在内部风险管理中配置策略指示器

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

Microsoft Purview 内部风险管理中的预览体验成员风险策略模板定义要检测和调查的风险活动类型。 每个策略模板都基于与特定触发器和风险活动对应的特定指标。 默认情况下禁用所有全局指示器; 必须选择一个或多个指标才能配置内部风险管理策略

当用户执行与指示器相关的活动时,会收集信号,并由策略触发警报。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

事件和指示器的类型

内部风险管理使用不同类型的事件和指示器来收集信号并创建警报:

  • 触发事件:确定用户在内部风险管理策略中是否处于活动状态的事件。 如果将用户添加到没有触发事件的预览体验成员风险管理策略,则策略不会将该用户评估为潜在风险。 例如,用户 A 通过离开用户策略模板添加到从 数据盗窃 创建的策略中,并且正确配置了策略和 Microsoft 365 HR 连接器。 在 HR 连接器报告用户 A 的终止日期之前,此内部风险管理策略不会评估用户 A 的潜在风险。 触发事件的另一个示例是,如果用户在使用数据泄露策略时出现严重性 DLP 策略警报。

  • 全局设置指示器:在内部风险管理的全局设置中启用的指示器定义了可用于在策略中配置的指标,以及内部风险管理收集的事件信号类型。 例如,如果用户将数据复制到个人云存储服务或便携式存储设备,并且这些指示器仅在全局设置中选择,则用户的潜在风险活动将在活动资源管理器中可供查看。 但是,如果未在内部风险管理策略中定义此用户,则策略不会将该用户评估为潜在风险,因此不会为该用户分配风险评分或生成警报。

  • 策略指标:内部风险管理策略中包含的指标用于确定范围内用户的风险分数。 策略指示器是从全局设置中定义的指示器启用的,并且仅在用户发生触发事件后激活。 策略指标的示例包括:

    • 用户将数据复制到个人云存储服务或便携式存储设备。
    • 将从 Microsoft Entra ID 中删除用户帐户。
    • 用户与未经授权的外部方共享内部文件和文件夹。

某些策略指示器和序列还可用于自定义特定策略模板的触发事件。 在策略向导中按优先级用户模板为 “常规数据泄漏 ”或 “数据泄漏 ”配置时,这些指示器或序列可提高策略的灵活性和自定义性,以及当用户在策略范围内时。 此外,还可以为这些触发指标定义风险管理活动阈值,以便在策略中实现更精细的控制。

定义在所有内部风险策略中启用的预览体验成员风险策略指标

  1. 选择 “设置” 按钮,然后选择“ 策略指示器”。

  2. 选择一个或多个策略指示器。 在策略向导中创建或编辑内部风险策略时,无法单独配置“策略 指示器 设置”页上选择的指示器。

    注意

    手动添加的新用户可能需要几个小时才能显示在“用户”仪表板中。 过去 90 天内这些用户的活动可能需要多达 24 小时才能显示。 若要查看手动添加的用户的活动,请在“用户仪表板”中选择该用户,然后在详细信息窗格中打开“用户活动”选项卡。## 两种类型的策略指示器:内置指示器和自定义指示器

内置指示器与自定义指示器

策略指示器分为两个选项卡:

  • 内置指标:内部风险管理包括许多适用于各种方案的内置指示器,可立即在策略中使用。 选择要激活的指示器,然后在创建内部风险策略时自定义每个指示器级别的指示器阈值。 本文更详细地介绍了内置指示器。
  • 自定义指标:将自定义指标与 预览版 (预览版) 连接器 结合使用,将非 Microsoft 检测引入内部风险管理。 例如,您可能希望扩展检测以包括 Salesforce 和 Dropbox,并将其与内部风险管理解决方案提供的内置检测结合使用,该解决方案侧重于 Microsoft 工作负载 (SharePoint Online 和 Exchange Online,例如) 。 详细了解如何创建自定义指示器

内置指示器

内部风险管理包括以下内置指标。

Office 指示器

其中包括 SharePoint 网站、Microsoft Teams 和电子邮件的策略指示器。

设备指示器

其中包括活动(例如通过网络共享文件或与设备共享文件)的策略指示器。 指示器包括涉及所有文件类型的活动,不包括可执行 (.exe) 和动态链接库 (.dll) 文件活动。 如果选择“设备指示器”,则会为具有 Windows 10 内部版本 1809 或更高版本的设备处理活动,并且 macOS (三个最新版本) 设备。 对于 Windows 和 macOS 设备,必须 首先载入设备。 设备指示器还包括浏览器信号检测,可帮助组织检测 Microsoft Edge 和 Google Chrome 中查看、复制、共享或打印的不可执行文件的外泄信号并采取措施。 有关配置 Windows 设备以与内部风险集成的详细信息,请参阅本文中的 启用设备指示器和载入 Windows 设备 。 有关配置 macOS 设备以与内部风险集成的详细信息,请参阅本文中的 启用设备指示器和载入 macOS 设备 。 有关浏览器信号检测的详细信息,请参阅 了解和配置内部风险管理浏览器信号检测

Microsoft Defender for Endpoint指示器 (预览)

其中包括与未经批准或恶意软件安装或绕过安全控制相关的Microsoft Defender for Endpoint指标。 若要在内部风险管理中接收警报,必须启用有效的 Defender for Endpoint 许可证和内部风险集成。 有关为内部风险管理集成配置 Defender for Endpoint 的详细信息,请参阅配置 Microsoft Defender for Endpoint 中的高级功能

运行状况记录访问指示器

其中包括患者医疗记录访问的政策指标。 例如,尝试访问电子医疗记录中的患者医疗记录 (EMR) 系统日志可以与内部风险管理医疗保健策略共享。 若要在内部风险管理中接收这些类型的警报,必须配置特定于医疗保健的数据连接器和 HR 数据连接器

物理访问指示器

其中包括用于物理访问敏感资产的策略指示器。 例如,尝试访问物理坏点系统日志中的受限区域可以与内部风险管理策略共享。 若要在内部风险管理中接收这些类型的警报,必须在内部风险管理中启用优先物理资产,并配置 物理坏点数据连接器 。 若要详细了解如何配置物理访问,请参阅本文中的 优先级物理访问部分

Microsoft Defender for Cloud Apps指示器

其中包括来自 Defender for Cloud Apps 的共享警报的策略指示器。 在 Defender for Cloud Apps 中自动启用异常情况检测会立即开始检测和整理结果,针对用户以及连接到网络的计算机和设备的许多行为异常。 若要在内部风险管理策略警报中包含这些活动,请在本节中选择一个或多个指标。 若要详细了解 Defender for Cloud Apps 分析和异常情况检测,请参阅 获取行为分析和异常情况检测

有风险的浏览指示器 (预览)

其中包括与被视为恶意或有风险的网站相关的浏览活动的策略指标,这些网站构成可能导致安全或合规性事件的潜在内部风险。 风险浏览活动是指访问潜在风险网站的用户,例如与恶意软件、色情、暴力和其他未经通知的活动相关的网站。 若要将这些风险管理活动包含在策略警报中,请在本节中选择一个或多个指标。 若要了解如何配置浏览器外泄信号,请参阅 预览体验成员风险管理浏览器信号检测

累积外泄检测

检测用户在过去 30 天内跨所有外泄通道的外泄活动何时超出组织或对等组规范。 例如,如果用户担任销售角色,并且定期与组织外部的客户和合作伙伴通信,则其外部电子邮件活动可能会远远高于组织的平均水平。 但是,与用户的团队成员或具有类似职务的其他人相比,用户的活动可能并不罕见。 如果用户的累积外泄活动异常且超出组织或对等组规范,则会分配风险评分。

注意

对等组基于组织层次结构、对共享 SharePoint 资源的访问以及Microsoft Entra ID中的职务进行定义。 如果启用累积外泄检测,则组织同意与合规性门户共享Microsoft Entra数据,包括组织层次结构和职务。 如果你的组织不使用Microsoft Entra ID来维护此信息,则检测可能不太准确。

风险评分助推器

这些包括出于以下原因提高活动的风险评分:

  • 高于当天用户通常活动的活动:如果检测到的活动偏离用户的典型行为,则分数会提高。

  • 用户以前已将一个案例解决为策略冲突:如果用户在内部风险管理中曾有一个已作为策略违规解决的案例,则分数会提高。

  • 用户是优先级用户组的成员:如果用户是优先级用户组的成员,则会提升分数。

  • 用户被检测为潜在的高影响用户:启用此功能后,根据以下条件自动将用户标记为潜在的高影响用户:

    • 与组织中的其他人相比,用户与更敏感的内容进行交互。
    • 组织的Microsoft Entra层次结构中的用户级别。
    • 基于Microsoft Entra层次结构向用户报告的用户总数。
    • 用户是具有提升权限的Microsoft Entra内置角色的成员。

    注意

    启用潜在的高影响用户风险分数提升器后,即表示你同意与合规性门户共享Microsoft Entra数据。 如果你的组织不使用敏感度标签或未在Microsoft Entra ID中配置组织层次结构,则此检测可能不太准确。 如果检测到用户既是优先级用户组的成员,又是潜在的高影响用户,则其风险评分只会提高一次。

在某些情况下,你可能希望限制应用于组织中的内部风险策略的内部风险策略指标。 可以通过在全局设置中禁用所有内部风险策略来关闭特定领域的策略指示器。 只能针对优先级用户模板从 “数据泄漏 ”或 “数据泄漏 ”创建的策略修改触发事件。 从所有其他模板创建的策略没有可自定义的触发指示器或事件。

自定义指示器

使用“ 自定义指示器 ”选项卡可以创建自定义指示器,以用作策略中的触发器或策略指示器。

注意

在创建自定义指示器以导入第三方指标数据之前,必须创建预览版) (内部风险指标连接器

  1. 在内部风险管理设置中,选择“ 策略指示器 ”,然后选择“ 自定义指示器 ”选项卡。

  2. 选择 “添加自定义指示器”。

  3. 输入指示器名称和说明 (可选) 。

  4. “数据连接器 ”列表中,选择之前创建的预览体验成员风险指示器连接器。

    选择数据连接器时:

    • 创建连接器时选择的源列的名称将显示在 映射文件的源列 字段中。 如果在创建连接器时未选择源列,则此字段中会显示 “无” ,无需进行选择。
    • “源列中的值 ”列表中,选择要分配给自定义指示器的值。 这些值与创建连接器时指定的源列相关。 例如,如果创建了一个连接器,其中包含 Salesforce 和 Dropbox) (两个指标的数据,则会在列表中看到这些值。
  5. 如果要使用列设置阈值,请在 “映射文件中的数据 ”列表中,选择要用于阈值设置的列;否则,请选择“ 仅用作不带任何阈值的触发事件 ”选项。

    注意

    只有具有 “数字 ”数据类型的字段才会显示在“ 映射文件中的数据 ”列表中,因为“ 数字 ”数据类型是设置阈值所必需的。 在设置连接器时指定数据类型。

  6. 选择 “添加指示器”。 该指示器将添加到 “自定义指示器 ”列表中。

现在,可以在创建或编辑的任何数据盗窃数据泄漏策略中使用自定义指示器

  • 如果使用自定义指示器作为触发器,请在创建或编辑策略时,在 “触发器 ”页上选择自定义触发器。
  • 如果使用自定义指示器作为策略指示器,请在创建或编辑策略时,在 “指示器 ”页上选择自定义指示器。

注意

选择自定义触发器或指示器后,请确保设置自定义阈值 (不建议使用默认阈值) 。 如果选择了“ 仅用作触发事件而不使用任何阈值 ”选项,则无法对自定义指示器设置触发器阈值。

将自定义指示器添加到策略后,基于自定义指标生成的触发器和见解将显示在警报仪表板活动资源管理器用户时间线中。

重要

  • 在自定义指标和关联的策略更新后,请务必等待 24 小时,然后再 上传数据 。 这是因为同步所有组件可能需要几个小时。 如果在更新同步时立即上传数据,可能无法对某些数据进行风险评分。

创建内置指示器的变体

可以 (预览) 创建检测组 ,并将其与内置指示器的变体一起使用, (预览) 为不同的用户组定制检测。 例如,为了减少电子邮件活动的误报数,你可能希望创建一个变体,即向 组织外部的收件人发送带有附件的电子邮件 内置指示器,以仅检测发送到个人域的电子邮件。 变体继承内置指示器的所有属性。 然后,可以使用排除项或包含项修改变体。

  1. 在内部风险管理设置中,选择“ 策略指示器”。

  2. 选择“新建指示器变体” (预览) 。 这将打开屏幕右侧的“ 新建指示器变体 (预览) 窗格。

  3. “基本指示器 ”列表中,选择要为其创建变体的指示器。

    注意

    可以为每个内置指示器创建最多三个变体。 如果已为特定的内置指示器创建了三个变体,则内置指示器将在列表中灰显。 还有一些内置指示器 (Microsoft Defender for Endpoint 指标,例如不支持变体的) 。

  4. 为变体添加名称 (或接受建议的名称) 。 变体名称不能超过 110 个字符。

  5. 添加变量的说明 (可选) 。 说明显示在策略中,以帮助你将其与其他指标或指标变体区分开来。 变体的说明不能超过 256 个字符。

  6. “检测组”下,选择以下选项之一:

    • 忽略涉及所选组中项的活动。 如果要捕获除几个排除项之外的所有内容 请选择此选项。 例如,你可能希望使用此选项来捕获除发送到特定域的电子邮件之外的所有传出电子邮件。

    • 仅检测涉及所选组中项的活动。 如果要指定要捕获 的包含项, 请选择此选项。 例如,如果只想捕获发送到特定域的电子邮件,请选择此选项。

    注意

    如果尚未 创建检测组,则无法选择 “检测组 ”部分中的选项。

  7. “选择一个或多个检测组” 列表中,选择要应用于变体的检测组 () 。 检测组列在相应的检测类型标题下,以帮助你找到相应的组。 对于单个变体,最多可以添加单个类型的五个检测组。 例如,最多可以添加五组域、五组文件类型等。  

    注意

    列表中仅显示适用于变体的检测组。 例如,与 组织外部人员共享 SharePoint 文件夹 的文件类型检测组不会显示,因为它不适用。

  8. 选择“保存”。

  9. 在“ 后续步骤 ”对话框中,如果要将新变体应用于特定策略,请选择“ 策略”页 链接。

提示

若要确保变体捕获要检测的所有重要活动,可以在同一策略中应用内置指示器和内置指示器的变体。 然后,可以观察每个指示器在警报中捕获的活动,然后在确保检测到所有内容后仅使用变体指示器。

在策略中使用变体

  1. 转到策略向导的 “指示器 ”页。

  2. 查找包含一个或多个变体的内置指示器。 具有变体的内置指示器在变体复选框中用蓝色小框标记,指示器描述符文本的末尾会显示一个列表,用于指示所选变体的数量。 打开列表以查看变体。

    注意

    如果选择变体列表中的一个或所有复选框,则内置指示器的第一级复选框将变为蓝色实心复选框。 如果未选择变体列表中的框,则第一级复选框将为空。

  3. 选择“下一步”。

  4. “自定义阈值 ”页中,可以单独自定义变体的阈值。

调查变体提供的见解

将变体添加到策略后,会在仪表板中生成警报,调查人员可以在“活动资源管理器”和“用户活动”选项卡中查看更多详细信息。

编辑变体

  1. 选择指示器说明文本末尾的蓝色文本。 例如,选择 “+2 变体”,如以下屏幕截图示例所示。

    显示要选择的变体文本的屏幕截图。

  2. “查看/编辑指示器 ”页中,选择“ 编辑” 按钮。

  3. 进行更改。

变体限制

  • 每个内置指示器最多可以创建三个变体。
  • 对于单个变体,最多可以添加单个类型的五个检测组。 例如,最多可以添加五组域、五组文件类型等。
  • 对于检测组预览版,变体不支持序列、累积外泄活动、风险评分提升器或 实时分析

如何根据智能检测排除项和优先级内容确定变体的优先级

活动的范围界定发生在内部风险管理中的多个位置。 范围按以下优先级顺序进行:

  1. 智能检测

  2. 变体范围排除/包含

  3. 优先级内容

启用设备指示器并载入 Windows 设备

若要在 Windows 设备上启用风险活动的检测并包括这些活动的策略指示器,Windows 设备必须满足以下要求,并且必须完成以下载入步骤。 详细了解设备载入要求

步骤 1:准备终结点

确保计划在内部风险管理中报告Windows 10设备满足这些要求。

  1. 设备必须运行Windows 10 x64 内部版本 1809 或更高版本,并且必须安装从 2020 年 2 月 20 日开始的WINDOWS 10更新 (OS 内部版本 17763.1075)
  2. 用于登录Windows 10设备的用户帐户必须是活动的Microsoft Entra帐户。 Windows 10设备可能已Microsoft Entra ID、Microsoft Entra混合、已加入或已注册。
  3. 在终结点设备上安装 Microsoft Edge 浏览器,以检测云上传活动的操作。 请参阅基于Chromium下载新的 Microsoft Edge

注意

终结点 DLP 现在支持虚拟化环境,这意味着内部风险管理解决方案通过终结点 DLP 支持虚拟化环境。 详细了解对终结点 DLP 中虚拟化环境的支持

步骤 2:载入设备

必须先启用设备检查并载入终结点,然后才能检测设备上的内部风险管理活动。 这两个操作都在 Microsoft Purview 中完成。

如果想要启用尚未载入的设备,需要下载相应的脚本并部署它,如本文中所述。

如果已将设备载入Microsoft Defender for Endpoint,则它们将显示在托管设备列表中。

载入设备

在此部署方案中,你启用尚未载入的设备,并且你只想检测 Windows 设备上的内部风险活动。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 选择页面右上角的 “设置” 按钮。

  3. “设备载入”下,选择“ 设备”。 在载入设备之前,列表为空。

  4. 选择 “启用设备载入”。

    注意

    设备载入通常需要大约 60 秒才能启用,请先等待 30 分钟,然后再与 Microsoft 支持人员接洽。

  5. 从“ 部署方法 ”列表中选择要部署到这些设备的方式,然后选择“ 下载包”。

  6. 按照 适用于 Windows 计算机的载入工具和方法 中的相应程序进行操作。 此链接会将你定位到登录页面,你可以在其中访问与在步骤 5 中选择的部署程序包相匹配的 Microsoft Defender for Endpoint 过程:

    • 使用组策略载入 Windows 计算机
    • 使用 Microsoft Endpoint Configuration Manager 载入 Windows 10 计算机
    • 使用移动设备管理工具载入 Windows 计算机
    • 使用本地脚本载入 Windows 计算机
    • (VDI) 计算机载入非持久性虚拟桌面基础结构

完成并载入终结点设备后,它应在设备列表中可见,并且终结点设备将开始向内部风险管理报告审核活动日志。

注意

此体验根据许可证强制实施。 如果没有所需的许可证,数据将不可见或不可访问。