重要事項
Microsoft Purview 內部風險管理會將各種訊號關聯起來,以識別潛在的惡意或無意內部風險,例如智慧財產權盜用、資料外洩及資安違規。 內部風險管理讓客戶能制定管理安全與合規的政策。 設計上以隱私為本,使用者預設為假名,並設有基於角色的存取控制與稽核日誌,以確保使用者層級的隱私。
原則範本
內部風險管理範本是預先定義的保單條件,用以定義保單所使用的風險指標類型與風險評分模型。 每個政策在建立政策前,必須在建立政策的工作流程中擁有指派的範本。 內部風險管理支援每個保單範本最多可有 100 項保單。 當您使用保單工作流程建立新的內部風險保單時,請從以下其中一個保單範本中選擇:
提示
立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。
離職使用者竊取的資料
當使用者離開你的組織時,通常會有一些特定的風險指標,與離職使用者可能發生的資料竊取相關聯。 此原則範本使用外洩指標進行風險評分,並著重于此風險區域中的偵測和警示。 離職用戶的資料竊取可能包括從 SharePoint Online 下載檔案、列印檔案,以及在離職及離職日期附近將資料複製至個人雲端訊息與儲存服務。 當你使用 Microsoft HR 連接器或在 Microsoft Entra 中自動檢查用戶帳號刪除的選項時,這個範本會開始評分這些活動的風險指標,以及它們如何與使用者就業狀態相關。 這可能包括 Box、Dropbox、Google Drive、Amazon S3 和 Azure 等服務的雲端指標。
重要事項
使用此範本時,您可以設定 Microsoft 365 HR 連接器,定期匯入組織內使用者的辭職與終止日期資訊。 請參閱「 與 HR 連接器匯入資料 」條目,了解 Microsoft 365 HR 連接器的逐步設定指引。 如果你選擇不使用 HR 連接器,在設定政策工作流程的觸發事件時,選擇「從 Microsoft Entra 刪除使用者帳號」選項。
資料外洩
保護資料並防止資料外洩對大多數組織來說是一項持續的挑戰,尤其是在使用者、裝置與服務所產生的新資料快速成長的情況下。 使用者可以在服務與裝置間建立、儲存及分享資訊,這使得管理資料外洩變得越來越複雜且困難。 資料洩露可能包括不小心與組織外部人員分享過多資訊,或惡意的資料竊取。 此範本可即時偵測可疑的 SharePoint Online 資料下載、檔案與資料夾共享、列印檔案,以及將資料複製至個人雲端訊息與儲存服務。
使用 資料洩漏 範本時,你可以指派一個 DLP 政策,在內部風險政策中觸發組織中高嚴重警報的指標。 每當由 DLP 政策規則產生高嚴重性警報並加入 Office 365 稽核日誌時,使用此範本建立的內部風險政策會自動檢查該高嚴重性 DLP 警報。 如果警示包含內部風險原則中定義的範圍內使用者,則內部風險原則會以新警示方式處理該警示,並指派內部風險嚴重性和風險分數。 你也可以選擇將所選指標指派為政策的觸發事件。 這種彈性與客製化有助於政策僅涵蓋指標涵蓋的活動。 此原則可讓您在該案例中包含的其他活動之脈絡內評估此警示。
此範本亦可包含 Box、Dropbox、Google Drive、Amazon S3 及 Azure 等服務的雲端指標。
資料外洩原則指導方針
在建立或修改用於內部風險管理政策的資料遺失防護政策時,請參考以下指引:
在設定 DLP 原則中的規則時,若將 事件報告 設定為 [高],則請優先考慮資料外洩事件,並對此進行選擇。 例如,以電子郵件將機密文件寄送給已知的競爭者,應為 高 警示層級外洩事件。 在其他 DLP 政策規則中,事件報告中過度指派高階設定,會增加內部風險管理(Insider Risk Management)警示工作流程中的雜訊,並使資料調查人員與分析師更難妥善評估這些警示。 例如,在 DLP 原則中將拒絕存取活動指派為 高 警示層級,會使評估真正危險的使用者行為與活動變得更具挑戰性。
使用DLP政策作為觸發事件時,務必了解並正確配置DLP與內部風險管理政策中包含的使用者。 只有使用 資料洩漏 範本的內部風險管理政策中包含的使用者,才會處理高嚴重度的 DLP 政策警示。 此外,只有包含在高嚴重度 DLP 警示規則中的使用者,才會被內部風險管理政策分析以供考慮。 不要在不知不覺中將包含的使用者同時設定在你的 DLP 和內部風險政策中,造成衝突。
例如,如果您的 DLP 政策規則只針對銷售團隊的使用者,而由 資料洩漏 範本建立的內部風險政策已將所有使用者定義為範圍內使用者,那麼內部風險政策只會處理銷售團隊使用者的高嚴重度 DLP 警示。 內部風險政策不會接收任何高優先級的 DLP 警報,供用戶處理,而這些警報在本範例中 DLP 規則中未定義。 反之,若由 資料洩漏 範本建立的內部風險管理政策只涵蓋銷售團隊使用者,且分配的 DLP 政策涵蓋所有使用者,內部風險政策僅處理銷售團隊成員的高嚴重性 DLP 警示。 內部風險管理政策忽略了所有非銷售團隊用戶的高嚴重度 DLP 警示。
請確保此內部風險管理範本所用的 DLP 政策中的 事件報告 規則設定已 設定為高 嚴重程度警報。 高嚴重程度等級是觸發事件,內部風險管理警示並非由DLP政策中事件報告欄位設定為低或中的規則產生。
注意事項
使用內建範本建立新的 DLP 政策時,請選擇「建立或自訂進階 DLP 規則」選項,以設定高嚴重程度等級的事件報告設定。
每個由 資料洩漏 範本建立的內部風險管理政策,使用此觸發事件選項時,只能指派一個 DLP 政策。 考慮建立一個專用的 DLP 政策,結合你想偵測的不同活動,並作為使用 Data Leaks 範本的內部風險政策觸發事件。
如需逐步指引如何為您的組織設定 DLP 政策,請參閱 「建立與部署資料遺失防護政策」。
優先使用者造成的資料外洩
保護資料並防止使用者外洩,可能取決於使用者的位置、敏感資訊的存取程度或風險歷史。 資料洩露包括不小心與組織外部人員分享過多高敏感度資訊,或惡意的資料竊取。 透過指定的資料遺失防護 (DLP) 政策作為觸發事件選項,此範本可即時偵測可疑活動,並增加內部風險警示及更高嚴重程度警示的可能性。 優先使用者定義於內部風險管理設定區的 優先使用者群組 中。
與 資料洩漏 範本相同,您可以選擇 DLP 政策,在內部風險政策中觸發組織內高嚴重警報的指標。 使用此範本建立包含 DLP 選項的政策時,請遵循 Data Leaks 政策指引。 你也可以選擇將所選指標指派為政策的觸發事件。 這種彈性與客製化有助於將保單範圍限定於指標涵蓋的活動。 此外,你需要將在內部風險管理>設定>中建立的優先使用者群組指派到政策中。
風險使用者的資料外洩
當使用者感受到就業壓力時,他們可能會成為風險使用者,進而增加內部風險活動的機率。 當識別出與風險使用者相關的指標時,此範本會開始對使用者活動進行評分。 例如績效改進通知、不良績效評估、職務等級變更,或可能提示風險活動的電子郵件和其他訊息。 對於風險使用者來說,資料外洩可能包括從 SharePoint Online 下載檔案,並將資料複製到個人雲端訊息與儲存服務。
使用此範本時,您必須設定人力資源連接器、選擇整合使用者訊息中的 通訊合規風險訊號 ,或兩者皆可同時進行。 人力資源連接器能定期匯入績效改善通知、不良績效評估狀態或職務層級變動資訊,供組織內使用者使用。 通訊合規風險整合會匯入可能包含威脅、騷擾或歧視性文字內容的用戶訊息訊號。 通訊合規中產生的相關警示,無需經過分流、修復或狀態變更,即可整合至內部風險管理政策。
要設定 HR 連接器,請參閱「 匯入 HR 連接器資料 」條目。 要設定與通訊合規的整合,請在設定政策時於工作流程中選擇此選項。
病患資料濫用 (預覽)
保護醫療紀錄資料及防止病患個人資料被濫用,是醫療產業組織的重大關切。 這種濫用可能包括機密資料外洩給未經授權的人、詐欺性修改病歷,或病患醫療紀錄的竊取。 防止病患資料的濫用有助於符合《健康保險攜帶與責任法案》(HIPAA) (及《經濟與臨床健康資訊科技 (HITECH) 法案》的監管要求。這兩項法案都規定了保護病患受保護健康資訊 (PHI) 的要求。
此政策範本可為內部使用者進行風險評分,偵測與現有電子病歷 (EMR) 系統所載紀錄相關的可疑活動。 偵測重點在於未經授權的存取、瀏覽、修改及匯出病患資料。 你需要設定一個連接器,也就是 Microsoft Healthcare 連接器 ,以支援偵測 EMR 系統中的存取、外洩或混淆活動。
使用此範本時,還必須設定 Microsoft HR 連接器,定期匯入組織內使用者的組織資料。 請參閱「 設定連接器以匯入人力資源資料 」文章,了解如何逐步設定 Microsoft 365 人力資源連接器的指引。
風險特工 (預覽)
此範本幫助你偵測託管在 Microsoft Copilot Studio 和 Microsoft Foundry 上的代理活動。 在組織內使用代理人會帶來新的風險機會。 代理會與其他使用者、代理及工具互動。 錯誤設定的代理程式可能會將敏感資料傳送到外部,或敏感資料可能因使用者要求而被分享。
此政策偵測風險提示、代理產生敏感回應、代理存取敏感或優先 SharePoint 檔案、代理存取風險網站,以及代理與組織外人員共享 SharePoint 檔案。 它也會追蹤代理人基線以上的活動。
此政策範本預設適用於所有組織。
風險AI使用問題
許多組織使用 AI 工具與應用程式,帶來新的風險機會,可能難以識別並協助減緩。 使用者可能無意或故意在 Microsoft AI 工具中建立包含 敏感資訊 或風險意圖的提示。 此外,AI 工具可能不當利用敏感資訊回應使用者提示,可能使組織面臨更高風險。
為了防範這些風險,這項政策能協助偵測並啟用這類提示與回應的風險評分,跨越組織中的 AI 工具。 偵測重點在於使用者瀏覽生成式 AI 網站、使用者提示及包含敏感資訊的 Microsoft 365 Copilot、Microsoft Copilot 及代理程式的 AI 回應活動。 此政策偵測風險活動也有助於使用者在 自適應保護中進行風險評分。
使用此範本時,您必須在 Edge 瀏覽器) 上設定 Microsoft Insider 風險擴充功能 (Microsoft,或在使用者裝置上設定 Purview 擴充功能 (Microsoft Chrome瀏覽器) 裝置。 我們也建議可選擇性地設定 Microsoft HR 連接器 以偵測離職用戶,並設定通訊 合規政策 以偵測訊息中不當內容,以擴大偵測範圍。 此政策也可在 Microsoft Purview 資料安全性態勢管理 (DSPM) 中以一鍵式政策形式建立,適用於 AI 應用中偵測風險互動的建議。
風險瀏覽器使用 (預覽)
識別使用者造訪組織裝置與網路上可能不當或不可接受網站的行為,是降低安全、法律及法規風險的重要一環。 無意或故意造訪此類網站的用戶,可能會使組織面臨其他用戶的法律訴訟、違反法規要求、提升網路安全風險,或危及現有及未來的業務運作與機會。 這種濫用通常在組織對使用者裝置及組織網路資源的可接受使用政策中定義,但往往難以迅速識別並採取行動。
為防範這些風險,此政策偵測並啟用可能違反組織可接受使用政策的瀏覽風險評分,例如造訪對釣魚網站構成威脅的網站,例如) 或包含成人內容 (。 政策中包含多種類別,供使用者自動分類網頁瀏覽活動。
此保單範本有多項先決條件。 欲了解更多資訊,請參閱 「了解並設定內部風險管理瀏覽器訊號偵測」。
安全政策違規
在許多組織中,使用者有權在裝置上安裝軟體,或修改裝置設定來協助工作。 使用者可能無意或惡意地安裝惡意軟體或停用重要的安全功能,以保護其裝置或網路資源上的資訊。 此原則範本使用適用於端點的 Microsoft Defender 的安全性警示,以開始為這些活動進行評分,並針對此風險區域進行焦點偵測和警示。 使用此範本,提供安全政策違規的洞見,適用於使用者可能有安全政策違規紀錄,且可能被視為內部風險指標的情況。
您需要在組織中設定 適用於端點的 Microsoft Defender,並在 Defender 安全中心啟用 Defender for Insider Risk Management 整合,以匯入安全違規警示。 欲了解更多關於如何配置 Defender for Endpoint 以整合內部風險管理的資訊,請參閱 「配置 Defender for Endpoint 中的進階功能」。
離職使用者造成的安全性原則違規
無論用戶是以正面或負面條件離開,都可能帶來更高的安全政策違規風險。 為了協助防範離職使用者的不慎或惡意安全性違規,此原則範本使用 Defender for Endpoint 警示,提供安全性相關活動的深入解析。 這些活動包括使用者安裝惡意軟體或其他可能有害的應用程式,以及停用其裝置上的安全性功能。 當你使用 Microsoft HR 連接器或在 Microsoft Entra 中自動檢查使用者帳號刪除的選項時,這個範本會開始評分與這些安全活動相關的風險指標,以及它們如何與使用者就業狀態相關。
您需要在組織中設定 適用於端點的 Microsoft Defender,並在 Defender 安全中心啟用 Defender for Insider Risk Management 整合,以匯入安全違規警示。 欲了解更多關於如何配置 Defender for Endpoint 以整合內部風險管理的資訊,請參閱 「配置 Defender for Endpoint 中的進階功能」。
優先使用者的安全性原則違規
保護組織內使用者免於安全違規,可能取決於他們的位置、敏感資訊的存取程度或風險歷史。 由於優先使用者的安全違規可能對組織的關鍵領域產生重大影響,此政策範本會開始對這些指標進行評分,並使用 適用於端點的 Microsoft Defender 警示,為這些使用者提供安全相關活動的洞見。 這些行為可能包括優先使用者安裝惡意軟體或其他潛在有害的應用程式,並關閉其裝置的安全功能。 優先使用者定義於內部風險管理設定區的優先使用者群組中。
您需要在組織中設定 適用於端點的 Microsoft Defender,並在 Defender 安全中心啟用 Defender for Insider Risk Management 整合,以匯入安全違規警示。 欲了解更多關於如何配置 Defender for Endpoint 以整合內部風險管理的資訊,請參閱 「配置 Defender for Endpoint 中的進階功能」。 此外,你需要將在內部風險管理>設定>中建立的優先使用者群組指派到政策中。
風險使用者違反安全政策
經歷就業壓力的使用者可能面臨較高風險,避免無意或惡意違反安全政策。 這些壓力源可能包括被列入績效改進計畫、收到不佳的績效評估,或經歷降職。 此政策範本會根據這些指標與與此類事件相關的活動開始風險評分。
使用此範本時,您必須設定人力資源連接器,或選擇整合使用者訊息中的 通訊合規風險訊號 ,或兩者皆可。 人力資源連接器能定期匯入績效改善通知、不良績效評估狀態或職務層級變動資訊,供組織內使用者使用。 通訊合規風險整合會匯入可能包含威脅、騷擾或歧視性文字內容的用戶訊息訊號。 通訊合規中產生的相關警示,無需經過分流、修復或狀態變更,即可整合至內部風險管理政策。 要設定 HR 連接器,請參閱「 匯入 HR 連接器資料 」條目。 要設定與通訊合規的整合,請在設定政策時於工作流程中選擇此選項。
你還需要在組織中設定 適用於端點的 Microsoft Defender,並在 Defender 安全中心啟用 Defender for Insider Risk Management 整合,以匯入安全違規警示。 欲了解更多關於如何配置 Defender for Endpoint 以整合內部風險管理的資訊,請參閱 「配置 Defender for Endpoint 中的進階功能」。
原則範本先決條件和觸發事件
根據您選擇的內部風險管理政策範本,觸發事件與政策前提條件各異。 觸發事件是判斷使用者是否為內部風險管理政策的主動條件。 如果你將使用者加入內部風險管理政策,但該使用者沒有觸發事件,該政策不會評估該使用者的活動,除非你在使用者儀表板手動新增該使用者。 原則先決條件為必要項目,以便該原則接收評估風險所需的訊號或活動。
下表列出了從每個內部風險管理政策範本建立的觸發事件及政策的先決條件:
| 原則範本 | 原則的觸發事件 | 必要條件 |
|---|---|---|
| 優先使用者造成的資料外洩 | 建立 高嚴重性 警示或內建外洩事件觸發的資料外洩原則活動 | 為 高嚴重 度警報設定的 DLP 政策 OR 客製化觸發指示器 在內部風險設定中設定的優先使用者群組 |
| 風險使用者的資料外洩 | - 績效改善、表現不佳或來自人力資源連接器的職務層級變動指標。 - 包含可能具威脅性、騷擾性或歧視性語言的訊息 |
Microsoft 365 HR 連接器已針對不滿指標進行設定 和/或 通訊合規整合與專屬不滿政策 |
| 資料外洩 | 建立 高嚴重性 警示或內建外洩事件觸發的資料外洩原則活動 | 為 高嚴重 度警報設定的 DLP 政策 OR 客製化觸發指示器 |
| 離職使用者竊取的資料 | 人力資源連接器或 Microsoft Entra 帳號刪除的辭職或終止日期指示 | (選用) Microsoft 365 HR 連接器針對終止和離職日期指標的設定 |
| 病患資料濫用 | 防禦逃避電子病歷系統的安全控管 來自人資系統的使用者與病患地址匹配指標 |
在政策或內部風險環境中選擇的醫療可及指標 Microsoft 365 HR 連接器已設定為位址匹配 Microsoft Healthcare 或 Epic 連接器已設定 |
| 危險特工 | - 讓代理人暴露於風險提示 - 產生敏感回應的代理人 - 存取敏感或優先的 SharePoint 檔案 - 存取風險網站 - 與組織外人士分享 SharePoint 檔案 - 活動高於代理人當天的正常活動 |
Copilot Studio 經紀人 Microsoft Foundry 代理程式 |
| 風險AI使用問題 | Microsoft Edge瀏覽器) 上的內部風險擴充功能 (Microsoft或Chrome瀏覽器) 上的Purview擴充功能 (Microsoft必須安裝在使用者裝置上 至少在政策中選擇一個瀏覽指標 AND (選用) Microsoft 365 HR 連接器針對終止和離職日期指標的設定 (選) 通訊合規政策,偵測訊息中不當內容 |
|
| 風險瀏覽器使用問題 | 與安全性相關的使用者瀏覽活動,至少符合一個所選 的瀏覽指標 | 請參閱瀏覽器訊號偵測文章中的完整先決條件清單 |
| 離職使用者造成的安全性原則違規 | 來自 HR 連接器或 Microsoft Entra 帳戶刪除的辭職或終止日期指示 | (選用) Microsoft 365 HR 連接器針對終止和離職日期指標的設定 啟動適用於端點的 Microsoft Defender 訂閱 與 Purview 入口網站Microsoft適用於端點的 Microsoft Defender整合的配置 |
| 優先使用者的安全性原則違規 | 防禦規避安全控制或被適用於端點的 Microsoft Defender偵測到的不受歡迎軟體 | 啟動適用於端點的 Microsoft Defender 訂閱 與 Purview 入口網站Microsoft適用於端點的 Microsoft Defender整合的配置 在內部風險設定中設定的優先使用者群組 |
| 風險使用者違反安全政策 | - 績效改善、表現不佳或來自人力資源連接器的職務層級變動指標。 - 包含可能具威脅性、騷擾性或歧視性語言的訊息 |
Microsoft 365 HR 連接器已設定為風險指標 和/或 通訊合規整合與專屬風險使用者政策 AND 啟動適用於端點的 Microsoft Defender 訂閱 與 Purview 入口網站Microsoft適用於端點的 Microsoft Defender整合的配置 |
| 安全政策違規 | 防禦規避安全控制或被適用於端點的 Microsoft Defender偵測到的不受歡迎軟體 | 啟動適用於端點的 Microsoft Defender 訂閱 與 Purview 入口網站Microsoft適用於端點的 Microsoft Defender整合的配置 |
原則範本限制
內部風險管理政策範本使用限制來管理包含使用者的風險活動處理量與速率,並與支援的 Microsoft 365 服務整合。 每個政策範本都支援最多可主動接收該政策風險分數的使用者數量。 該政策能有效處理並報告潛在風險活動。 包含的使用者是指有觸發政策事件的使用者。
每個政策的限制計算出每個政策範本類型中獲得風險分數的獨立使用者總數。 若某政策範本的使用者數量接近或超過使用者限制,政策效能會下降。 要查看政策目前的使用者數量,請前往政策標籤的「範圍內使用者」欄位。 這些最大限制適用于使用給定原則範本之所有原則的使用者。
關於特定保單範本的使用者範圍限制,請參見 內部風險管理中的限制。
與收藏政策整合
根據你的設定,收集政策可能會影響內部風險管理的政策行為。 當您設定並部署收集政策時,如果包含裝置指標的內部風險管理政策與組織內的收集政策不符,則收集政策設定將優先處理。 這個設定表示,如果你設定了內部風險管理政策來監控特定裝置的活動,但你設定了收集政策來過濾該裝置活動,該裝置活動就不會被收集,也無法在內部風險管理中被檢視。