对内部风险管理案例采取措施
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
案例是内部风险管理的核心,让你能够深入调查并处理策略中定义的风险指标产生的问题。 在需要采取进一步措施解决用户合规性相关问题的情况下,从警报手动创建案例。 每个案例的范围都限定为单个用户,可将用户的多个警报添加到现有案例或新案例中。
调查案例的详细信息后,可以通过以下方式采取措施:
- 向用户发送通知
- 将案例解析为良性
- 与 ServiceNow 实例或电子邮件收件人共享案例
- 升级电子数据展示 (高级版) 调查案例
查看 内部风险管理调查和升级视频 ,大致了解如何在内部风险管理中调查和管理案例。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot。
案例仪表板
提示
若要查看案例的报告,请转到 “报告” 页。 “ 报表 ”页上的每个报表小组件都显示过去 30 天的信息:
- 活动案例:正在调查的活动案例总数。
- 过去 30 天内的事例数:已创建的案例总数,按 “活动” 和“ 已关闭 ”状态排序。
- 统计信息:活动案例的平均时间,以小时、天或月为单位列出。
通过内部风险管理案例仪表板,可以查看和处理案例。 除了以下案例属性的当前状态外,案例队列还列出了组织的所有活动案例和已结案案例:
- 案例 ID:案例的 ID。
- 案例名称:案例的名称,在确认警报并创建案例时定义。
- 状态:事例的状态, “活动” 或 “已关闭”。
- 用户:案例的用户。 如果启用了用户名的匿名化,则会显示匿名信息。
- 打开事例的时间:自打开案例以来经过的时间。
- 策略警报总数:事例中包含的策略匹配数。 如果向案例添加了新警报,此数值可能会增加。
- 案例上次更新:自添加案例说明或更改事例状态以来经过的时间。
- 上次更新时间:上次更新案例的内部风险管理分析师或调查人员的姓名。
注意
如果策略 由一个或多个管理单元限定,则案例的所有权只能授予具有相应角色组权限的内部风险管理用户,并且警报中突出显示的用户必须在管理单元的范围内。 例如,如果管理范围仅适用于德国的用户,则内部风险管理用户只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有案例。
使用 “搜索” 控件可以搜索事例 ID 或搜索事例名称中的特定文本。 使用事例筛选器按以下属性对事例进行排序:
- 状态
- 案例打开时间、开始日期和结束日期
- 上次更新时间、开始日期和结束日期
分配案例
如果你是具有相应权限的管理员,则可以将案例的所有权分配给自己或具有内部风险管理、内部风险管理分析师或内部风险管理调查员角色的内部风险管理用户。 分配案例后,还可以将其重新分配给具有任何相同角色的用户。 一次只能将案例分配给一个管理员。
如果管理员分配到案例,则可以按管理员进行筛选。
从事例仪表板分配事例
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 在“事例仪表板,选择要分配的事例 () 。
- 在事例队列上方的命令栏中,选择“ 分配”。
- 在屏幕右侧的“ 分配所有者 ”窗格中,搜索具有相应权限的管理员,然后选中该管理员的复选框。
- 选择“分配”。
从“案例详细信息”页分配案例
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择一个案例。
- 在案例的详细信息窗格中,选择“ 分配”。
- 在 “建议的联系人 ”列表中,选择相应的管理员。
筛选事例
根据组织中活动内部风险管理策略的数量和类型,查看大量案例可能具有挑战性。 使用案例筛选器可帮助分析师和调查人员按多个属性对案例进行排序。 若要筛选案例仪表板的警报,请选择“筛选器”控件。 可以按一个或多个属性筛选事例:
- 状态:选择一个或多个状态值以筛选事例列表。 选项为 “活动” 和“ 已关闭”。
- 打开事例的时间:选择打开事例的开始和结束日期。
- 上次更新时间:选择案例更新的开始和结束日期。
筛选事例、保存筛选器集的视图、自定义列或搜索警报
根据组织中活动内部风险管理策略的数量和类型,查看大量案例可能具有挑战性。 为了帮助你跟踪案例,你可以:
- 按各种属性筛选事例。
- 保存筛选器集的视图,以便稍后重复使用。
- 显示或隐藏列。
- 搜索警报。
筛选事例
选择“ 添加筛选器”。
选择以下一个或多个属性:
属性 说明 分配到 警报分配到的管理员(如果已分配) (进行会审)。 上次更新的案例 上次更新案例的开始和结束日期。 状态 案例的当前状态。 选项为 “活动” 和“ 已关闭”。 打开时间大小写 打开案例的开始和结束日期。 所选属性将添加到筛选器栏。
在筛选器栏中选择一个属性,然后选择要筛选依据的值。 例如,选择“ 上次活动日期 ”属性,在“ 开始日期 ”和“结束日期”字段中输入或选择 日期 ,然后选择“ 应用”。
提示
如果要随时重新开始,请在筛选器栏上选择“ 全部重置 ”。
保存筛选器集的视图,以便稍后重复使用
应用上述过程中所述的筛选器后,选择筛选器栏上方的“ 保存” ,输入筛选器集的名称,然后选择“ 保存”。
筛选器集作为卡添加到筛选器栏上方。 它包含一个数字,显示满足筛选器集中条件的事例计数。
注意
最多可以保存五个筛选器集。 如果需要删除筛选器集,请选择卡右上角的省略号 (三个点) ,然后选择“删除”。
若要重新应用已保存的筛选器集,只需选择筛选器集的卡。
显示或隐藏列
在页面右侧,选择“ 自定义列”。
选中或清除要显示或隐藏的列 (es) 复选框。
列设置跨会话和跨浏览器保存。
搜索警报
使用 “搜索” 控件可搜索 UPN) (用户主体名称、分配的管理员名称或警报 ID。
调查案例
深入调查内部风险管理警报对于采取适当的纠正措施至关重要。 内部风险管理案例是中央管理工具,用于深入了解用户风险活动历史记录、警报详细信息、风险事件序列,以及浏览风险公开的内容和消息。 风险分析师和调查人员还使用案例集中审查反馈和注释,并处理案例解决。
选择案例将打开案例管理工具,该工具可让分析员和调查员深入了解案例的详细信息。
案例概述
“ 案例概述 ”选项卡汇总了风险分析师和调查人员的案例详细信息。 它包括关于 这种情况 区域中的以下信息
- 案例 ID:案例的 ID。
- 状态:案例的当前状态,“活动”或“已关闭”。
- 创建事例的日期:创建事例的日期和时间。
- 用户的风险评分:针对案例的用户当前计算的风险级别。 此分数每 24 小时计算一次,并使用与用户关联的所有活动警报中的警报风险分数。 当用户被检测为潜在高影响用户或用户是优先级用户组风险提升器的成员时,在预览体验成员风险管理设置页的“策略指标”部分启用风险分数提升器时,“用户详细信息”页包含有关用户计算的风险级别的详细信息。
- Email:案例用户的电子邮件别名。
- 组织或部门:用户分配到的组织或部门。
- 管理员名称:用户经理的名称。
- 经理电子邮件:用户经理的电子邮件别名。
“ 案例概述 ”选项卡还包括“ 警报 ”部分,其中包含有关与案例关联的策略匹配警报的以下信息:
- 策略匹配:与可能导致安全事件的潜在风险用户活动匹配警报关联的内部风险管理策略的名称。
- 状态:警报的状态。
- 严重性:警报的严重性。
- 检测到的时间:自生成警报以来经过的时间。
警报
“ 警报 ”选项卡汇总了案例中包含的当前警报。 可将新警报添加到现有案例,并在分配警报时将其添加到 警报 队列。 队列中列出了以下警报属性:
- 通知
- 警报 ID
- 状态
- Severity
- 检测到的时间
从队列中选择警报以显示 “警报详细信息 ”页。
使用搜索控件可以搜索警报 ID 或搜索警报名称中的特定文本。 使用警报筛选器按以下属性对事例进行排序:
- 状态
- Severity
- 检测时间、开始日期和结束日期
使用筛选器控件按多个属性筛选警报,包括:
- 状态:选择一个或多个状态值以筛选警报列表。 这些选项包括、关闭、需求审阅以及解决方案。
- 严重性:选择一个或多个警报风险严重性级别以筛选警报列表。 这些选项包括高、中和低。
- 检测到的时间:选择创建警报的开始和结束日期。
- 策略:选择一个或多个策略以筛选所选策略生成的警报。
用户活动
“ 用户活动 ”选项卡允许风险分析师和调查人员查看用户活动详细信息,并使用与风险警报和案例关联的所有潜在风险活动的可视化表示形式来确定这些风险活动是否可能导致安全事件。 例如,作为警报会审过程的一部分,分析师可能需要查看与案例关联的所有风险活动以获取更多详细信息。 在案例中,风险调查人员可以查看用户活动详细信息和气泡图,以帮助了解与案例关联的风险活动的总体范围。 有关用户活动图表的详细信息,请参阅 预览体验成员风险管理活动 一文。
活动资源管理器 (预览)
“ 活动资源管理器 ”选项卡允许风险分析师和调查人员查看与风险警报关联的案例活动详细信息。 例如,作为案例管理操作的一部分,调查人员和分析师可能需要查看与案例关联的所有风险活动以获取更多详细信息。 使用活动资源管理器,审阅者可以快速检查检测到的潜在风险活动的时间线,并识别和筛选与警报关联的所有风险活动。
有关活动资源管理器的详细信息,请参阅 预览体验成员风险管理活动 一文。
法医证据
“ 取证证据 ”选项卡允许风险调查人员查看与案例中包含的风险活动相关的视觉捕获。 例如,作为案例管理操作的一部分,调查人员可能需要帮助阐明所审查的用户活动的上下文。 查看活动的实际剪辑可帮助调查人员确定用户活动是否具有潜在风险,并可能导致安全事件。
有关取证证据的详细信息,请参阅 了解内部风险管理取证证据 一文。
内容资源管理器
“ 内容资源管理器 ”选项卡允许风险调查人员查看与风险警报关联的所有单个文件和电子邮件的副本。 例如,如果用户从 SharePoint Online 下载数百个文件时创建了警报,并且该活动触发了策略警报,则会捕获警报的所有已下载文件,并将其从原始存储源复制到内部风险管理案例中。
内容资源管理器是一个功能强大的工具,具有基本和高级搜索和筛选功能。 若要详细了解如何使用内容资源管理器,请参阅 预览体验成员风险管理内容资源管理器。
案例备注
案例中的“ 案例说明 ”选项卡是风险分析师和调查人员共享有关其案例工作的评论、反馈和见解的地方。 备注是事例的永久添加,在保存笔记后无法编辑或删除。 当通过警报创建案例时,在“确认警报并创建内部风险案例”对话框中输入的注释会自动添加为案例注释。
事例注释仪表板显示创建笔记的用户的笔记,以及自保存笔记以来经过的时间。 若要在事例说明文本字段中搜索特定关键字 (keyword) ,请在事例仪表板上使用“搜索”并输入特定关键字 (keyword) 。
添加案例说明
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择一个案例,然后选择“ 案例备注 ”选项卡。
- 选择 “添加事例说明”。
- 在 “添加大小写说明 ”对话框中,键入备注。
- 选择“ 保存” ,将注释添加到事例。
参与者
在案例的“参与者”选项卡中,风险分析员和调查员可以为该案例添加其他审阅者。 默认情况下,分配了 预览体验成员风险管理调查员 和 内部风险管理 角色的所有用户都作为每个活动案例和已结案的参与者列出。
可以通过将用户添加为参与者来授予对案例的临时访问权限,但有以下限制:
- 分析师和调查人员可以添加参与者
- 无法将分析师添加为参与者
- 参与者无法添加参与者
参与者对特定案例拥有所有案例管理控制权,但以下情况除外:
- 确认或关闭警报的权限
- 编辑案例参与者的权限
向案例添加参与者
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择事例,然后选择“ 参与者 ”选项卡。
- 选择“添加参与者”。
- 在“添加参与者”对话框中,开始键入要添加的用户的名称,然后从建议的用户列表中选择该用户。 此列表是从租户订阅Microsoft Entra ID生成的。
- 选择“添加”,将用户添加为参与者。
案例操作
风险调查人员可以根据案例的严重性、用户风险历史记录以及组织的风险指南,通过多种方法之一对某个案例采取措施。 在某些情况下,可能需要将案例上报给用户或数据调查,以便与组织的其他区域协作并深入了解风险活动。 内部风险管理与其他Microsoft Purview 解决方案紧密集成,以帮助你进行端到端解决方案管理。
发送电子邮件通知
在大多数情况下,创建内部风险警报的用户操作是无意或意外的。 通过电子邮件向用户发送提醒通知是记录案例评审和操作的有效方法,也是提醒用户公司策略或让他们进行复习培训的方法。 通知是从你为内部风险管理基础结构 创建的通知模板 生成的。
请务必记住,向用户发送电子邮件通知 不会 将案例解析为 “已关闭”。 在某些情况下,在向用户发送通知以查找更多风险活动而不打开新案例后,你可能希望使案例保持打开状态。 如果你希望在发送通知后解决案例,则必须在发送通知后选择“解决案件”作为后续步骤。
向分配到案例的用户发送通知
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后在案例操作工具栏上选择 “发送电子邮件通知 ”。
- 在 “发送电子邮件通知 ”对话框中,选择“ 选择通知模板 ”下拉列表控件以选择通知模板。 此选择将预填充通知中的其他字段。
- 查看通知字段并根据需要进行更新。 输入的值将替代模板中的值。
- 选择“ 发送 ”,将通知发送给用户。 所有已发送的通知都会添加到案例说明仪表板的案例说明队列中。
升级以便进行调查
在需要对用户的风险活动进行其他法律审查的情况下,上报用户调查案例。 此升级会在 Microsoft 365 组织中打开一个新的 Microsoft Purview 电子数据展示 (Premium) 案例。 电子数据展示(高级版)提供端到端工作流,用于保留、收集、查看、分析和导出响应组织内部和外部法律调查的内容。 它帮助法律团队管理整个法定保留通知工作流,与案例涉及的保管人进行沟通。 从内部风险管理案例升级到电子数据展示 (Premium) 案例可帮助法律团队采取适当的措施和管理内容保存。 若要详细了解电子数据展示 (高级版) 案例,请参阅 Microsoft Purview 电子数据展示 (Premium) 概述。
将案例上报给用户调查
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择一个案例,然后在案例操作工具栏上选择“ 升级”进行调查 。
- 在“ 升级调查 ”对话框中,输入新用户调查的名称。 如果需要,请输入有关事例的备注,然后选择“ 升级”。
- 查看通知字段并根据需要进行更新。 输入的值将替代模板上的值。
- 选择“ 确认 ”以创建用户调查案例。
将内部风险管理案例升级到新的用户调查案例后,可以在 Microsoft Purview 门户的 电子数据展示>高级 区域中查看新案例。
使用 Power Automate 流为案例运行自动化任务
使用建议的 Power Automate 流,风险调查人员和分析师可以快速采取行动,执行以下操作:
- 向 HR 或企业请求有关内部风险案例中的用户的信息。
- 当用户收到内部风险警报时,通知经理。
- 在 ServiceNow 中创建内部风险管理案例的记录。
- 将用户添加到内部风险策略时通知用户。
若要为内部风险管理案例运行、管理或创建 Power Automate 流,请执行:
- 在事例操作工具栏上选择“ 自动 ”。
- 选择要运行的 Power Automate 流,然后选择“ 运行流”。
- 流完成后,选择“ 完成”。
若要详细了解用于内部风险管理的 Power Automate 流,请参阅 预览体验成员风险管理设置入门。
查看或创建案例Microsoft Teams 团队
在设置中启用用于内部风险管理Microsoft Teams 集成时,每次确认警报和创建案例时,都会自动创建一个Microsoft Teams 团队。 风险调查人员和分析师可以快速打开Microsoft Teams,并通过选择案例操作工具栏上的“ 查看Microsoft Teams 团队 ”直接导航到团队。
对于在启用Microsoft团队集成之前打开的案例,风险调查人员和分析师可以通过选择案例操作工具栏上的“创建Microsoft Teams 团队”,为案例创建新的 Microsoft Teams 团队 。
解决案例后,关联的Microsoft团队将自动存档 (隐藏并变为只读) 。
若要详细了解Microsoft Teams 进行内部风险管理,请参阅 预览体验计划风险管理设置入门。
解决案例
风险分析师和调查人员完成其审查和调查后,可以解决案例,以对案例中当前包含的所有警报采取行动。 解决案例会添加解决分类,将案例状态更改为“已关闭”,并且解决操作原因会自动添加到案例说明仪表板的案例说明队列。 案例将解决为:
- 良性:策略匹配警报被评估为低风险、非严重或误报的情况的分类。
- 已确认的策略冲突:策略匹配警报被评估为风险、严重或恶意意图结果的情况的分类。
解决案例
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在左侧导航栏中选择“ 案例 ”。
- 选择案例,然后在案例操作工具栏上选择“解决大小 写”。
- 在“ 解决案例 ”对话框中,选择“ 解析为 ”下拉列表控件以选择案例的解决分类。 选项为 良性 或 已确认策略冲突。
- 在“ 解决案例 ”对话框中,在 “采取的操作” 文本字段中输入解析分类的原因。
- 选择“ 解决 ”以关闭案例。