重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 预览体验成员风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
案例是内部风险管理的核心。 通过它们,你可以调查策略中风险指标产生的问题并采取行动。 需要采取额外步骤来解决用户的合规性相关问题时,手动从警报创建案例。 每个案例都侧重于一个用户,你可以为该用户添加多个警报到现有案例或启动新案例。
调查案例的详细信息后,可以通过以下方式采取措施:
- 向用户发送通知
- 将案例解析为良性
- 与 ServiceNow 实例或电子邮件收件人共享案例
- 升级电子数据展示 (高级版) 调查案例
有关如何在预览体验成员风险管理中调查和管理案例的概述,请参阅 预览体验计划风险管理调查和升级视频。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
案例仪表板
提示
若要查看案例的报告,请转到 “报告” 页。 “ 报表 ”页上的每个报表小组件都显示过去 30 天的信息:
- 活动案例:正在调查的活动案例总数。
- 过去 30 天内的事例数:已创建的案例总数,按 “活动” 和“ 已关闭 ”状态排序。
- 统计信息:活动案例的平均时间,以小时、天或月为单位列出。
预览体验成员风险管理案例仪表板使你能够查看和处理案例。 案例队列列出了组织的所有活动案例和已结案,以及以下案例属性的当前状态:
- 案例 ID:案例的 ID。
- 案例名称:案例的名称,在确认警报并创建案例时定义。
- 状态:事例的状态, “活动” 或 “已关闭”。
- 用户:案例的用户。 如果为用户名启用匿名化,门户将显示匿名信息。
- 打开事例的时间:自打开事例以来经过的时间。
- 策略警报总数:事例中包含的策略匹配数。 如果向案例添加新警报,则此数字可能会增加。
- 案例上次更新:添加事例说明或更改事例状态以来经过的时间。
- 上次更新时间:上次更新案例的内部风险管理分析师或调查人员的姓名。
注意
如果将 策略范围限定为一个或多个管理单元,则只能将案例的所有权授予具有相应角色组权限的 Insider Risk Management 用户。 警报中突出显示的用户必须位于管理单元的范围内。 例如,如果管理范围仅适用于德国的用户,则 Insider Risk Management 用户只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有案例。
使用 “搜索” 控件可以搜索事例 ID 或搜索事例名称中的特定文本。 使用事例筛选器按以下属性对事例进行排序:
- 状态
- 案例打开时间、开始日期和结束日期
- 上次更新时间、开始日期和结束日期
分配案例
如果你是具有相应权限的管理员,则可以将案例的所有权分配给自己或具有内部风险管理、内部风险管理分析师或内部风险管理调查员角色的预览体验成员风险管理用户。 分配事例后,可以将其重新分配给具有任何相同角色的用户。 一次只能将案例分配给一个管理员。
如果向案例分配管理员,则可以按管理员进行筛选。
从事例仪表板分配事例
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 在“案例仪表板,选择要分配的事例。
- 在事例队列的命令栏中,选择“ 分配”。
- 在屏幕右侧的“ 分配所有者 ”窗格中,搜索具有相应权限的管理员,然后选中该管理员的复选框。
- 选择“分配”。
从“案例详细信息”页分配案例
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择一个案例。
- 在案例的详细信息窗格中,选择“ 分配”。
- 在 “建议的联系人 ”列表中,选择相应的管理员。
筛选事例
根据组织中活动预览体验成员风险管理策略的数量和类型,查看大量案例可能具有挑战性。 通过使用案例筛选器,分析师和调查人员可以按多个属性对案例进行排序。 若要筛选案例仪表板的警报,请选择“筛选器”控件。 可以按一个或多个属性筛选事例:
- 状态:选择一个或多个状态值以筛选事例列表。 选项为 “活动” 和“ 已关闭”。
- 打开事例的时间:选择打开事例的开始和结束日期。
- 上次更新时间:选择案例更新的开始和结束日期。
筛选事例、保存筛选器集的视图、自定义列或搜索警报
根据组织中活动预览体验成员风险管理策略的数量和类型,查看大量案例可能具有挑战性。 为了帮助你跟踪案例,你可以:
- 按各种属性筛选事例。
- 保存筛选器集的视图,以便稍后重复使用。
- 显示或隐藏列。
- 搜索警报。
筛选事例
选择“ 添加筛选器”。
选择以下一个或多个属性:
属性 说明 分配到 警报分配到的管理员(如果已分配) (进行会审)。 上次更新的案例 上次更新案例的开始和结束日期。 状态 案例的当前状态。 选项为 “活动” 和“ 已关闭”。 打开时间大小写 打开案例的开始和结束日期。 筛选器栏显示你选择的属性。
在筛选器栏中选择一个属性,然后选择要筛选依据的值。 例如,选择“ 上次活动日期 ”属性,在“开始日期”和“结束 日期 ”字段中输入或选择 日期 ,然后选择“ 应用”。
提示
若要随时重新开始,请在筛选器栏上选择“ 全部重置 ”。
保存筛选器集的视图,以便稍后重复使用
应用上述过程中所述的筛选器后,在筛选器栏上选择“ 保存” ,输入筛选器集的名称,然后选择“ 保存”。
筛选器集在筛选器栏上显示为卡。 它包含一个数字,显示满足筛选器集中条件的事例计数。
注意
最多可以保存五个筛选器集。 若要删除筛选器集,请选择卡右上角的省略号 (三点) ,然后选择“删除”。
若要重新应用已保存的筛选器集,请选择筛选器集的卡。
显示或隐藏列
在页面右侧,选择“ 自定义列”。
选中或清除要显示或隐藏的列的复选框。
列设置跨会话和跨浏览器保存。
搜索警报
使用 “搜索” 控件可搜索 UPN) (用户主体名称、分配的管理员名称或警报 ID。
调查案例
深入调查内部风险管理警报对于采取适当的纠正措施至关重要。 内部风险管理案例是中央管理工具,用于更深入地了解用户风险活动历史记录、警报详细信息、风险事件的顺序,以及浏览暴露在风险中的内容和消息。 风险分析师和调查人员还使用案例集中审查反馈和注释,并处理案例解决。
选择案例将打开案例管理工具,该工具可让分析员和调查员深入了解案例的详细信息。
案例概述
“ 案例概述 ”选项卡汇总了风险分析师和调查人员的案例详细信息。 它包括关于 此案例 区域中的以下信息:
- 案例 ID:案例的 ID。
- 状态:案例的当前状态,“活动”或“已关闭”。
- 创建事例的日期:创建事例的日期和时间。
- 用户的风险评分:针对案例的用户当前计算的风险级别。 系统每 24 小时计算一次此分数,并使用与用户关联的所有活动警报中的警报风险分数。 当用户被检测为潜在高影响用户或用户是优先级用户组风险提升器的成员时,在“预览体验成员风险管理设置”页的“策略指标”部分启用风险分数提升器时,“用户详细信息”页包含有关用户计算的风险级别的详细信息。
- Email:案例用户的电子邮件别名。
- 组织或部门:用户分配到的组织或部门。
- 管理员名称:用户经理的名称。
- 经理电子邮件:用户经理的电子邮件别名。
“ 案例概述 ”选项卡还包括“ 警报 ”部分,其中包含有关与案例关联的策略匹配警报的以下信息:
- 策略匹配:与匹配警报关联的内部风险管理策略的名称,该警报针对可能导致安全事件的潜在风险用户活动。
- 状态:警报的状态。
- 严重性:警报的严重性。
- 检测到的时间:自生成警报以来经过的时间。
警报
“ 警报 ”选项卡汇总了案例中包含的当前警报。 可以向现有案例添加新警报。 分配新警报时, 警报 队列会包含这些警报。 队列列出了以下警报属性:
- 通知
- 警报 ID
- 状态
- Severity
- 检测到的时间
从队列中选择警报以显示 “警报详细信息 ”页。
使用搜索控件搜索警报 ID 或警报名称中的特定文本。 使用警报筛选器按以下属性对事例进行排序:
- 状态
- Severity
- 检测时间、开始日期和结束日期
使用筛选器控件按多个属性筛选警报,包括:
- 状态:选择一个或多个状态值以筛选警报列表。 这些选项包括、关闭、需求审阅以及解决方案。
- 严重性:选择一个或多个警报风险严重性级别以筛选警报列表。 这些选项包括高、中和低。
- 检测到的时间:选择创建警报的开始和结束日期。
- 策略:选择一个或多个策略以筛选所选策略生成的警报。
用户活动
“ 用户活动 ”选项卡允许风险分析师和调查人员查看用户活动详细信息。 它提供与风险警报和案例关联的所有潜在风险活动的直观表示形式。 使用此信息来确定这些风险活动是否可能导致安全事件。 例如,作为警报会审过程的一部分,分析师可能需要查看与案例关联的所有风险活动以获取更多详细信息。 在案例中,风险调查人员可以查看用户活动详细信息和气泡图,以帮助了解与案例关联的风险活动的总体范围。 有关用户活动图表的详细信息,请参阅 Insider Risk Management 活动 一文。
活动资源管理器 (预览)
“ 活动资源管理器 ”选项卡使风险分析师和调查人员能够查看与风险警报关联的案例活动详细信息。 例如,作为案例管理作的一部分,调查人员和分析师可能需要查看与案例关联的所有风险活动以获取更多详细信息。 使用活动资源管理器,审阅者可以快速检查检测到的潜在风险活动的时间线,并识别和筛选与警报关联的所有风险活动。
有关活动资源管理器的详细信息,请参阅 Insider Risk Management 活动 一文。
法医证据
“ 取证证据 ”选项卡使风险调查人员能够查看与案例中包含的风险活动相关的视觉捕获。 例如,作为案例管理作的一部分,调查人员可能需要帮助阐明所审查的用户活动的上下文。 查看活动的实际剪辑可帮助调查人员确定用户活动是否具有潜在风险,并可能导致安全事件。
有关取证证据的详细信息,请参阅 了解内部风险管理取证证据 一文。
内容资源管理器
“ 内容资源管理器 ”选项卡使风险调查人员能够查看与风险警报关联的所有单个文件和电子邮件的副本。 例如,如果用户从 SharePoint Online 下载数百个文件时创建了警报,并且该活动触发了策略警报,则案例会捕获警报的所有已下载文件,并从原始存储源复制到 Insider Risk Management 案例。
内容资源管理器是一个功能强大的工具,具有基本和高级搜索和筛选功能。 若要详细了解如何使用内容资源管理器,请参阅 Insider Risk Management 内容资源管理器。
案例备注
风险分析师和调查人员在案例中使用“ 案例说明 ”选项卡来共享有关其案例工作的评论、反馈和见解。 备注是案例的永久添加。 保存笔记后,无法编辑或删除笔记。 从警报创建案例时,在 “确认警报并创建内部风险案例 ”对话框中输入的注释将自动成为案例说明。
事例说明仪表板显示创建笔记的用户的笔记以及自保存笔记以来经过的时间。 若要在事例说明文本字段中搜索特定关键字 (keyword) ,请在事例仪表板上使用“搜索”并输入特定关键字 (keyword) 。
添加案例说明
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择一个案例,然后选择“ 案例备注 ”选项卡。
- 选择 “添加事例说明”。
- 在 “添加大小写说明 ”对话框中,键入备注。
- 选择“ 保存” ,将注释添加到事例。
参与者
在案例的“参与者”选项卡中,风险分析员和调查员可以为该案例添加其他审阅者。 默认情况下,分配了 预览体验成员风险管理调查员 和 内部风险管理 角色的所有用户都作为每个活动案例和已结案的参与者列出。
可以通过将用户添加为参与者来授予对案例的临时访问权限,但有以下限制:
- 分析师和调查人员可以添加参与者。
- 不能将分析师添加为参与者。
- 参与者无法添加参与者。
参与者对特定案例拥有所有案例管理控制权,但以下情况除外:
- 确认或消除警报的权限。
- 编辑事例参与者的权限。
向案例添加参与者
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后选择“ 参与者” 选项卡。
- 选择“添加参与者”。
- 在“添加参与者”对话框中,开始键入要添加的用户的名称,然后从建议的用户列表中选择该用户。 此列表来自租户订阅的Microsoft Entra ID。
- 选择“添加”,将用户添加为参与者。
案例操作
风险调查人员可以根据案例的严重性、用户风险历史记录以及组织的风险指南,通过多种方法之一对某个案例采取措施。 在某些情况下,可能需要将案例上报给用户或数据调查,以便与组织的其他区域协作,并深入了解风险活动。 内部风险管理与其他 Microsoft Purview 解决方案紧密集成,可帮助你进行端到端解决方案管理。
发送电子邮件通知
在大多数情况下,创建内部风险警报的用户作是无意或意外的。 通过电子邮件向用户发送提醒通知是记录案例审查和作的有效方法。 此方法提醒用户公司策略或让他们进行复习培训。 可以从为 Insider Risk Management 基础结构 创建的通知模板生成通知 。
请记住,向用户发送电子邮件通知 不会 将案例解析为 “已关闭”。 在某些情况下,在向用户发送通知以查找更多风险活动而不打开新案例后,你可能希望将案例保留为未完成状态。 如果要在发送通知后解决案例,请在发送通知后选择“ 解决案例 ”作为后续步骤。
向分配到案例的用户发送通知
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后在案例作工具栏上选择 “发送电子邮件通知 ”。
- 在 “发送电子邮件通知 ”对话框中,选择“ 选择通知模板 ”下拉列表控件以选择通知模板。 此选择将预填充通知中的其他字段。
- 查看通知字段并根据需要进行更新。 输入的值将替代模板中的值。
- 选择“ 发送 ”,将通知发送给用户。 所有已发送的通知都会添加到案例说明仪表板的案例说明队列中。
升级以便进行调查
如果需要对用户的风险活动进行额外的法律审查,请升级用户调查案例。 此升级会在 Microsoft 365 组织中打开一个新的 Microsoft Purview 电子数据展示 (Premium) 案例。 电子数据展示(高级版)提供端到端工作流,用于保留、收集、查看、分析和导出响应组织内部和外部法律调查的内容。 它帮助法律团队管理整个法定保留通知工作流,与案例涉及的保管人进行沟通。 从内部风险管理案例升级到电子数据展示 (Premium) 案例可帮助法律团队采取适当的措施并管理内容保存。 有关电子数据展示 (Premium) 案例的详细信息,请参阅 Microsoft Purview 电子数据展示 (Premium) 概述。
将案例上报给用户调查
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后在案例作工具栏上选择“ 升级”进行调查 。
- 在“ 升级调查 ”对话框中,输入新用户调查的名称。 如果需要,请输入有关事例的备注,然后选择“ 升级”。
- 查看通知字段并根据需要进行更新。 输入的值将覆盖模板上的值。
- 选择“ 确认 ”以创建用户调查案例。
将预览体验计划风险管理案例升级到新的用户调查案例后,可以在 Microsoft Purview 门户的 电子数据展示>高级 区域中查看新案例。
使用 Power Automate 流为案例运行自动化任务
使用建议的 Power Automate 流,风险调查人员和分析师可以快速采取行动,执行以下作:
- 向 HR 或企业请求有关内部风险案例中的用户的信息。
- 当用户收到内部风险警报时,通知经理。
- 在 ServiceNow 中创建内部风险管理案例的记录。
- 将用户添加到内部风险策略时通知用户。
若要运行、管理或创建内部风险管理案例的 Power Automate 流,请执行:
- 在事例作工具栏上选择“ 自动 ”。
- 选择要运行的 Power Automate 流,然后选择“ 运行流”。
- 流完成后,选择“ 完成”。
有关内部风险管理的 Power Automate 流的详细信息,请参阅 预览体验计划风险管理设置入门。
查看或创建案例Microsoft Teams 团队
在设置中为 Insider Risk Management 启用 Microsoft Teams 集成时,每次确认警报并创建案例时,解决方案都会自动创建Microsoft Teams 团队。 风险调查人员和分析师可以快速打开Microsoft Teams,并通过选择案例作工具栏上的“ 查看Microsoft Teams 团队 ”直接导航到团队。
对于在启用Microsoft团队集成之前打开的案例,风险调查人员和分析师可以通过选择案例作工具栏上的“创建Microsoft Teams 团队”,为案例创建新的 Microsoft Teams 团队 。
解决案例时,解决方案会自动存档关联的Microsoft Team (隐藏它并将其转换为只读) 。
有关 Microsoft Teams for Insider Risk Management 的详细信息,请参阅 预览体验计划风险管理设置入门。
解决案例
风险分析师和调查人员完成审查和调查后,解决案例以对案例中当前包含的所有警报采取行动。 解决案例会添加解决分类,将案例状态更改为“已关闭”,并将解决作原因自动添加到案例说明仪表板上的案例说明队列。 按以下任一方式解决案例:
- 良性:策略匹配警报被评估为低风险、非严重或误报的情况的分类。
- 已确认的策略冲突:策略匹配警报被评估为风险、严重或恶意意图结果的情况的分类。
解决案例
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后在案例作工具栏上选择“ 解决 大小写”。
- 在“ 解决案例 ”对话框中,选择“ 解析为 ”下拉列表控件以选择案例的解决分类。 选项为 良性 或 已确认策略冲突。
- 在“ 解决案例 ”对话框中,在 “采取的作” 文本字段中输入解析分类的原因。
- 选择“ 解决 ”以关闭案例。