内部风险管理取证证据入门

重要

取证证据是预览体验成员风险管理中的一项选择加入加载项功能，可让安全团队直观地洞察潜在的内部数据安全事件，并内置了用户隐私。 取证证据包括可自定义的事件触发器和内置的用户隐私保护控件，使安全团队能够更好地调查、了解和响应潜在的内部数据风险，例如未经授权的敏感数据外泄。

组织为自己设置正确的策略，包括哪些风险事件是捕获取证证据的最高优先级，以及哪些数据最敏感。 默认情况下，取证证据处于关闭状态，策略创建需要双重授权，并且可以使用假名 (屏蔽用户名，这是内部风险管理) 默认启用的。 在预览体验成员风险管理中设置策略和查看安全警报利用强大的基于角色的访问控制 (RBAC) ，确保组织中的指定人员采取正确的操作以及附加的审核功能。

重要

Microsoft Purview 内部风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

配置取证证据

在组织中配置取证证据类似于从内部风险管理策略模板配置其他策略。 通常，你将遵循相同的基本配置步骤来设置取证证据，但在开始执行基本配置步骤之前，有一些方面需要执行特定于功能的配置操作。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

步骤 1：确认订阅并配置数据存储访问权限

在开始使用取证证据之前，应确认 内部风险管理订阅 和任何加载项。

此外，还需要将以下域添加到防火墙允许列表，以支持组织的取证证据捕获存储：

• compliancedrive.microsoft.com

捕获和捕获数据存储在此域中，仅分配给组织。 没有其他 Microsoft 365 组织有权访问组织的取证证据捕获。

注意

取证数据存储在设置Exchange Online Protection (EOP) 或交换区域的一个区域中。

步骤 2：配置受支持的设备

符合取证证据捕获条件的用户设备必须载入Microsoft Purview 合规门户，并且必须安装 Microsoft Purview 客户端。

重要

Microsoft Purview 客户端自动收集与设备配置和性能指标相关的常规诊断数据。 这包括有关严重错误、RAM 消耗、进程故障和其他数据的数据。 此数据可帮助我们评估客户的运行状况并确定任何问题。 有关如何使用诊断数据的更多详细信息，请参阅 Microsoft 产品条款中的软件与联机服务配合使用。

有关设备和配置要求的列表，请参阅 了解取证证据。 若要加入支持的设备，请完成将Windows 10和Windows 11设备加入 Microsoft 365 概述一文中所述的步骤。

安装 Microsoft Purview 客户端

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 在左侧导航栏中选择“ 取证证据 ”，然后选择“ 客户端安装”。

4. 选择 “下载安装程序包 (x64 版本) ”以下载适用于 Windows 的安装包。

5. 下载安装包后，使用首选方法在用户的设备上安装客户端。 这些选项可能包括在设备或工具上手动安装客户端，以帮助自动执行客户端安装：

   • Microsoft Intune：Microsoft Intune是用于管理所有设备的集成解决方案。 Microsoft 将Configuration Manager和Intune汇集在一起，无需复杂的迁移，并且具有简化的许可。
   • 第三方设备管理解决方案：如果你的组织正在使用第三方设备管理解决方案，请参阅这些工具的文档来安装客户端。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 转到 “取证证据>客户端安装”。

4. 选择 “下载安装程序包 (x64 版本) ”以下载适用于 Windows 的安装包。

5. 下载安装包后，使用首选方法在用户的设备上安装客户端。 这些选项可能包括在设备或工具上手动安装客户端，以帮助自动执行客户端安装：

   • Microsoft Intune：Microsoft Intune是用于管理所有设备的集成解决方案。 Microsoft 将Configuration Manager和Intune汇集在一起，无需复杂的迁移，并且具有简化的许可。
   • 第三方设备管理解决方案：如果你的组织正在使用第三方设备管理解决方案，请参阅这些工具的文档来安装客户端。

步骤 3：配置设置

取证证据具有多个配置设置，可为捕获的安全相关用户活动类型、捕获参数、带宽限制和脱机捕获选项提供灵活性。 通过取证捕获，只需几个步骤即可根据要求创建策略，将用户添加到策略需要双重授权。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 在左侧导航栏中选择“ 取证证据 ”，然后选择“ 取证证据设置”。

4. 选择“ 取证证据捕获 ”，以便在取证证据策略中启用捕获支持。 如果稍后关闭此功能，这将删除以前为取证证据策略添加的所有用户。

   重要

   用于在用户设备上捕获活动的 Microsoft Purview 客户端根据 Microsoft 产品条款将软件与联机服务配合使用而获得许可。 请注意，客户完全负责使用内部风险管理解决方案，包括 Microsoft Purview 客户端，以符合所有适用法律。

5. 在 “捕获窗口 ”部分中，定义何时开始和停止活动捕获。 可用值为 10 秒、 30 秒、 1 分钟、 3 分钟或 5 分钟。

6. 在 “上传带宽限制 ”部分中，定义每个用户每天要上传到数据存储帐户的捕获数据量。 可用值为 100 MB、 250 MB、 500 MB、 1 GB 或 2 GB。

7. 在 “脱机捕获缓存限制 ”部分中，定义启用脱机捕获时要在用户设备上存储的最大缓存大小。 可用值为 100 MB、 250 MB、 500 MB、 1 GB 或 2 GB。

8. 选择“保存”。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到Microsoft Purview 合规门户。

2. 转到 预览体验成员风险管理 解决方案。

3. 转到 “取证证据>取证”“取证证据设置”。

4. 选择“ 取证证据捕获 ”，以便在取证证据策略中启用捕获支持。 如果稍后关闭此功能，这将删除以前为取证证据策略添加的所有用户。

   重要

   用于在用户设备上捕获活动的 Microsoft Purview 客户端根据 Microsoft 产品条款将软件与联机服务配合使用而获得许可。 请注意，客户完全负责使用内部风险管理解决方案，包括 Microsoft Purview 客户端，以符合所有适用法律。

5. 在 “捕获窗口 ”部分中，定义何时开始和停止活动捕获。 可用值为 10 秒、 30 秒、 1 分钟、 3 分钟或 5 分钟。

6. 在 “上传带宽限制 ”部分中，定义每个用户每天要上传到数据存储帐户的捕获数据量。 可用值为 100 MB、 250 MB、 500 MB、 1 GB 或 2 GB。

7. 在 “脱机捕获缓存限制 ”部分中，定义启用脱机捕获时要在用户设备上存储的最大缓存大小。 可用值为 100 MB、 250 MB、 500 MB、 1 GB 或 2 GB。

8. 选择“保存”。

步骤 4：创建策略

取证证据策略定义要为已配置设备捕获的安全相关用户活动的范围。 有两个选项可用于捕获法医证据：

• 仅捕获特定活动 (，例如打印或泄露文件) 。 使用此选项，你可以选择要捕获的设备活动，并且策略将仅捕获所选活动。 还可以选择捕获特定桌面应用和/或网站的活动。 这样，你可以只关注存在风险的活动、应用和网站。
• 捕获已批准用户在其设备上执行的所有活动。 此选项通常用于特定时间段，例如，当特定用户参与可能导致安全事件的风险活动时。 如果选择此选项，则会自动包括所有取证证据指示器，包括设备指示器和 增强型钓鱼防护指示器。 若要保留容量和用户隐私，可以选择从捕获中排除特定的桌面应用和/或网站，如下所述。

创建策略后，将它包含在取证证据请求中，以控制要为其请求获得批准的用户捕获哪些活动。

注意

连续取证策略 (捕获所有活动) 优先于选择性取证策略， (仅捕获特定活动) 。

仅捕获特定活动

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 在左侧导航栏中选择“ 取证证据 ”，然后选择“ 取证证据策略”。

4. 选择“ 创建取证证据策略”。

5. 在“ 作用域 ”页上，选择“ 特定活动”。 此选项仅捕获用户包含在中的策略检测到的活动。 这些活动由取证证据策略中选择的指标定义。 此选项的捕获将在“警报”或“案例”仪表板上的“取证证据 (预览) ”选项卡上查看。

6. 选择“下一步”。

7. 在名称和说明 页上，完成以下字段：

   • 需要名称 () ：输入取证证据策略的友好名称。 创建策略后，无法更改此名称。
   • 说明 (可选) ：输入取证证据策略的说明。

8. 选择“下一步”。

9. 在 “选择要捕获的设备活动 ”页上：

   1. 选择要捕获的任何设备活动。 策略仅捕获所选活动。

      注意

      如果指示器不可选择，系统会提示你将其打开。

   2. 还可以选择捕获策略中特定桌面应用和/或网站的活动，方法是选择要捕获的应用和 Web 浏览活动下的“打开特定应用或网站检查”框。

   重要

   如果要捕获浏览活动 (以在取证证据策略) 中包含或排除特定 URL，请确保 安装必要的浏览器扩展。 还需要打开至少一个浏览指示器。 如果尚未启用一个或多个浏览指示器，则选择包括或排除桌面应用或网站时，系统会提示你启用。 捕获浏览活动的触发事件是 URL 栏中包含指定 URL 的 URL 更新。

   3. 选择“下一步”。

10. (可选) 如果选择捕获特定桌面应用和网站的活动，请在 “添加要捕获活动的应用和网站” 页中：

    1. 若要添加桌面应用，请选择“ 添加桌面应用”，输入可执行文件的名称 (例如“teams.exe) ”，然后选择“ 添加”。 对要添加的每个桌面应用重复此过程， (最多) 25 个应用。 若要查找应用的可执行文件的名称，请打开任务管理器，然后查看应用的属性。 下面是一些常见应用程序的 exe 名称列表：Microsoft Edge (msedge.exe) 、Microsoft Excel (Excel.exe) 、截图工具 (SnippingTool.exe) 、Microsoft Teams (Teams.exe) 、Microsoft Word (WinWord.exe) 和 Microsoft 远程桌面 Connection (mstsc.exe) 。

    注意

    有时，应用的 exe 名称可能因设备和打开应用的权限而异。 例如，在Windows 11企业设备上，在没有管理员权限的情况下打开Windows PowerShell时，exe 名称 WindowsTerminal.exe 但使用管理员权限打开时，exe 名称将更改为 powershell.exe。 请确保在此类方案中包括/排除这两个 exe 名称。

    2. 若要添加 Web 应用或网站，请选择“ 添加 Web 应用和网站”，输入 URL (例如 https://teams.microsoft.com “) ”，然后选择“ 添加”。 对要添加的每个 Web 应用或网站重复此过程。 对于每个 URL，最多可以添加 25 个 URL，其字符长度为 100。

    提示

    如果应用具有桌面和 Web 版本，请确保同时添加桌面可执行文件和 Web URL，以确保捕获两者的活动。

    3. 选择“下一步”。

11. 在 “查看设置和完成 ”页上，查看为策略选择的设置以及针对所选内容的任何建议或警告。 编辑任何策略值，或选择“ 提交 ”以创建并激活策略。

12. 完成策略配置步骤后，继续执行步骤 5。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 转到 法医证据>取证证据策略。

4. 选择“ 创建取证证据策略”。

5. 在“ 作用域 ”页上，选择“ 特定活动”。 此选项仅捕获用户包含在中的策略检测到的活动。 这些活动由取证证据策略中选择的指标定义。 此选项的捕获将在“警报”或“案例”仪表板上的“取证证据 (预览) ”选项卡上查看。

6. 选择“下一步”。

7. 在名称和说明 页上，完成以下字段：

   • 需要名称 () ：输入取证证据策略的友好名称。 创建策略后，无法更改此名称。
   • 说明 (可选) ：输入取证证据策略的说明。

8. 选择“下一步”。

9. 在 “选择要捕获的设备活动 ”页上：

   1. 选择要捕获的任何设备活动。 策略仅捕获所选活动。

      注意

      如果指示器不可选择，系统会提示你将其打开。

   2. 选择 “增强的钓鱼防护活动”下的任何活动，以捕获要捕获 (预览) 。 例如，可以捕获用户何时输入用于登录其Windows 11设备（在连接到钓鱼站点的钓鱼站点或应用程序）上的 Microsoft 密码。 详细了解 Microsoft Defender SmartScreen 中的增强型钓鱼防护。
   3. 还可以选择捕获策略中特定桌面应用和/或网站的活动，方法是选择要捕获的应用和 Web 浏览活动下的“打开特定应用或网站检查”框。

   重要

   如果要捕获浏览活动 (以在取证证据策略) 中包含或排除特定 URL，请确保 安装必要的浏览器扩展。 还需要打开至少一个浏览指示器。 如果尚未启用一个或多个浏览指示器，则选择包括或排除桌面应用或网站时，系统会提示你启用。 捕获浏览活动的触发事件是 URL 栏中包含指定 URL 的 URL 更新。

   4. 选择“下一步”。

10. (可选) 如果选择捕获特定桌面应用和网站的活动，请在 “添加要捕获活动的应用和网站” 页中：

    1. 若要添加桌面应用，请选择“ 添加桌面应用”，输入可执行文件的名称 (例如“teams.exe) ”，然后选择“ 添加”。 对要添加的每个桌面应用重复此过程， (最多) 25 个应用。 若要查找应用的可执行文件的名称，请打开任务管理器，然后查看应用的属性。 下面是一些常见应用程序的 exe 名称列表：Microsoft Edge (msedge.exe) 、Microsoft Excel (Excel.exe) 、截图工具 (SnippingTool.exe) 、Microsoft Teams (Teams.exe) 、Microsoft Word (WinWord.exe) 和 Microsoft 远程桌面 Connection (mstsc.exe) 。

    注意

    有时，应用的 exe 名称可能因设备和打开应用的权限而异。 例如，在Windows 11企业设备上，在没有管理员权限的情况下打开Windows PowerShell时，exe 名称 WindowsTerminal.exe 但使用管理员权限打开时，exe 名称将更改为 powershell.exe。 请确保在此类方案中包括/排除这两个 exe 名称。

    2. 若要添加 Web 应用或网站，请选择“ 添加 Web 应用和网站”，输入 URL (例如 https://teams.microsoft.com “) ”，然后选择“ 添加”。 对要添加的每个 Web 应用或网站重复此过程。 对于每个 URL，最多可以添加 25 个 URL，其字符长度为 100。

    提示

    如果应用具有桌面和 Web 版本，请确保同时添加桌面可执行文件和 Web URL，以确保捕获两者的活动。

    3. 选择“下一步”。

11. 在 “查看设置和完成 ”页上，查看为策略选择的设置以及针对所选内容的任何建议或警告。 编辑任何策略值，或选择“ 提交 ”以创建并激活策略。

12. 完成策略配置步骤后，继续执行步骤 5。

捕获所有活动

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 在左侧导航栏中选择“ 取证证据 ”，然后选择“ 取证证据策略”。

4. 选择“ 创建取证证据策略”。

5. 在“ 作用域 ”页上，选择“ 所有活动”。 此选项捕获用户执行的任何活动。 此选项的捕获可在“用户活动报告 (预览) 仪表板的”取证证据 ( (预览) “选项卡上查看。

6. 选择“下一步”。

7. 在名称和说明 页上，完成以下字段：

   • 需要名称 () ：输入取证证据策略的友好名称。 创建策略后，无法更改此名称。
   • 说明 (可选) ：输入取证证据策略的说明。

8. 选择“下一步”。

9. 在“选择要捕获的设备活动”页上，如果要从捕获中排除某些桌面应用和/或 Web 应用或网站，请在“要捕获的应用和 Web 浏览活动”下，选中“排除特定应用或网站检查框。

10. 选择“下一步”。

11. 如果选择从捕获中排除特定的桌面应用和网站，请在 “排除应用程序/URL” 页中：

    • 若要从捕获中排除桌面应用，请选择“ 排除桌面应用”，输入可执行文件的名称 (例如“teams.exe) ”，然后选择“ 添加”。 对要排除的每个桌面应用重复此过程， (最多 25 个应用) 。 若要查找应用的可执行文件的名称，请打开任务管理器，然后查看应用的属性。
    • 若要排除 Web 应用或网站，请选择“ 排除 Web 应用和网站”，输入 URL (例如 https://teams.microsoft.com “) ”，然后选择“ 添加”。 对要排除的每个 Web 应用或网站重复此过程。 对于每个 URL，最多可以排除 25 个 URL，其字符长度为 100。

    提示

    如果应用具有桌面和 Web 版本，请确保同时添加桌面可执行文件和 Web URL，以确保排除这两者。

12. 在 “查看设置和完成 ”页上，查看为策略选择的设置以及针对所选内容的任何建议或警告。 编辑任何策略值，或选择“ 提交 ”以创建并激活策略。

13. 完成策略配置步骤后，继续执行步骤 5。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。

2. 转到 预览体验成员风险管理 解决方案。

3. 转到 取证证据 (预览) >取证证据策略。

4. 选择“ 创建取证证据策略”。

5. 在“ 作用域 ”页上，选择“ 所有活动”。 此选项捕获用户执行的任何活动。 此选项的捕获可在“用户活动报告 (预览) 仪表板的”取证证据 ( (预览) “选项卡上查看。

6. 选择“下一步”。

7. 在名称和说明 页上，完成以下字段：

   • 需要名称 () ：输入取证证据策略的友好名称。 创建策略后，无法更改此名称。
   • 说明 (可选) ：输入取证证据策略的说明。

8. 选择“下一步”。

9. 在“选择要捕获的设备活动”页上，如果要从捕获中排除某些桌面应用和/或 Web 应用或网站，请在“要捕获的应用和 Web 浏览活动”下，选中“排除特定应用或网站检查框。

10. 选择“下一步”。

11. 如果选择从捕获中排除特定的桌面应用和网站，请在 “排除应用程序/URL” 页中：

    • 若要从捕获中排除桌面应用，请选择“ 排除桌面应用”，输入可执行文件的名称 (例如“teams.exe) ”，然后选择“ 添加”。 对要排除的每个桌面应用重复此过程， (最多 25 个应用) 。 若要查找应用的可执行文件的名称，请打开任务管理器，然后查看应用的属性。
    • 若要排除 Web 应用或网站，请选择“ 排除 Web 应用和网站”，输入 URL (例如 https://teams.microsoft.com “) ”，然后选择“ 添加”。 对要排除的每个 Web 应用或网站重复此过程。 对于每个 URL，最多可以排除 25 个 URL，其字符长度为 100。

    提示

    如果应用具有桌面和 Web 版本，请确保同时添加桌面可执行文件和 Web URL，以确保排除这两者。

12. 在 “查看设置和完成 ”页上，查看为策略选择的设置以及针对所选内容的任何建议或警告。 编辑任何策略值，或选择“ 提交 ”以创建并激活策略。

13. 完成策略配置步骤后，继续执行步骤 5。

步骤 5：定义和批准用于捕获的用户

在捕获与安全相关的用户活动之前，管理员必须在取证证据中遵循双重授权过程。 此过程要求为特定用户启用视觉捕获由组织中的适用人员定义和批准。

必须请求为特定用户启用取证证据捕获。 提交请求后，组织中的审批者会收到电子邮件通知，可以批准或拒绝请求。 如果获得批准，用户将显示在“ 已批准的用户 ”选项卡上，并且有资格捕获。 有关详细信息，请参阅以下链接：

• 请求批准法医证据捕获。
• 批准 (或拒绝) 法医证据捕获请求。

后续步骤

配置取证证据策略后，最长可能需要两个小时才能实施策略，因为 (安装在终结点设备的取证证据客户端) 联机。 当客户端捕获剪辑时，可能需要长达一小时才能查看剪辑。 有关管理取证证据和查看剪辑捕获的详细信息，请参阅 管理信息风险管理取证证据 一文。