管理内部风险管理取证证据

  • 项目

重要

取证证据是预览体验成员风险管理中的一项选择加入加载项功能,可让安全团队直观地洞察潜在的内部数据安全事件,并内置了用户隐私。 取证证据包括可自定义的事件触发器和内置的用户隐私保护控件,使安全团队能够更好地调查、了解和响应潜在的内部数据风险,例如未经授权的敏感数据外泄。

组织为自己设置正确的策略,包括哪些风险事件是捕获取证证据的最高优先级,以及哪些数据最敏感。 默认情况下,取证证据处于关闭状态,策略创建需要双重授权,并且可以使用假名 (屏蔽用户名,这是内部风险管理) 默认启用的。 在预览体验成员风险管理中设置策略和查看安全警报利用强大的基于角色的访问控制 (RBAC) ,确保组织中的指定人员采取正确的操作以及附加的审核功能。

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

完成配置步骤并创建取证证据策略后,你将开始看到针对潜在风险安全相关用户活动的警报,这些用户活动满足策略中定义的指标的条件。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

仪表板

取证证据仪表板是组织中取证证据配置关键区域的摘要视图。 对于预览版,仪表板仅包含取证证据设备运行状况部分。 选择“ 查看设备运行状况报告 ”,打开“ 设备运行状况 ”选项卡并报告。 其他部分将包含在将来的版本中。

管理用户

你必须请求和批准特定用户,然后他们才有资格捕获取证证据。 仅将用户添加到取证证据策略不会自动使这些用户符合捕获条件。 可以在创建取证证据策略之前或之后请求和批准用户,但与策略指示器关联的剪辑捕获仅在用户获得批准后才能创建并可供审阅。

分配到 Insider Risk ManagementInsider Risk Management 管理员 角色组的用户可以向分配给 Insider Risk Management 审批者 角色组的用户提交审批请求。

请求捕获审批

必须请求为特定用户启用取证证据捕获。 提交请求后,组织中的审批者会收到电子邮件通知,可以批准或拒绝请求。 如果获得批准,则用户或 将显示在“ 已批准的用户 ”选项卡上,并且将有资格捕获。 如果未解决,请求将从提交之日起 6 个月内过期。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 用户管理”。

  4. 选择“ 管理取证证据请求 ”选项卡。

  5. 选择“ 创建请求”。

  6. “用户 ”页上,选择“ 添加用户”。

  7. 使用搜索查找特定用户或从列表中选择一个或多个用户。 选择“添加”,然后选择“下一步”。

  8. “取证证据策略 ”页上,为添加的用户选择取证证据策略。 所选策略确定要为用户捕获的活动范围。

  9. 选择“下一步”。

  10. “理由 ”页上,让审阅者知道你请求为在 “启用取证证据捕获的理由 ”文本框中添加的用户启用捕获的原因。 这是必填字段。 完成后,选择“下一步”。

  11. “Email通知”页上,可以使用通知模板向用户发送电子邮件,告知他们将根据组织的策略为其设备启用取证证据捕获。 仅当用户的请求获得批准时,才会向用户发送电子邮件。

    选中“向已批准的用户发送电子邮件通知检查”框。 选择现有模板或创建新模板。 若要创建新模板,请选择“ 创建通知模板 ”,并在“ 新建电子邮件通知模板 ”窗格中完成以下必填字段。

  12. 选择“下一步”。

  13. “完成” 页上,在提交请求之前查看设置。 选择 “编辑用户 ”或“ 编辑理由” 以更改任何请求值,或者选择“ 提交 ”以创建请求并将其发送给审阅者。

若要查看挂起的审批请求,请转到 预览体验成员风险管理>取证证据>挂起的请求。 在这里,你将看到具有挂起请求的用户、其电子邮件地址、请求提交日期以及提交审批请求的用户。 如果未显示任何用户,则任何用户都没有任何待处理审批请求。

分配到 Insider Risk Management 审批者 角色组的用户可以在“ 取证证据请求 ”选项卡上选择用户并查看请求。 查看请求后,这些用户可以批准或拒绝取证证据捕获请求。 批准或拒绝捕获请求会从此视图中删除针对用户的挂起请求。

批准或拒绝捕获请求

请求完成后,分配到 Insider Risk Management 审批者 角色组的用户将收到有关审批请求的电子邮件通知。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 挂起的请求”。
  4. 选择要查看的用户。
  5. 在“ 查看取证证据请求 (预览) ”窗格中,查看请求者提交的理由。 选择 “批准 ”或“ 拒绝 ”(如果适用)。
  6. “请求已批准 ”或“ 请求被拒绝 ”页上,选择“ 关闭”。

撤销捕获审批

如果需要,可以撤销对特定用户的批准,并将其排除在取证证据捕获中。 撤销审批不会删除或删除这些用户的任何现有捕获,只会禁用这些用户将来的活动捕获。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. Insider Risk Management 审批者角色组的成员身份登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 用户管理”。
  4. 选择“ 已批准用户 ”选项卡。
  5. 选择用户,然后选择 “删除”。
  6. 在删除确认页上,选择“ 删除 ”以撤销捕获审批。

创建和管理通知模板

可以创建并使用通知模板向用户发送电子邮件,让他们知道将根据组织的策略为其设备启用取证证据捕获。 仅当用户的请求获得批准时,才会向用户发送电子邮件。

内部风险管理取证证据通知。

创建新的通知模板

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 通知模板”。
  4. 选择“ 创建通知模板”。
  5. 在“ 新建电子邮件通知模板 ”窗格中,填写以下必填字段:
    • 模板名称
    • 发送自
    • 主题
    • 邮件正文
  6. 选择“保存”。

注意

若要删除现有通知模板,请选择该模板,然后选择“ 删除”。

查看捕获的剪辑

打开Microsoft Purview 内部风险管理时,可以通过选择“取证证据”选项卡来查看和浏览捕获的剪辑。 还可以从解决方案中的其他区域选择“ 取证证据 ”选项卡,以查看上下文中捕获的剪辑列表:

  • 警报仪表板。警报仪表板可访问的剪辑对应于在创建取证证据策略时捕获特定用户活动的选项。 捕获的剪辑由取证证据策略中选择的指标定义。
  • 用户活动报告。 可从 用户活动 报告访问的剪辑对应于捕获取证证据策略中包含的用户执行 的任何与安全相关的活动 的选项。
  • cases 仪表板。 可从案例仪表板访问的剪辑是已升级到案例的警报。

注意

如果你是“预览体验计划风险管理调查员”角色组和“预览体验计划风险管理管理员”角色组的成员,打开Microsoft Purview 内部风险管理时,你将看到“查看捕获的剪辑”按钮。 如果选择“ 查看捕获的剪辑 ”按钮,它将更改为 “打开取证证据设置 ”按钮。 如果同时具有这两个角色,则此按钮的目的是在捕获的剪辑列表和设置之间来回切换。 详细了解角色组

选择“ 取证证据 ”选项卡时,捕获的剪辑和相关信息将显示在列表中。 如果在列表中选择捕获的剪辑,屏幕中心会显示一个视频播放器,并且视频播放器右侧会显示剪辑中的活动和事件的脚本。

内部风险管理取证证据捕获的剪辑列表。

每个捕获的剪辑包括以下信息:

  • 日期/时间 (UTC) :日期、时间 (UTC) 和捕获持续时间。 捕获的持续时间是捕获所跨越的总时间。 捕获的实际长度可能较短,因为内部风险管理会自动消除相同的帧。
  • 设备:Windows 10/11 中的设备名称。
  • 活动:捕获中包含的内部风险管理活动类型。 这些活动基于分配给关联策略的全局和策略指标。
  • 用户:用户的名称。
  • URL ((如果适用)) :用户在活动发生时访问的 URL。
  • 应用程序 ((如果适用)) :活动发生时用户正在访问的应用程序。
  • 活动窗口标题:活动发生时用户正在访问的窗口的标题。

查看捕获的剪辑:

  1. 如果需要,请在列表顶部配置筛选器。

  2. 从列表中选择剪辑。

  3. 使用视频播放器控件,选择“ 播放”控件 以从头到尾查看整个剪辑。

  4. 若要将评审范围限定为剪辑中的特定活动或事件,请选择脚本中的活动或事件。 还可以使用脚本上方的搜索框搜索特定活动或事件。

    注意

    脚本中的红色三角形表示活动。

筛选捕获的剪辑列表

可以使用捕获剪辑列表上方的筛选器来筛选特定活动和信息。 每个筛选器最多支持 10 个唯一 ID,因此,例如,一次最多可以筛选 10 个用户。 下表介绍了不同的筛选器。

筛选器名称 说明
用户名 筛选任何用户名。
活动 选择要筛选的特定活动,例如已重复使用用于登录设备的“打印文件”或“密码”。
设备名称 筛选任何设备名称。
URL 筛选域名或在筛选域名后搜索任何关键字 (keyword) 。 示例:输入“SharePoint”作为关键字 (keyword) 返回 URL 中任意位置包含“SharePoint”的任何 URL。
应用 按应用名称筛选。 可以使用此筛选器选择“ 包含任意 ”或“ 包含全部 ”。 示例:如果选择“ 包含”中的任何一个 ,并输入“Contoso.com,Contoso2.com”,则可以有一个剪辑捕获 Contoso.com,另一个剪辑捕获 Contoso2.com。 如果选择“ 包含所有 ”并输入“Contoso.com,Contoso2.com”,则任何捕获必须包含这两个域。
活动窗口标题 筛选活动窗口标题。 可以选择“ 包含” 或“ 包含全部” ,以与 应用 筛选器相同的方式进行筛选。

删除剪辑

分配到 Insider Risk Management 调查员 角色组的用户可以从捕获的剪辑列表中删除单个剪辑。 为此:

  1. 选择捕获旁边的检查框。
  2. 选择“ 删除 (回收站) ”按钮。

分配到 Insider Risk Management 管理员 角色组的用户可以通过设置进行批量删除。

执行批量删除

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. Insider Risk Management 管理员角色组的成员身份登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 取证证据设置”。
  4. 确保 “允许管理员或调查员删除取证用户数据 ”选项设置为 “开”。
  5. “删除用户 的数据”下,选择 “选择用户”,然后选择要为其删除剪辑的用户。

重要

取证证据剪辑在捕获 120 天后将其删除。 可以在删除取证证据剪辑之前导出或传输取证证据剪辑。

警报仪表板

对于策略生成的警报,可以在“警报”仪表板上的“取证证据”选项卡上查看取证证据捕获。 如果一个或多个捕获可用于警报,则还会在生成警报标头的活动中看到 “查看取证证据 通知”链接。 可以选择通知链接或 “取证证据 ”选项卡来查看活动捕获列表。

内部风险管理取证证据用户活动。

查看包含取证证据捕获的潜在风险活动的警报与在没有法医证据捕获的情况下查看警报基本相同。 显著区别在于包含任何适用的捕获。 “ 取证证据 ”选项卡提供对与警报关联的所有可用捕获的访问权限。

案例仪表板

如果将警报升级到案例,则所有相关的取证证据捕获将作为案例的一部分包括在内。 查看案例的取证证据捕获遵循与查看警报捕获相同的过程。

用户活动报告

用户活动报告允许在定义时间段内检查特定用户的活动,而无需暂时或显式地将其分配给内部风险管理策略。 如果这些用户活动包括取证证据捕获支持的活动,则剪辑将包含在用户活动中。

如果已将取证证据配置为捕获所有与安全相关的用户活动(无论这些活动是否包含在取证证据策略中),则查看以下捕获:

  1. 选择“ 预览体验成员风险管理>概述”。
  2. “概述” 屏幕底部的“ 调查用户活动”下,选择“ 管理报表”。
  3. 选择特定用户,然后选择“ 取证证据 ”选项卡。
  4. 请参阅上述说明。

设备运行状况报告 (预览)

将设备配置为支持取证证据后,可以通过导航到预览体验成员风险管理>取>设备运行状况来查看组织中所有设备的 Microsoft Purview 客户端运行状况

内部风险管理取证证据设备运行状况。

有关最低设备和配置要求的列表,请参阅 了解取证证据。 若要加入支持的设备,请完成将Windows 10和Windows 11设备加入 Microsoft 365 概述一文中所述的步骤。

设备运行状况报告允许查看已安装取证证据代理的所有设备的状态和运行状况。 报表上的每个报表小组件都显示过去 24 小时的信息。

  • 联机设备:当前联机的设备总数。
  • 脱机设备:当前脱机的设备总数。
  • 具有警告的设备:具有警告的设备总数。
  • 有错误的设备:有错误的设备总数。

设备运行状况队列列出了组织中为取证证据配置的所有设备。 此外,报告还列出了以下设备属性的状态:

  • 设备名称:设备的名称,由设备的 ComputerName 属性定义。
  • 设备状态:设备上的 Microsoft Purview 客户端的状态。 状态值如下所示:
    • 正常:设备上的客户端正常工作,完全支持取证证据捕获功能。
    • 警告:设备上的客户端具有警告和取证证据捕获功能可能不受完全支持。
    • 错误:设备上的客户端出现错误,并且已禁用或完全支持取证证据捕获功能。
  • 状态详细信息:有关设备状态的详细信息。
  • 上次同步 (UTC) :设备上次状态同步的日期和时间。
  • 用户名:执行状态同步时登录到设备的用户的用户名。
  • Windows 版本:设备上安装的 Microsoft Windows 版本。
  • 客户端版本:设备上安装的 Microsoft Purview 客户端版本。

通过设备运行状况状态,可以深入了解设备和 Microsoft Purview 客户端的潜在问题。 “设备运行状况”页上的“设备状态”列可以提醒你设备问题,这些问题可能会阻止用户活动被捕获,或者为什么捕获的取证证据量异常。 设备运行状况状态还可以确认在取证证据捕获中包含的设备是否正常,并且不需要注意或配置更改。 下表列出了潜在的状态详细信息消息以及可用于解决警告和错误的建议操作:

状态详细信息 状态 建议的操作
发生内部服务器错误。 因此,捕获数据可能缺失。 错误 向 Microsoft 创建支持票证以供进一步调查
上传带宽已达到此设备上配置限制的 90%。 捕获可能很快就会被覆盖。 警告 提高 “取证证据设置 ”页上的上传带宽限制。
已达到此设备上配置的上传带宽限制。 当天不会再上传捕获。 错误 提高 “取证证据设置 ”页上的上传带宽限制。
脱机存储已达到此设备上配置限制的 90%。 捕获可能很快就会被覆盖。 警告 提高“ 取证证据设置 ”页上的脱机捕获缓存限制。
已达到此设备上配置的脱机存储限制。 因此,将覆盖脱机捕获。 错误 提高“ 取证证据设置 ”页上的脱机捕获缓存限制。
设备上的 CPU 使用率已超过最大阈值。 错误 捕获过程已停止,几分钟后将重启。
设备上的内存使用量已超过最大阈值。 错误 捕获过程已停止,几分钟后将重启。
设备上的 GPU 使用率已超过最大阈值。 错误 捕获过程已停止,几分钟后将重启。
设备上安装的 Microsoft Purview 客户端无法与取证证据策略同步。 警告 连接到网络 & 重新安装客户端
设备上安装的 Microsoft Purview 客户端在 24 小时内未与取证证据策略同步。 错误 连接到网络 & 重新安装客户端
Microsoft Purview 客户端无法捕获活动,因为此设备上未检测到图形卡。 错误 添加图形卡或将设备替换为具有图形卡
Microsoft Purview 客户端无法捕获活动,因为此设备上未检测到任何显示监视器。 错误 为此设备添加显示监视器
Microsoft Purview 客户端无法捕获活动,因为此设备上的显示监视器已关闭或断开连接。 错误 连接/打开设备的显示监视器
设备无法访问存储取证证据捕获的目录。 错误 在此设备上重新安装客户端
编码器初始化失败。 错误 在此设备上重新安装客户端。

如果建议的操作无法解决客户端问题,请联系 Microsoft 支持部门。

容量和计费

配置取证证据后,可以选择为捕获的剪辑购买适用于 Insider Risk Management 的取证证据加载项。 此加载项适用于具有以下任何许可证的组织:Microsoft 365 E5、Microsoft 365 E5 合规或Microsoft 365 E5 Insider Risk Management。

组织可以每月 100 GB 的单位购买加载项。 购买的容量适用于从购买日期开始的法医证据引入,并在当月的第一天重置。 未使用的容量不会结转。 建议在月初购买许可证,以最大化许可证的价值。 100 GB 大致相当于每个租户大约 1,100 小时的法医证据捕获,视频分辨率为 1080p。 可以 下载容量计算器 来帮助估计每月所需的 GB 数。

法医证据引入后,将保留120天。 如果需要,可以在 120 天保留期后导出取证证据。

付款计划

通过Microsoft 365 管理中心购买加载项时,有两种付款计划可用:

  • 所有渠道) 提供每年 (。 通过年度承诺选项,可以购买每月指定的 12 个月的许可证数。 它适用于希望确保每月有容量可供客户在不中断的情况下引入法医证据。 此付款计划将自动补充每月购买的许可证数。 购买的容量适用于从购买日期开始的法医证据引入,并在当月的第一天重置。 未使用的容量不会结转。 客户可以选择一次计费,或将帐单拆分为 12 个月付款。
  • 每月支付 (仅适用于 Web 直接) 。 如果不想做出年度承诺,可以购买每月所需的许可证数。 购买的容量适用于从购买日期开始的法医证据引入,并在当月的第一天重置。 未使用的容量不会结转。

是否可以在购买前试用取证功能?

具有Microsoft 365 E5、Microsoft 365 E5 合规或Microsoft 365 E5 Insider Risk Management 许可证的每个租户都可以注册 20 GB 试用许可证,以试用取证证据功能。

注意

20 GB 试用许可证仅适用于旧商业平台上的客户。

通过试用许可证提供的 20 GB 容量没有任何时间限制,在用完全部 20 GB 之前可用。 如果在一年内未用尽全部 20 GB,可以重新激活它。 如果在使用试用容量之前购买了取证证据附加许可证,则可以使用剩余的试用容量,直到系统开始计量所购容量之前用完该容量。

如果你用完了 20 GB 的试用容量,并且随后没有购买适用于 Insider Risk Management 的取证加载项,你将能够查看已引入但无法引入任何新剪辑的任何剪辑。

注册 20 GB 试用许可证

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择“ 取证证据 ”,然后选择“ 容量和计费”。

    注意

    还可以从 “预览体验成员风险管理>取证证据>仪表板 ”选项卡注册试用许可证。

  4. 选择“ 声明 20 GB 容量”。

  5. 按照Microsoft 365 管理中心中的提示进行操作。