在内部风险管理中配置内联警报自定义

  • 项目

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

Microsoft Purview 内部风险管理 中的内联警报自定义允许你在查看警报时直接从警报仪表板快速优化内部风险管理策略。 当风险管理活动满足相关策略中配置的阈值时,将生成警报。 若要减少从此类活动获取的警报数,可以更改阈值或从策略中完全删除风险管理活动。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

可以启用内联警报自定义,以允许分配给 Insider Risk Management 分析师预览体验成员风险管理调查员 角色组的用户编辑策略阈值并禁用特定指示器。 如果未启用内联警报自定义,则只有分配给 预览体验成员风险管理管理员预览体验成员风险管理 角色组的用户才能编辑这些策略条件。 无论当前警报状态如何,都支持内联警报自定义,使分析师和调查人员能够根据需要更新 “已消除 ”和“ 已解决 ”警报的策略。

启用后,分析师和调查人员可以在警报仪表板上为警报选择“减少此活动的警报”,并可以查看有关与警报关联的风险管理活动和指标的详细信息。 此外,会显示用于创建低、中和高严重性警报的事件数的当前策略阈值。 如果选择 了“减少此活动的警报” ,并且进行了更改阈值或已删除关联指示器的先前策略编辑,你将看到一条通知消息,其中详细说明了以前对策略所做的更改。

分析师和调查人员可以从“ 减少此活动的警报 ”窗格中的以下选项中进行选择,以快速编辑创建警报的策略:

  • 使用 Microsoft 建议的阈值减少警报:这会自动提高策略中的阈值。 在更改策略之前,可以查看新的建议阈值设置。
  • 通过选择自己的阈值来减少警报:可以为当前和将来的警报手动增加此类活动的阈值。 在更改策略之前,可以查看当前阈值设置并配置新的阈值设置。
  • 停止获取此活动的警报:这会从策略中删除此指示器,并且策略将不再检测到风险管理活动。 这适用于所有指标,无论指示器是否基于阈值。

选择一个选项后,分析师和调查人员可以选择两个选项来更新策略:

  • 保存和消除警报:保存对策略所做的更改,并将警报状态更新为 “已解决”。
  • 仅保存:保存对策略所做的更改,但警报状态保持不变。

启用内联警报自定义

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 选择页面右上角的 “设置” 按钮。
  3. 选择“ 预览体验成员风险管理 ”,转到内部风险管理设置。
  4. “预览体验成员风险设置”下,选择“ 内联警报自定义”,然后打开该设置。
  5. 选择“保存”。

注意

启用 “内联警报自定义 ”设置后,大约需要一个小时才能在新策略警报和现有策略警报中使用内联警报自定义。