分享方式:

調查內部風險管理活動

重要事項

Microsoft Purview 內部風險管理會將各種訊號關聯起來,以識別潛在的惡意或無意內部風險,例如智慧財產權盜用、資料外洩及資安違規。 內部風險管理讓客戶能制定管理安全與合規的政策。 設計上以隱私為本,使用者預設為假名,並設有基於角色的存取控制與稽核日誌,以確保使用者層級的隱私。

調查潛在風險使用者行為是降低組織內部風險的重要一步。 這些風險可能是會從內部風險管理政策中產生警示的活動。 也可能是政策偵測到的合規相關活動風險,但不會立即為使用者產生內部風險管理警示。

圖表顯示內部風險管理警示如何產生。

您可以透過使用者活動報告Insider Risk ManagementStandard 警示儀表板中的 Triage Agent 來調查這類活動。

分流警示

調查並處理內部風險管理中的警示包括以下步驟:

  1. 檢查儀表板上的警示。 在 Standard 儀表板中,依照警報狀態篩選以找到需求審查警報。 你也可以在儀表板上使用 聚焦警示 ,快速查看優先警示。 在警報分流代理儀表板中,選擇 「需要注意 」篩選器,以查看優先順序最高的警報。
  2. 從嚴重程度最高的警示開始。 如有需要,請依警示或嚴重度篩選,以協助定位此類警示。
  3. 選擇警報以發現更多資訊並查看警報細節。 請檢視與警報相關的細節與關聯:
    1. 使用 活動瀏覽器標籤 來檢視相關潛在風險行為的時間軸,並識別所有風險活動。
    2. 利用 資料風險圖 檢視連結及使用者與檔案的詳細資訊,以發布警示。
  4. 警覺行動。 你可以確認並 建立警示案件 ,或是駁回並解決警示。

你可以透過前往任一儀表板的 警報詳情 頁面來分流警報。 在 警報詳情 頁面,您可以查看有關警報的資訊。 你可以確認警示並建立新案件,確認警示後加入現有案件,或是關閉警示。

本頁同時包含警報的當前狀態及警報風險嚴重程度,分為 。 如果警報未被分流,嚴重程度可能會隨時間升高或減輕。 對於誤報,您可以選擇多個警報,並透過選擇「 駁回警報」來批量駁回。

使用 Copilot 來摘要警報

選擇 「用 Copilot 摘要」 或「Copilot」圖示,快速摘要警報並優先排序需要進一步調查的警報。 你可以在不打開警報或查看警報細節後,彙整所選警報。 當你在 Microsoft Purview 中用 Microsoft Copilot 摘要提醒時,螢幕右側會出現一個 Copilot 面板,並顯示警報摘要。

警報摘要包含所有關於警報的重要細節,例如觸發警報的政策、產生警報的活動、觸發事件、涉及的使用者、其最後工作日期 ((如適用) )、任何關鍵使用者屬性,以及使用者的主要風險因素。 Microsoft Purview 中的 Copilot 整合了所有警示與範圍內政策中的用戶資訊,並強調使用者的主要風險因素。

建議提示會自動顯示,幫助你進一步精煉摘要,並提供與警示相關的活動更多洞見。 從以下建議提示中選擇:

  • 列出所有涉及此使用者的資料外洩活動
  • 列出所有涉及此使用者的連續活動
  • 使用者有沒有做出任何異常行為?
  • 顯示使用者在過去 10 天內執行的關鍵動作
  • 總結使用者過去 30 天的活動

提示

你也可以使用獨立版的 Microsoft Security Copilot 來調查內部風險管理、Microsoft Purview 資料外洩防護 (DLP) ,以及Microsoft Defender 全面偵測回應警示

聚焦 (預覽)

警示儀表板上的警示聚焦功能幫助你優先排序警示。 每個產生的警示都有風險分數、已執行的活動清單、標籤和觸發點。 警示聚焦是利用這些資訊來判斷警示是否被聚焦。

若警報風險分數達85或以上,且符合以下至少三項條件,警報將自動被聚焦:

  • 下表中的一個洞察與警報的最高洞察相符。
  • 警示包含優先內容,或使用者被偵測為 潛在高影響用戶
  • 使用者會 被手動帶入範圍
  • 警示活動包含來自下表的兩個或以上高信心洞見。
類別 指標 (高信心洞察)
裝置指示器 - 建立或傳輸檔案至網路共享
- 建立或複製檔案至 USB
- 使用瀏覽器將檔案上傳至網頁
辦公室指示器 - 與組織外人士分享 SharePoint 檔案
- 與組織外人員共享 SharePoint 資料夾
- 在 Teams 聊天中與組織外的人分享檔案連結
原則 - 內容可優先排序
- 開始為使用者計分活動
風險分數提升器 - 使用者被偵測為潛在的高影響力使用者
序列偵測 - 從 Microsoft 365 位置下載後外洩
- 從 Microsoft 365 位置下載,然後外洩,然後刪除
- 從 Microsoft 365 位置下載,混淆後再外洩

內部風險管理儀表板中的分流代理

當您在組織的 內部風險管理中啟用分流代理 時,代理會審查警示並在分流代理儀表板上顯示。 此儀表板自動包含優先警示與篩選功能,協助內部風險管理分析師快速調查並解決問題。

你可以自訂儀表板欄位,並依優先順序、日期、警示狀態或警示範圍篩選客服人員分流的警示。 要查看分流代理儀表板,請在儀表板頁面頂端選擇 分流代理

選擇一個警示以顯示該警示的代理摘要與總覽細節。 選擇「 查看詳情 」可查看警示細節,並可存取風險因素、活動瀏覽器等細節區塊。

如果您不同意代理人 的分類,請選擇分類 回饋 (預覽) ,以提供分類錯誤的回饋。

重要事項

分流代理的檔案風險區塊已被淘汰。

請觀看 《內部風險管理警示》分流體驗影片 ,了解警示如何提供風險活動的細節、背景及相關內容,以及如何提升調查流程的效能。

Standard alert dashboard

內部風險管理警示由內幕風險管理政策中定義的風險指標自動產生,並顯示於 Standard 警示儀表板上。 這些警示讓合規分析師與調查人員全面掌握當前風險狀態,並讓您的組織能對發現的潛在風險進行分流與採取行動。 預設情況下,保單會產生一定數量的低、中、高嚴重警示,但你可以根據需求 調整警示數量 。 此外,您也可以在建立新政策時,使用政策建立工具設定 政策指標的警示閾值 。 要查看 Standard 儀表板,請在儀表板頁面頂端選擇 Standard

注意事項

對於任何產生的警示,內部風險管理會為每位使用者產生單一彙整警示。 系統會將該使用者的任何新洞察加入同一個警示。

重要事項

如果你以 一個或多個管理單位來設定政策範圍,你只能看到你被設定範圍的使用者的警示。 例如,如果管理範圍只適用於德國的使用者,你只能看到德國用戶的警示。 不受限制的管理員可以查看組織中所有使用者的所有警示。

受限制的管理員無法存取透過安全群組或管理單位新增的分發群組所指派的使用者的警示。 此類用戶警示僅對未受限制的管理員可見。 Microsoft 建議直接將使用者加入管理單元,以確保有管理單元的受限制管理員也能看到他們的警示。

篩選警示、儲存篩選器集檢視、自訂欄位或搜尋警示

根據您組織中活躍的內部風險管理政策的數量與類型,審查大量警示佇列可能會相當具有挑戰性。 為了幫助你追蹤警報,你可以:

  • 依照各種屬性篩選警示。
  • 儲存一個篩選器設定的檢視,方便日後再使用。
  • 顯示或隱藏欄位。
  • 搜尋警示。
  • 查看警報報告。

過濾器警示

  1. 選擇 新增篩選器

  2. 請選擇以下一項或多項屬性:

    屬性 描述
    引發警報的活動 顯示在導致警示的活動評估期間內,最高可能有風險的活動與政策匹配。 這個數值會隨時間更新。
    警示解僱理由 撤銷警報的原因。
    隸屬 如果被指派) ,警報被指派負責分流 (管理員。
    原則 保單名稱。
    風險因子 決定使用者行為風險的因素。 可能的值包括 累積外洩活動活動包含優先內容序列活動活動包含不允許的網域優先使用者群組成員,以及 潛在高影響使用者
    嚴重性 使用者的風險嚴重程度。 選項包括
    狀態 警報狀態。 選項包括已確認已解除需要檢閱以及已解決
    偵測到時間 (UTC) 警報的開始與結束日期。 篩選器搜尋起始日期 UTC 00:00 至 結束日 UTC 00:00 之間的警報。
    觸發事件 將使用者納入政策範圍的事件。 觸發事件會隨時間改變。

    你選擇的屬性會被加入篩選列。

  3. 在篩選欄中選擇一個屬性,然後選擇一個要篩選的值。 例如,選擇 UTC) 屬性 (偵測到的時間 ,然後在 開始日期結束日期 欄位輸入或選擇日期,然後選擇 套用

    提示

    要在任何時候重新開始,請在濾波列選擇 「全部重置 」。

儲存一個濾鏡組的視圖以便日後重用

  1. 依照前述程序套用篩選器後,選擇 儲存,輸入篩選器組名稱,然後選擇 儲存

    濾鏡組會以卡片形式加入。 它包含一個數字,顯示符合篩選條件的警報數量。

    注意事項

    你可以省下最多五組濾網。 要刪除濾鏡組,請選擇卡片右上角 (三個點) 省略號,然後選擇 刪除

  2. 若要重新套用已儲存的濾波器組,請選擇該組的卡片。

顯示或隱藏欄位

  1. 在頁面右側,選擇 「自訂欄位」。
  2. 選擇或清除你想顯示或隱藏欄位的核取方塊。

欄位設定會跨會話及瀏覽器儲存。

搜尋警示

使用 搜尋 控制項搜尋使用者主體名稱 (UPN) 、指定管理員名稱或警示 ID。

查看警報報告

請前往「內部風險管理>報告>警示」查看已產生的警示報告、區域警示、觸發事件警示等相關報告。

警報詳情頁面的標題/摘要區塊

示詳情頁中的此區塊僅在 Standard 儀表板選擇警示時使用,包含使用者與警示的一般資訊。 您可以在檢視警示中針對偵測到的風險管理活動詳細資訊時,利用這些資訊作為背景資訊:

  • 產生此警示的活動:顯示在評估期間內,導致警示產生的最高潛在風險活動與政策匹配。
  • 觸發事件:顯示最近一次觸發事件,促使政策開始為使用者活動指派風險分數。 如果你設定 與通訊合規整合 ,針對 風險使用者的資料洩漏 或安全 政策違規 ,這些警報的觸發事件範圍為通訊合規活動。
  • 使用者資料:顯示負責警示的使用者的一般資訊。 若啟用匿名化,使用者名稱、電子郵件地址、別名及組織欄位皆會匿名化。
  • 使用者警示歷史:顯示使用者過去 30 天的警示清單。 包含連結可查看使用者的完整警報歷史。

注意事項

當使用者被偵測為潛在高影響使用者時,該資訊會在 使用者資料 頁面的警示標頭中被標示出來。 使用者資料也包含了使用者被偵測到的理由摘要。 欲了解更多關於為潛在高影響力使用者設定政策指標,請參閱 內部風險管理設定

由僅涵蓋 優先內容 的活動所產生的政策所產生的警報包括:本節中 此警示通知中,僅有具有優先內容的活動被評分

提示

要快速了解警報,請在警報詳情頁面選擇 「摘要 」。 當你選擇 摘要時,頁面右側會出現一個 副駕駛 窗格,並附帶警示摘要。 警報摘要包含所有關於警報的重要細節,例如觸發的政策、產生警報的活動、觸發事件、涉及的使用者、其最後工作日期 ((如適用) )、任何關鍵使用者屬性,以及使用者的主要風險因素。 Microsoft Purview 中的 Copilot 整合了所有警示與範圍內政策中的用戶資訊,並強調使用者的主要風險因素。 你也可以用 Copilot 從警報佇列中摘要警報,而不必打開警報。 或者使用獨立版本的 Microsoft Security Copilot 來調查內部風險管理、Microsoft Purview 資料外洩防護 (DLP) 以及Microsoft Defender 全面偵測回應警示

代理人摘要標籤

示詳情 頁的此區塊僅在內幕風險管理儀表板的分流代理中選擇警示時使用。 代理摘要資訊包含警示分類細節及分流過程中所用相關風險的細節。

所有風險因素標籤

警報 詳情 頁面中的此標籤可用於兩種儀表板檢視的警報。 它會開啟使用者警示活動的風險因素摘要。 風險因子有助於你判斷使用者在審查期間的風險管理活動有多高風險。 風險因子包括以下摘要:

  • 累積性外流活動:與累積外流活動相關的事件。
  • 健康紀錄存取:與存取健康紀錄相關的活動,涉及潛在風險活動。
  • 優先內容:與優先內容相關的潛在風險活動。
  • 風險瀏覽器使用:涉及瀏覽可能不適當網站的活動,涉及潛在風險活動。
  • 活動序列:偵測與風險序列相關的潛在風險活動。
  • 頂尖的撤離活動:警報事件數量最多的撤離活動。
  • 不允許的網域:與不允許網域相關的事件,可能帶來風險的活動。
  • 使用者的異常行為:針對使用者而言,這些行為被視為潛在風險,因為它們異常且與其平常活動不同。

使用這些篩選器時,你只會看到帶有這些風險因子的警示,但產生警示的活動可能不屬於上述任何一項。 例如,包含序列活動的警示可能僅因使用者將檔案複製到USB裝置而產生。

偵測到的內容

所有風險因素 」標籤中的此區包含與警報風險活動相關的內容,並依關鍵區域總結活動事件。 選擇活動連結會開啟活動總覽,並顯示更多活動細節。

活動總覽標籤

注意事項

活動總覽可在警報管理區提供,供在組織啟用此功能後觸發事件的用戶使用。

活動總覽標籤在兩個儀表板檢視中皆可使用警報。 它為風險調查員與分析師提供全面的分析工具,提供關於警示的詳細資訊。 透過活動探索器,審查者能快速檢視偵測到的潛在風險活動時間軸,並識別及過濾所有與警報相關的風險活動。

使用活動探索器

在活動總覽中檢視活動時,調查人員與分析師可選擇特定活動並開啟活動細節欄。 該面板顯示調查人員與分析師在警示分流過程中可使用的詳細活動資訊。 詳細資訊可能為警示提供背景,並協助辨識觸發警示的風險活動全貌。

當從活動時間軸中選擇活動事件時,檔案總管中顯示的活動數量可能與時間軸中列出的活動事件數量不一致。 這種差異可能發生的例子包括:

  • 累積外洩偵測:累積外洩偵測分析事件日誌,但應用包含去重類似活動的模型來計算累積外洩風險。 此外,如果你更改現有政策或設定,活動總管中顯示的潛在風險活動數量可能會有所差異。 例如,若您在建立政策後修改允許/不允許的網域或新增檔案類型排除,且出現潛在風險活動匹配,累積的外洩偵測活動將與政策或設定變更前的結果不同。 累積的外洩偵測活動總數是根據計算時的政策與設定設定,不包含政策與設定變更前的活動。
  • 寄給外部收件人的電子郵件:寄往外部收件人的電子郵件中,潛在風險活動會根據寄出的郵件數量被分配風險分數,但這可能與活動事件紀錄不符。

內幕風險管理活動探索器詳情。

包含不在風險評分範圍內的事件序列

個序列 可能包含一個或多個事件,根據你的設定設定,這些事件被排除在風險評分之外。 例如,你的組織可能會使用全域排除設定,將 .png 檔案排除在風險評分之外,因為 .png 檔案通常不會有風險。 但 .png 檔案可以用來混淆惡意行為。 因此,如果一個因混淆活動而被排除在風險評分之外的事件,該事件會被包含在序列中,因為它在序列的語境中可能具有有趣性。

活動瀏覽器會顯示以下排除事件的資訊:

  • 如果序列包含排除 所有 事件的步驟,洞察僅包含活動名稱和日期。 選擇「 檢視排除事件 」連結,以在活動總管中篩選排除事件。 若排除所有事件,使用者活動散點圖圖示的風險分數為 0。
  • 如果某個序列有洞見排除 了某些 事件,則會顯示未排除事件的事件資訊,但事件計數不會包含被排除的事件。 選擇「 檢視排除事件 」連結,以在活動總管中篩選排除事件。
  • 如果你選擇序列 連結 以獲得洞察,可以在活動細節窗格深入查看事件序列,包括任何被排除在評分之外的事件。 被排除在計分之外的事件會被標記為 「排除」。

在活動總管中篩選警報

要在活動總管中篩選警示以取得欄位資訊,請選擇篩選。 你可以依照警示細節欄格中列出的一個或多個屬性來篩選警示。 活動總管也支援可自訂欄位,幫助調查人員與分析師將儀表板聚焦於對他們最重要的資訊。

使用 活動範圍風險因子檢視狀態 篩選器,顯示並排序以下領域的活動與洞察。

  • 活動範圍:篩選所有已評分的活動。

    • 所有為該使用者計分活動
    • 本次警報僅記錄活動

  • 風險因子:適用於所有分配風險分數的政策的風險因子活動篩選器,這包括範圍內使用者所有政策的活動。

    • 異常活動
    • 包含優先內容的活動
    • 包含不允許網域的事件
    • 序列活動
    • 累積的外洩活動
    • 健康紀錄存取活動
    • 風險瀏覽器使用問題

  • 審核狀態:篩選活動審核狀態。

    • 全部
    • 尚未審查 (會過濾掉任何屬於已被駁回或已解決警示)

內部風險管理活動探索器概述

使用者活動標籤

使用者活動標籤在兩個儀表板檢視中皆可使用警報。 它是內部風險管理解決方案中警示與案件內部風險分析與調查中最強大的工具之一。 此分頁結構設計使使用者能快速檢視所有活動,包括所有警示的歷史時間軸、警示細節、使用者目前的風險分數,以及風險事件的順序。

內部風險管理使用者活動

  1. 案件行動:案件行動工具列提供解決案件的選項。 查看案件時,您可以解決案件、發送電子郵件通知給用戶,或將案件升級進行資料或使用者調查。

  2. 風險活動時間順序:所有與案件相關的風險警示完整時間順序,包含對應警示泡泡中所有細節。

  3. 篩選與排序 (預覽)

    • 風險類別:依下列風險類別篩選活動: 風險分數為 > 15 (,除非依序) 順序活動
    • 活動類型:依以下類型篩選活動: 存取刪除收集外洩滲透混淆安全自訂指標防禦規避權限提升通訊風險使用者入侵風險AI 使用
    • 排序方式:依 發生日期風險分數列出潛在風險活動的時間軸。

  4. 時間篩選器:預設情況下,使用者活動圖表顯示過去三個月可能有風險的活動。 你可以在氣泡圖中選擇 6 個月3 個月1 個月 分頁,輕鬆篩選圖表視圖。

  5. 風險順序:潛在風險活動的時間順序是風險調查的重要面向。 辨識這些相關活動是評估組織整體風險的重要一環。 相關的警報活動會以連接線顯示,以強調這些活動與較大風險區域相關聯。 在此檢視中,序列也會以相對於序列風險分數的圖示標示來識別。 將滑鼠移至圖示上可查看與此序列相關的風險活動的日期與時間。 這種活動觀點能幫助調查人員「串連」那些可能被視為孤立或一次性事件的風險活動。 選擇圖示或序列中的任意氣泡,即可顯示所有相關風險活動的詳細資訊。 詳情包括:

    • 序列名稱
    • 序列的日期日期範圍
    • 序列的風險分數。 此分數為序列中各相關活動的綜合警示風險嚴重程度等級的數值分數。
    • 每個警報相關的事件數量。 每個潛在風險活動相關的檔案或電子郵件連結也都提供。
    • 依序展示活動。 在氣泡圖上以高亮線顯示序列,並展開警報細節以顯示序列中所有相關的警報。

  6. 風險警示活動與細節:潛在風險活動會以彩色泡泡在使用者活動表中視覺化顯示。 泡沫是針對不同風險類別所建立的。 選擇一個氣泡,顯示每項潛在風險活動的詳細資訊。 詳情包括:

    • 風險活動日期
    • 風險活動類別。 例如,Email (的 s) 附帶外的附件,或是從 SharePoint Online 下載 (檔案)
    • 警示風險分數。 此分數是警示風險嚴重性層級的分數,以數字表示。
    • 與警示相關聯的事件數目。 同時也提供與風險活動相關的每個檔案或電子郵件連結。

  7. 累積外洩活動:選擇查看使用者活動隨時間累積的視覺圖表。

  8. 風險活動圖例:在使用者活動圖表底部,有一個顏色編碼的圖例,幫助你快速判斷每個警示的風險類別。

資料風險圖標籤

重要事項

啟用 匿名用戶隱私設定 後,你無法使用此功能。

資料風險圖分頁在兩個儀表板視圖中皆可使用警示。 透過與 Microsoft Sentinel 的整合,資料風險圖讓你能以互動式圖表體驗查看受影響資產、使用者及其活動之間的連結。

內部風險管理資料風險圖範例。

欲了解更多資料風險圖的資訊,請參閱 《內部風險管理》中的資料風險圖

儲存濾鏡的檢視圖以便日後重用

如果你建立篩選器並自訂篩選欄位,你可以儲存變更的檢視,讓你或其他人之後能快速篩選相同的變更。 當你儲存檢視時,你會同時儲存篩選器和欄位。 當你載入檢視時,它會載入已儲存的篩選器和欄位。

  1. 建立篩選器並自訂欄位。

    提示

    要在任何時候重新開始,請選擇 重置。 要更改你自訂的欄位,請選擇 重置欄位

  2. 當你的篩選條件達到你想要的樣子後,選擇 「儲存此檢視」,輸入檢視的名稱,然後選擇 「儲存」。

    注意事項

    檢視名稱的最大長度是 40 個字元,且不能使用特殊字元。

  3. 若要稍後重用篩選器的檢視,請選擇 檢視,然後從 推薦 檢視標籤中選擇你想開啟的檢視, (推薦檢視標籤) 或自訂 檢視 標籤, (最常用篩選器會顯示在列表) 頂端。

當你用這種方式選擇檢視時,會重置所有現有的篩選條件,並替換成你所選的檢視。

警示狀態和嚴重性

注意事項

Insider Risk Management 會限制觸發處理,幫助保護並優化您的風險調查與審查體驗。 這種限速機制可避免可能導致政策警示過載的問題,例如資料連接器設定錯誤或資料遺失防護政策。 內部風險管理不會處理超出限速限制的訊號。 了解更多關於內部風險管理(Insider Risk Management)中的限額

您可以將警示分流為以下其中一種狀態:

  • 確認:已確認並指派給新或現有案件的警示。
  • 駁回:在分診過程中,警報被視為無害的。 您可以提供警示被駁回的原因,並附上使用者警示歷史中可用的備註,為未來參考或其他審查者提供更多背景資訊。 原因可能包括預期活動、無影響事件、單純減少使用者的警示活動數量,或是與警示筆記相關的理由。 分類原因包括: 該使用者預期有活動活動影響足夠讓我進一步調查,以及該 使用者的警報活動過多
  • 需要檢討:新增警報,尚未執行分流行動。
  • 已解決:屬於已結案且已解決案件的警示。

警示風險分數會自動根據多個風險活動指標計算。 這些指標包括風險活動的類型、活動發生的數量與頻率、使用者風險活動的歷史,以及可能提升潛在風險活動嚴重性的活動風險。 警示風險分數驅動程式化對每個警示的風險嚴重程度分配,且無法自訂。 如果你不對警示進行分流,且風險活動持續累積到警示中,風險嚴重程度可能會增加。 風險分析師與調查人員可利用警示風險嚴重度,依照貴組織的風險政策與標準進行分流。

警戒風險嚴重程度如下:

  • 高度嚴重性:潛在風險活動及警示指標帶來重大風險。 相關的風險活動是嚴重、重複的,而且與其他重大風險因素有強烈關聯。
  • 中等嚴重度:潛在風險活動及警示指標帶來中等風險。 相關聯的風險活動為中度、頻繁,且與其他風險因素有一些相關。
  • 低嚴重度:潛在風險活動及警示指標帶來輕微風險。 相關的風險活動較輕微、較少發生,且與其他重要風險因子無關聯。

關閉多個提醒 (預覽)

為了節省分流時間,分析師和調查人員可以同時忽略多個警示。 透過「 取消警報 」指令列選項,您可以在儀表板上選擇一個或多個「 需求審查 」狀態的警報,並迅速將這些警報視為無害。 你可以一次選擇最多 400 個警報來關閉。

駁回內部風險警示

  1. 請以 Microsoft 365 組織管理員帳號的憑證登入 Microsoft Purview 入口 網站。
  2. 前往 Insider Risk Management 解決方案。
  3. 在左側導覽中選擇 「警報 」。
  4. 警示儀表板中,選擇處於 「需求審查」 狀態的警示。
  5. 在警報指令列中,選擇 「取消警報」。
  6. 「關閉警報 」細節窗格中,檢視與所選警報相關的使用者及政策細節。
  7. 選擇「 取消警報」 以將警報視為良性。

警報報告

若要查看警報報告,請前往 報告 頁面。 報告頁面上的每個報告小工具都會顯示過去30天的資訊:

  • 需要審查的警示總數:需要審查與分流的警示總數,包括依警示嚴重程度的細分。
  • 過去30天的未開啟警報:過去30天內由政策匹配產生的警報總數,依高、中、低警示嚴重程度排序。
  • 平均解決警報時間:有用的警報統計摘要:
    • 解決高嚴重性警示的平均時間,以小時、天或月列出。
    • 解決中嚴重性警示的平均時間,以小時、天或月列出。
    • 解決低嚴重性警示的平均時間,以小時、天或月列出。

設定警報

如果您是管理員,並且是 內部風險管理內部風險管理分析師或內部 風險管理調查員 角色群組的成員,您可以將警示的所有權指派給自己或擁有相同角色的內部風險管理使用者。 指派警示後,你可以重新指派給擁有相同角色的使用者。 你一次只能指派一個管理員一個警示。

注意事項

如果你將 政策範圍限定為一個或多個管理單位,則只能將警示的所有權授予擁有適當角色群組權限的內部風險管理使用者。 警示中標示的使用者必須屬於管理單位的管轄範圍。 例如,若管理範圍僅適用於德國用戶,內部風險管理使用者只能看到德國用戶的警示。 不受限制的管理員可以查看組織中所有使用者的所有警示。

指派管理員後,你可以依管理員搜尋。

注意事項

包含在 Microsoft Entra 安全群組中的管理員不被支援用於警示指派。 管理員必須直接被指派到所需角色之一。

如果你使用自訂群組,請確保自訂群組包含 案件管理 角色內部風險管理分析師與內部風險管理調查員角色群組皆包含案件管理角色,但若使用自訂群組,必須明確將案件管理角色加入群組。

從警示儀表板指派警示

  1. 請以 Microsoft 365 組織管理員帳號的憑證登入 Microsoft Purview 入口 網站。
  2. 前往 Insider Risk Management 解決方案。
  3. 在左側導覽中選擇 「警報 」。
  4. 警示儀表板上,選擇你想指派的警示。
  5. 在警報佇列上的指令列中,選擇 指派
  6. 在螢幕右側的 「指派擁有者 」面板中,搜尋擁有適當權限的管理員,然後勾選該管理員的勾選框。
  7. 選取 [指派]

從警報詳細頁面指派警報

  1. 請以 Microsoft 365 組織管理員帳號的憑證登入 Microsoft Purview 入口 網站。
  2. 前往 Insider Risk Management 解決方案。
  3. 在左側導覽中選擇 「警報 」。
  4. 選擇警示。
  5. 在警示的詳細面板中,頁面右上角選擇 「指派」。
  6. 建議聯絡人 列表中,選擇相應的管理員。

建立警示案件

建立警示案件,以調查潛在風險活動。

  1. 請以 Microsoft 365 組織管理員帳號的憑證登入 Microsoft Purview 入口 網站。
  2. 前往 Insider Risk Management 解決方案。
  3. 在左側導覽中選擇 「警報 」。
  4. 警示儀表板上,選擇你想確認的警示並建立新案件。
  5. 警示細節欄目中,選擇 「動作>確認警示」& 建立案件
  6. 「確認警報」並「建立內部風險」 對話框中,輸入案件名稱,選擇可新增為貢獻者,並視情況新增評論。 評論會自動作為案件說明加入案件。
  7. 選擇 建立案件 以建立新案件。

案件建立後,調查人員與分析師即可管理並採取行動。 欲了解更多資訊,請參閱 《內幕風險管理》案例 文章。

保留與項目限制

隨著內部風險管理警示的老化,其在減少潛在風險活動方面的價值對大多數組織而言逐漸減弱。 相反地,活躍案件及相關產物 (警示、洞察、活動) 總是有價值,且沒有自動到期日。 此保留政策包含所有與活躍案件相關用戶的未來警示與活躍狀態的產件。

為減少提供有限現有價值的舊項目數量,內部風險管理警示、案例及使用者報告適用以下保留與限制:

項目 保留/限制
活躍病例 (及相關偽影) 無限期保留,永不失效
包含需求審查狀態的警示 從警報建立起 120 天,然後自動刪除
最大活躍病例數 100
已解決的案件 (及相關文物) 案件解決後120天,然後自動刪除
使用者活動報告 從報告建立起120天,然後自動刪除

管理您的警示的最佳做法

審查、調查並處理潛在風險的內部警報,是降低組織內部風險的重要環節。 迅速採取行動以降低這些風險的影響,可能為您的組織節省時間、金錢及法規或法律後果。 了解管理您的內部風險管理警示隊列的最佳實務

另請參閱

  • Last updated on