在内部风险管理中启用分析

重要

Microsoft Purview 内部风险管理关联各种信号，以识别潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私，默认情况下，用户将化名化，并且基于角色的访问控制和审核日志已到位，以帮助确保用户级别的隐私。

启用Microsoft Purview 内部风险管理分析提供了两个重要优势。 启用分析后，可以：

• 在不配置任何内部风险策略的情况下，对组织中的潜在内部风险进行评估。
• 接收有关配置指示器阈值设置的实时指导。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

对组织中的内部风险进行评估

Microsoft Purview 内部风险管理分析使你无需配置任何内部风险策略即可对组织中的潜在内部风险进行评估。 此评估可帮助组织识别用户风险较高的潜在区域，并帮助确定想要配置的预览体验成员风险管理策略的类型和范围。 分析扫描为组织提供以下优势：

• 易于配置：若要开始使用分析扫描，请选择“在分析建议提示时 运行扫描 ”，或转到 “预览体验成员风险设置>分析 ”并启用分析。
• 隐私设计：扫描的结果和见解作为聚合和匿名的用户活动返回。 审阅者无法识别单个用户名。 由于内部风险管理不会对组织中的任何标识进行分类以便进行分析，因此解决方案会考虑离开组织边界的数据中可能涉及的所有 UPN/标识。 这可能涉及用户帐户、系统帐户、来宾帐户等。
• 通过整合的见解了解潜在风险：扫描结果可帮助你快速确定用户的潜在风险领域，以及哪些策略最适合帮助缓解这些风险。

查看 内部风险管理分析视频 ，帮助了解分析如何帮助加速识别潜在内部风险。

扫描的区域

分析从多个来源扫描风险管理活动，以帮助识别潜在风险领域的见解。 根据当前配置，分析在以下方面查找符合条件的风险活动：

• Microsoft 365 审核日志：包含在所有扫描中，这是识别大多数潜在风险活动的主要来源。
• Exchange Online：包含在所有扫描中，Exchange Online活动可帮助识别附件中的数据通过电子邮件发送给外部联系人或服务的活动。
• Microsoft Entra ID：包含在所有扫描中，Microsoft Entra历史记录可帮助识别与已删除用户帐户的用户关联的风险活动。
• Microsoft 365 HR 数据连接器：如果已配置， HR 连接器 事件可帮助识别与已辞职或即将终止日期的用户关联的风险活动。

扫描分析见解基于内部风险管理策略使用的相同风险管理活动信号，并基于单个和顺序用户活动报告结果。 但是，分析的风险评分基于最多 10 天的活动，而内部风险策略使用每日活动获取见解。 首次在组织中启用和运行分析时，你将看到一天的扫描结果。 如果保持启用分析功能，你将看到每日扫描的结果添加到见解报表，其最大范围为前 10 天的活动。

接收有关配置指示器阈值设置的实时指南

手动优化策略以减少“干扰”可能是一种非常耗时的体验，需要执行大量试验和错误来确定策略的所需配置。 如果启用了分析，则可以获取实时见解，以帮助你有效地调整活动发生的指标和阈值的选择，这样就不会收到太少或过多的策略警报。 详细了解如何使用实时分析来帮助管理警报量。

启用分析并开始扫描组织中的潜在内部风险

若要启用内部风险分析，你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
2. 转到 预览体验成员风险管理 解决方案。
3. 在“概述”选项卡上，向下滚动到“预览体验成员风险分析”卡，然后在“扫描组织中的内部成员风险”下，选择“运行扫描”。 这会为组织启用分析扫描。 分析扫描结果可能需要长达 48 小时才能将见解作为报表提供以供审阅。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。
2. 转到 预览体验成员风险管理 解决方案。
3. 在“概述”选项卡上，向下滚动到“预览体验成员风险分析”卡，然后在“扫描组织中的内部成员风险”下，选择“运行扫描”。 这会为组织启用分析扫描。 分析扫描结果可能需要长达 48 小时才能将见解作为报表提供以供审阅。

提示

还可以通过任何内部风险管理页面顶部的 “设置” 按钮在组织中启用扫描。 选择按钮后，选择“ 分析”，然后打开设置。

在第一次分析扫描后查看分析见解

为组织完成第一次分析扫描后， 预览体验成员风险管理管理员 角色组的成员将自动收到电子邮件通知，并可以查看用户的潜在风险活动的初始见解和建议。 除非关闭组织的分析，否则每日扫描会继续。 在组织中第一次发生潜在风险活动后，Email针对分析 (数据泄露、盗窃和外泄) 的三个范围内类别，向管理员提供通知。 Email不会向管理员发送通知，以检测每日扫描导致的后续风险管理活动。

注意

如果 Analytics 设置已禁用，然后重新启用，则会重置自动电子邮件通知，并将电子邮件通知发送给预览体验成员风险管理管理员角色组的成员以获取新的扫描见解。

若要查看组织的潜在风险，请转到“概述”选项卡，然后在“预览体验成员风险分析”卡，选择“查看结果”。

注意

如果组织的扫描未完成，你将看到一条消息，指出扫描仍处于活动状态。

对于已完成的分析，你将看到组织中发现的潜在风险，以及解决这些风险的见解和建议。 已识别的风险和特定见解包含在按区域分组的报告中、 (所有类型的Microsoft Entra帐户的用户总数（包括用户、来宾、系统等）) 、具有潜在风险活动的这些用户的百分比，以及帮助缓解这些风险的建议内部风险策略。 报告包括：

• 数据泄露见解：适用于所有用户，这些用户可能包括意外过度共享组织外部的信息或恶意用户的数据泄露。
• 数据盗窃见解：对于离职用户或已删除Microsoft Entra帐户的用户，这些帐户可能包括有风险地共享组织外部的信息或恶意用户的数据盗窃。
• 顶级外泄见解：适用于可能包括在组织外部共享数据的所有用户。

若要显示见解的详细信息，请选择“ 查看详细信息 ”以显示见解的详细信息窗格。 详细信息窗格包括完整的见解结果、内部风险策略建议，以及可帮助你快速创建建议策略的“ 创建 策略”按钮。 选择 “创建策略 ”可转到策略向导，并自动选择与见解相关的建议策略模板。 例如，如果分析见解适用于 数据盗窃 活动，则会在策略向导中预先选择 数据盗窃 策略模板。

关闭分析

若要关闭内部风险分析，你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
2. 选择页面右上角的 “设置” 按钮。
3. 选择“ 预览体验成员风险管理 ”，转到内部风险管理设置。
4. 在 “预览体验成员风险设置”下，选择“ 分析”，然后关闭设置。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。
2. 转到 预览体验成员风险管理 解决方案。
3. 选择 “设置” 按钮，然后选择“ 分析”。
4. 在 “分析 ”页上，关闭设置。

禁用分析后：

• 分析见解报告将保持静态，不会针对新风险进行更新。
• 自定义 策略的指示器阈值设置时，将无法看到实时分析。