在内部风险管理中配置智能检测
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
可以使用 Microsoft Purview 内部风险管理 中的智能检测设置来设置全局排除项。 例如,你可能希望排除某些文件类型或域的风险评分。 使用 还可以使用智能检测设置来调整警报量或导入Microsoft Defender for Endpoint警报。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
忽略电子邮件签名附件 (预览)
内部风险管理策略中“干扰”main源之一是电子邮件签名中的图像,这些图像通常被检测为电子邮件中的附件。 这可能会导致用户通过电子邮件发送可能机密的文件的误报。 如果选中“ 向组织外部的收件人发送电子邮件” 指示器,则会像在组织外部发送的任何其他电子邮件附件一样对附件进行评分,即使附件中的唯一内容是电子邮件签名也是如此。 通过启用“忽略电子邮件签名附件”设置,可以排除电子邮件 签名附件 在此情况下的评分。
启用此设置可显著消除电子邮件签名附件的干扰,但不会完全消除所有干扰。 这是因为只有 电子邮件发件人 的电子邮件签名附件 (发起电子邮件或答复电子邮件的人员) 才会被排除在评分之外。 仍会对收件人、抄送或密件抄送行上的任何人的签名附件进行评分。 此外,如果某人更改了其电子邮件签名,则必须分析新签名,这可能会在短时间内引起警报噪音。
注意
默认情况下, “忽略电子邮件签名附件 ”设置处于关闭状态。
文件活动检测
若要从所有内部风险管理策略匹配中排除特定文件类型,请输入以逗号分隔的文件类型扩展名。 例如,若要从策略匹配项中排除某些类型的音乐文件,请在“文件类型排除项”字段中输入 aac,mp3,wav,wma。 具有这些扩展名的文件将被所有内部风险管理策略忽略。
警报量
内部风险策略检测到的潜在风险活动将分配一个特定的风险评分,从而确定警报严重性 (低、中、高) 。 默认情况下,内部风险管理会生成一定数量的低、中和高严重性警报,但你可以根据需要增加或减少数量。
若要调整所有内部风险管理策略的警报量,请选择以下设置之一:
- 更少的警报:你将看到所有高严重性警报、更少的中等严重性警报,并且没有低严重性警报。 如果选择此设置级别,可能会错过一些真正值。
- 默认卷:你将看到所有高严重性警报以及均衡的中等严重性和低严重性警报。
- 更多警报:你将看到所有中等严重性、高严重性警报以及大多数低严重性警报。 此设置级别可能会导致更多的误报。
Microsoft Defender for Endpoint警报状态
重要
必须在组织中配置Microsoft Defender for Endpoint,并在 Defender 安全中心启用 Defender for Endpoint 以实现内部风险管理集成,以导入安全违规警报。 若要详细了解如何配置 Defender for Endpoint,实现预览体验计划风险管理集成,请参阅 在Defender for Endpoint中配置高级功能。
Microsoft Defender for Endpoint是一个企业终结点安全平台,旨在帮助企业网络预防、检测、调查和响应高级威胁。 若要更好地了解组织中的安全违规情况,可以导入并筛选从内部风险管理安全违规策略模板创建的策略中使用的活动的 Defender for Endpoint 警报。
根据你感兴趣的信号类型,可以选择根据 Defender for Endpoint 警报会审状态将警报导入到内部风险管理。 可以在要导入的全局设置中定义以下一个或多个警报会审状态:
- 未知
- 新增
- 正在进行
- 已解决
来自 Defender for Endpoint 的警报每天导入。 根据所选的会审状态,你可能会看到与 Defender for Endpoint 中的会审状态更改相同的警报的多个用户活动。
例如,如果为此设置选择“新建”、“正在进行”和“已解决”,则生成Microsoft Defender for Endpoint警报且状态为“新建”时,会在内部风险管理中为用户导入初始警报活动。 当 Defender for Endpoint 会审状态更改为 “正在进行”时,将导入此警报的第二个活动。 设置“ 已解决 ”的最终 Defender for Endpoint 会审状态时,将导入此警报的第三个活动。 此功能允许调查人员跟踪 Defender for Endpoint 警报的进度,并选择其调查所需的可见性级别。
域
域设置有助于为特定域的风险管理活动定义风险级别。 这些活动包括共享文件、发送电子邮件、下载内容或上传内容。 通过在这些设置中指定域,可以增加或降低与这些域一起发生的风险管理活动的风险评分。
使用“添加域”为每个域设置定义一个域。 此外,还可以使用通配符来帮助匹配根域或子域的变体。 例如,若要指定 sales.wingtiptoys.com 和 support.wingtiptoys.com,请使用通配符条目“*.wingtiptoys.com”来匹配这些子域 (以及同一级别) 的任何其他子域。 若要为根域指定多级子域,必须选中“包括多级子域检查”框。
对于以下每个域设置,最多可以输入 500 个域:
未注册的域: 指定未启用的域时,与该域一起发生的风险管理活动将具有 更高的 风险分数。 例如,你可能想要指定涉及与某人共享内容 (的活动,例如向具有 gmail.com 地址的人发送电子邮件) 或涉及用户从未启用的域将内容下载到设备的活动。
允许的域: 策略将忽略与 “允许的域 ”中指定的域相关的风险管理活动,并且不会生成警报。 这些活动包括:
- 发送到外部域的Email
- 与外部域共享的文件、文件夹和网站
- 使用 Microsoft Edge 浏览器) (上传到外部域的文件
指定允许的域时,具有该域的风险管理活动的处理方式与处理内部组织活动的方式类似。 例如,在 允许的域 中添加的域可能包括一个活动,该活动涉及与组织外部的人员共享内容 (例如向具有 gmail.com 地址) 的人员发送电子邮件。
第三方域: 如果你的组织将第三方域用于商业目的 ((例如云存储) ),请在此处添加它们,以便你可以收到与设备指示器“ 使用浏览器从第三方站点下载内容”相关的潜在风险活动的警报。
文件路径排除
指定要排除的文件路径时,映射到特定指示器的用户活动以及这些文件路径位置中发生的用户活动不会生成策略警报。 示例包括将文件复制或移动到系统文件夹或网络共享路径。 最多可以输入 500 个文件路径进行排除。
添加要排除的文件路径:
在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
在 “文件路径排除 ”部分中,选择“ 添加要排除的文件路径”。
在 “添加文件路径 ”窗格中,输入要从风险评分中排除的确切网络共享或设备路径。 还可以使用 * 和 * ([0-9]) 来表示要排除的特定通配符文件夹和子文件夹。 有关详细信息,请参阅以下示例。
示例 说明 \\ms.temp\LocalFolder\ 或 C:\temp 排除文件夹直接下的文件,以及每个文件路径的所有子文件夹(以输入的前缀开头)。 \public\local\ 从包含输入值的每个文件路径中排除文件。 匹配“C:\Users\Public\local\”、“C:\Users\User1\Public\local”和“\\ms.temp\Public\local”。
C:\Users\*\Desktop 匹配“C:\Users\user1\Desktop”和“C:\Users\user2\Desktop”。 C:\Users\* (2) \Desktop 匹配“C:\Users\user1\Desktop”和“C:\Users\user2\Shared\Desktop”。 选择 “添加文件路径”。
注意
若要删除文件路径排除,请选择文件路径排除,然后选择 “删除”。
默认文件路径排除项
默认情况下,系统会自动从生成策略警报中排除多个文件路径。 这些文件路径中的活动通常是良性的,可能会增加不可操作警报的数量。 如果需要,可以取消这些默认文件路径排除项的选择,以便为这些位置中的活动启用风险评分。
默认文件路径排除项为:
- \Users\*\AppData
- \Users\*\AppData\Local
- \Users\*\AppData\Local\Roaming
- \Users\*\AppData\Local\Local\Local\Temp
这些路径中的通配符表示 \Users 和 \AppData 之间的所有文件夹级别都包含在排除项中。 例如, C:\Users\Test1\AppData\Local 和 C:\Users\Test2\AppData\Local、 C:\Users\Test3\AppData\Local (等) 中的活动将全部包含在 \Users\*\AppData\Local 排除选择中,并且不会对风险进行评分。
预览) (敏感信息类型排除项
排除 的敏感信息类型 映射到涉及 Endpoint、SharePoint、Teams、OneDrive 和 Exchange 的文件相关活动的指示器和触发器。 这些排除的类型被视为非敏感信息类型。 如果文件包含本部分中标识的任何敏感信息类型,该文件将进行风险评分,但不会显示为涉及与敏感信息类型相关的内容的活动。 有关敏感信息类型的完整列表,请参阅 敏感信息类型实体定义。
可以选择从租户中可用的所有可用 (和自定义) 类型列表中排除的敏感信息类型。 最多可以选择 500 种要排除的敏感信息类型。
注意
敏感信息类型的排除列表优先于 优先级内容 列表。
排除敏感信息类型:
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在 “敏感信息类型 ”部分中,选择“ 添加要排除的敏感信息类型”。
- 在 “添加或编辑敏感信息类型 ”窗格中,选择要排除的类型。
- 选择“添加”。
注意
若要删除敏感信息类型排除,请选择排除项,然后选择 “删除”。
可训练的分类器排除 (预览)
排除的 可训练分类器 映射到涉及 SharePoint、Teams、OneDrive 和 Exchange 的文件相关活动的指示器和触发器。 如果任何文件包含本部分中标识的任何可训练分类器,则该文件将被风险评分,但不会显示为涉及与可训练分类器相关内容的活动。 有关预先训练的分类器的完整列表,请参阅 可训练的分类器定义。
你可以从租户中可用的所有可用 (和自定义) 类型列表中选择要排除的可训练分类器。 内部风险管理默认排除一些可训练的分类器,包括威胁、亵渎、有针对性的骚扰、冒犯性语言和歧视。 最多可以选择 500 个可训练的分类器进行排除。
注意
(可选)可以选择要包含在 优先级内容 列表中的可训练分类器。
若要排除可训练的分类器,请:
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在 “可训练的分类器 ”部分中,选择“ 添加可训练的分类器以排除”。
- 在 “添加或编辑可训练的分类器 ”窗格中,选择要排除的分类器。
- 选择“添加”。
注意
若要删除可训练的分类器排除项,请选择该排除项,然后选择“ 删除”。
网站排除
配置网站 URL 排除,以防止在与 Teams 频道网站关联的 SharePoint (和 SharePoint 网站中发生的潜在风险活动,) 生成策略警报。 你可能想要考虑排除包含可与利益干系人或公众共享的非敏感数据和数据的网站和频道。 最多可以输入 500 个要排除的网站 URL 路径。
添加要排除的站点 URL 路径:
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在 “网站 URL 排除 ”部分中,选择 “添加或编辑 SharePoint 网站”。
- 在 “添加或编辑 SharePoint 网站 ”窗格中,输入或搜索要从风险评分中排除的 SharePoint 网站。
- 选择“添加”。
编辑网站 URL 路径以排除:
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在 “网站 URL 排除 ”部分中,选择 “添加或编辑 SharePoint 网站”。
- 在 “添加或编辑 SharePoint 网站 ”窗格中,输入或搜索要从风险评分中排除的 SharePoint 网站。
- 选择“编辑”。
注意
若要删除网站 URL 排除项,请选择网站 URL 排除项,然后选择 “删除”。
关键字排除
为文件名、文件路径或电子邮件主题行中显示的关键字配置排除项。 这为需要降低潜在警报频率的组织提供了灵活性,因为标记了为组织指定的良性术语。 与包含关键字 (keyword) 的文件或电子邮件主题相关的此类活动将被内部风险管理策略忽略,并且不会生成警报。 最多可以输入 500 个要排除的关键字。
仅当它不包含字段时,才使用 Exclude 来定义要忽略以排除的特定术语分组。 例如,如果要排除“培训”关键字 (keyword) ,但不排除“合规性培训”,请在“仅当排除”字段不包含字段时,在“但包含”字段中输入“符合性” (或“合规性培训”) 。
如果只想排除特定的独立术语,请在 “仅包含”字段中 输入术语。
添加要排除的独立关键字:
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在 “关键字排除 ”部分中,在“ 但确实包含 ”字段中输入独立关键字。
- 选择“保存”以配置关键字 (keyword) 排除项。
删除要排除的独立关键字 (keyword) :
- 在合规性门户中,转到 “预览体验成员风险管理>设置>”“智能检测”。
- 在“关键字排除”部分中,为“但确实包含”字段中的特定独立关键字 (keyword) 选择 X。 根据需要重复此操作以删除多个关键字。
- 选择“保存”。