果您的原則 受一或多個系統管理單位限制,您只能排除系統管理單位範圍內的使用者或群組。
在 [排定優先順序內容] 頁面上,您可以指派 (如有必要) 要優先處理的來源,這會增加產生這些來源高嚴重性警示的機會。 請選取下列其中一個選項:
我想要排定內容的優先順序。 選取此選項可讓您排定 SharePoint 網站、 敏感度標籤、 敏感性資訊類型和 擴展 名內容類型的優先順序。 如果您選擇此選項,則必須至少選取一個優先順序內容類型。
我目前不想要指定優先順序內容。 如果您選取此選項,則會略過精靈中的優先順序內容詳細數據頁面。
選取 [下一步] 繼續。
如果您已選取我想要在上一個步驟中排 定內容的優先順序 ,您會看到 SharePoint 網站、 敏感度標籤、 敏感性資訊類型、 擴展名和評分的詳細 數據頁面。 使用這些詳細數據頁面來定義 SharePoint、敏感性資訊類型、敏感度標籤、可訓練分類器和擴展名,以在原則中設定優先順序。 [ 評分 詳細數據] 頁面可讓您將原則的範圍設定為僅指派風險分數,並針對包含優先順序內容的指定活動產生警示。
SharePoint 網站:選取 [新增 SharePoint 網站],然後選取您具有存取權且想要排定為優先順序的 SharePoint 網站。 例如,“group1@contoso.sharepoint.com/sites/group1”。
注意事項
如果您的原則 受限於一或多個系統管理單位,您仍會看到所有 SharePoint 網站,而不只是限定在系統管理單位 () 的 SharePoint 網站,因為系統管理單位不支援 SharePoint 網站。
敏感性資訊類型:選取 [新增敏感性資訊類型],然後選取要設定優先順序的敏感性類型。 例如,[美國銀行帳戶號碼] 和 [信用卡號碼]。
敏感度標籤:選取 [新增敏感度標籤],然後選取要設定優先順序的標籤。 例如,[機密] 和 [密碼]。
可訓練分類器:選取 [新增可訓練分類器 ],然後選取您想要設定優先順序的可訓練分類器。 例如, 原始程式碼。
擴展名:最多新增50個擴展名。 您可以在擴展名中包含或省略 『.』。 例如, .py 或 py 會優先處理 Python 檔案。
評分:決定是否要將風險分數指派給此原則偵測到的所有風險管理活動,或僅指派給包含優先順序內容的活動。 選擇 [取得所有活動的警示 ] 或 [只取得包含優先順序內容之活動的警示]。
選取 [下一步] 繼續。
如果您已選取優先使用者範本的數據 外洩 或 數據外 洩,您會在此原則的 [觸發程式 ] 頁面上看到自定義觸發事件和原則指標的選項。 您可以選擇選取 DLP 原則或指標來觸發事件,以將使用者指派給活動評分範圍中的原則。 如果您選取 [ 使用者符合數據外洩防護 (DLP) 原則觸發事件 ] 選項,您必須從 [DLP 原則] 下拉式清單中選取 DLP 原則,才能為此測試人員風險管理原則啟用 DLP 原則的觸發指標。 如果您選取 [ 使用者執行外流活動觸發事件 ] 選項,您必須選取一或多個列出的原則觸發事件指標。
注意事項
管理單位目前不支援優先順序使用者群組。 如果您要根據優先用戶範本的數據 外泄 或 優先用戶 範本的安全策略違規來建立原則,則無法選取系統管理單位來界定原則的範圍。 不受限制的系統管理員可以選取優先順序使用者群組,而不需要選取系統管理單位,但受限制或限定範圍的系統管理員完全無法建立這些原則。
重要事項
如果您無法選取列出的指標或順序,這是因為組織目前尚未啟用這些指標或序列。 若要讓它們可供選取並指派給原則,請選取 [開啟指標 ] 提示。
如果您已選取其他原則範本,則不支援自定義觸發事件。 套用內建原則觸發事件。 跳至步驟 15 而不定義原則屬性。
如果您已選取 有風險用戶的數據外洩 或 有風險的使用者範本違反安全 策略,您會在 [此原則的觸發程式 ] 頁面上看到與通訊合規性和 HR 數據連接器事件整合的選項。 當使用者傳送包含潛在威脅、破壞或惡意語言的訊息,或在 HR 系統回報有風險的使用者事件之後,將使用者帶入原則範圍時,您可以選擇指派風險分數。 如果您 從通訊合規性 (預覽) 選項中選取 [風險觸發程式],您可以接受 (自動建立) 的預設通訊合規性原則、為此觸發程式選擇先前建立的原則範圍,或建立另一個限定範圍的原則。 如果您選取 HR 資料連接器事件,您必須為組織設定 HR 資料連接器。
選取 [下一步] 繼續。
如果您已依優先順序用戶範本選取 [數據外泄] 或 [數據外泄] 範本,並已選取 [使用者執行外泄活動和相關聯的指標],您可以選擇自定義或預設閾值來觸發您所選取的事件。 選擇 [ 使用預設閾值 (建議) ] 或 [ 針對觸發事件使用自定義閾值]。
選取 [下一步] 繼續。
如果您已選取 [ 針對觸發事件使用自定義閾值],請針對您在步驟 10 中選取的每個觸發事件指標,選擇適當的層級來產生所需的活動警示層級。 您可以根據特定指標的異常活動 (使用建議的閾值、自定義閾值或閾值,) 高於使用者的每日標準。
選取 [下一步] 繼續。
在 [原則指標] 頁面上,您會在 [測試人員風險設定指標] 頁面上看到您已定義為可用的>指標,如果您已定義任何指標變體,則會包含指標變體。 選取要套用至原則的指標。
重要事項
如果無法選取此頁面上的指標,您則需選取要針對所有原則啟用的指標。 您可以在精靈中使用 [開啟指標],或在 [測試人員風險管理>設定>原則指標] 頁面上選取指標。
如果您至少選取了一個 [Office] 或 [裝置] 指標,請根據需要選取 [風險分數提升程式]。 風險分數提升程式僅適用于選取的指標。 如果您選取 [資料竊取] 或 [資料外洩] 原則範本,請選取一或多個 [序列偵測] 方法和 [累積外洩偵測] 方法,以套用至該原則。 如果您已選取有 風險的瀏覽器使用 原則範本,請選取一或多個 瀏覽指標。
選取 [下一步] 繼續。
在 [ 決定要使用預設值或自定義指標閾值 ] 頁面上,為您選取的原則指標選擇自定義或默認閾值。 選擇 [ 為所有指標使用預設閾值 ] 或 [指定所選原則指標的 自定義閾值 ]。 如果您已選取 [ 指定自定義閾值],請選擇適當的層級,為每個原則指標產生所需的活動警示層級。
提示
選取每個閾值設定集下方深入解析中的 [ 檢視影響 ] 連結,以檢視可協助您判斷適當閾值設定的圖表。 深入瞭解手動自定義閾值。
選取 [下一步] 繼續。
在 [檢閱]頁面上 ,查看您針對該原則所選擇的設定,以及您所選項目的任何建議或警告。 選取 [編輯] 以變更任何原則值,或選取 [提交] 來建立並啟用原則。
後續步驟
完成這些步驟以建立第一個測試人員風險管理原則後,您會在大約 24 小時後開始從活動指標收到警示。 使用本文步驟 4 中的指引或建立 新的內部風險原則中的步驟,視需要設定其他原則。
若要深入瞭解調查測試人員風險警示和 警示儀錶板,請參閱 測試人員風險管理活動。