調查內部風險管理活動

  • 發行項

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

調查潛在風險的用戶活動是將組織內部風險降至最低的重要第一步。 這些風險可能是從內部風險管理原則產生警示的活動。 它們也可以是原則偵測到的合規性相關活動風險,但不會立即為使用者建立內部風險管理警示。 您可以使用 使用者活動報告 (預覽) 警示儀錶板來調查這些類型的活動。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

使用者活動報告

用戶活動報告可讓您檢查特定使用者 (的潛在風險活動,以及) 定義的時間週期,而不需要暫時或明確地將這些活動指派給測試人員風險管理原則。 在大部分的內部風險管理案例中,使用者會在原則中明確定義,而且根據觸發事件) 和與活動相關聯的風險分數,可能會有 (的原則警示。 但在某些情況下,您可能會想要檢查原則中未明確定義之用戶的活動。 這些活動可能適用於您收到使用者和潛在風險活動相關提示的使用者,或通常不需要指派給測試人員風險管理原則的使用者。

在 [測試人員 風險管理設定 ] 頁面上設定指標之後,系統會偵測到與所選指標相關聯之潛在風險活動的用戶活動。 此設定表示使用者偵測到的所有活動都可供檢閱,不論是否有觸發事件或是否建立警示。 報表是以每位用戶為基礎建立,而且可以包含自定義90天期間的所有活動。 不支援相同使用者的多個報表。

檢查潛在風險活動之後,調查人員可以將個別用戶的活動視為良性關閉。 他們也可以與其他調查人員共用或傳送報表連結,或選擇將用戶暫時或明確地 (指派給內部風險管理原則) 。 用戶必須指派給 測試人員風險管理調查人員 角色群組,才能檢視 [用戶活動報告 ] 頁面。

測試人員風險管理用戶活動報告概觀。

若要開始,請在測試人員風險管理概頁面的 [調查用戶活動] 區段中選取 [管理報告]。

若要檢視使用者的活動,請先選取 [ 建立使用者活動報告 ],然後在 [ 新增用戶活動報 表] 窗格中完成下列字段:

  • 使用者:依名稱或電子郵件位址 搜尋 使用者。
  • 開始日期:使用行事歷控件來選取用戶活動的開始日期。
  • 結束日期:使用行事歷控件來選取用戶活動的結束日期。 選取的結束日期必須大於所選開始日期之後的兩天,且自選取的開始日期起不超過 90 天。

注意事項

如果使用者先前包含在警示中,則可能會包含選取範圍以外的數據。

用戶活動數據可在活動發生約 48 小時後報告。 例如,若要檢閱 12 月 1 日的使用者活動數據,您必須先確定至少經過 48 小時,才能建立報表 (您最早會在 12 月 3 日建立報表) 。

新報告通常最多需要 10 小時,才能準備好供檢閱。 當報表就緒時, 報表就緒 會出現在 [用戶活動報告] 頁面的 [ 狀態 ] 數據行中。 選取使用者以檢視詳細報告:

測試人員風險管理用戶活動報告

選取使用者的 使用者活動報告 包含 [ 用戶活動]、[ 活動總管] 和 [ 鑑識辨識辨識項 ] 索引標籤:

  • 用戶活動:使用此圖表檢視來調查潛在風險的活動,並檢視順序中可能發生的相關活動。 此索引標籤的結構化可讓您快速檢閱案例,包括所有活動的歷程記錄時程表、活動詳細數據、案例中使用者目前的風險分數、風險事件的順序,以及篩選控件以協助調查工作。
  • 活動總管:此索引標籤會為風險調查人員提供完整的分析工具,以提供活動的詳細資訊。 透過活動總管,檢閱者可以快速檢閱偵測到有風險活動的時間軸,並識別並篩選與警示相關聯的所有潛在風險活動。 若要深入瞭解如何使用活動總管,請參閱本文稍後的 活動總管 一節。

警示儀表板

內部風險管理警示是由內部風險管理原則中定義的風險指標自動產生。 這些警示可為合規性分析師和調查人員提供目前風險狀態的全部檢視,並可讓您的組織針對探索到的潛在風險進行分級和採取動作。 根據預設,原則會產生特定數量的低、中和高嚴重性警示,但您可以 增加或減少警示數量 以符合您的需求。 此外,您可以在使用原則建立工具建立新原則時, 設定原則指標的警示閾值

注意事項

對於產生的任何警示,內部風險管理會為每位用戶產生單一匯總警示。 該使用者的任何新深入解析都會新增至相同的警示。

請參閱 測試人員風險管理警示分級體驗影片 ,以瞭解警示如何為具風險的活動提供詳細數據、內容和相關內容,以及如何讓調查程式更有效率。

注意事項

如果您的原則 受一或多個管理單位限制,您只能看到您所設定範圍之使用者的警示。 例如,如果系統管理範圍只適用於德國的使用者,您就只能看到德國使用者的警示。 不受限制的系統管理員可以查看組織中所有使用者的所有警示。

測試人員風險 警示儀錶板 可讓您檢視及處理內部風險原則所產生的警示。 每個報表小工具都會顯示過去 30 天的資訊。

  • 需要檢閱的警示總數:列出需要檢閱和分級的警示總數,包括依警示嚴重性細分。
  • 開啟過去 30 天的警示:過去 30 天內原則相符專案所建立的警示總數,依高、中、低警示嚴重性層級排序。
  • 解決警示的平均時間:實用警示統計數據的摘要:
    • 解決高嚴重性警示的平均時間,以小時、天或月列出。
    • 解決中嚴重性警示的平均時間,以小時、天或月列出。
    • 解決低嚴重性警示的平均時間,以小時、天或月列出。

測試人員風險管理警示儀表板

注意事項

內部風險管理使用內建警示節流,協助保護和最佳化您的風險調查與檢閱體驗。 此節流可防範可能導致原則警示多載的問題,例如設定錯誤的數據連接器或數據外洩防護原則。 因此,系統可能會延遲顯示使用者的新警示。

警示狀態和嚴重性

您可以將警示分級為下列其中一個狀態:

  • 已確認:已確認並指派給新案例或現有案例的警示。
  • 已關閉:警示在分級程式中關閉為良性。 您可以提供警示關閉的原因,並包含使用者警示歷程記錄中可用的附註,以提供未來參考或其他檢閱者的其他內容。 原因可能包括預期的活動、非實際事件、只減少使用者的警示活動數目,或與警示附註相關的原因。 原因分類選擇包括 此使用者預期的活動活動的影響足以讓我進一步調查,而 此使用者的警示包含太多活動
  • 需要檢閱:尚未採取分級動作的新警示。
  • 已解決:屬於已關閉和已解決案例一部分的警示。

警示風險分數會自動從數個風險活動指標計算。 這些指標包括風險活動類型、活動發生次數和頻率、用戶風險活動的歷程記錄,以及增加可能會提高潛在風險活動嚴重性的活動風險。 警示風險分數會驅動以程序設計方式指派每個警示的風險嚴重性層級,而且無法自定義。 如果警示仍未受試,且風險活動繼續累積到警示,則風險嚴重性層級可能會增加。 風險分析師和調查人員可以使用警示風險嚴重性,協助根據貴組織的風險原則和標準來分級警示。

警示風險嚴重性層級為:

  • 高嚴重性:警示的潛在風險活動和指標會造成重大風險。 相關聯的風險活動是嚴重、重複且強烈地與其他重大風險因素相關聯。
  • 中度嚴重性:警示的潛在風險活動和指標會造成中等風險。 相關聯的風險活動為中度、頻繁,且與其他風險因素有一些相關。
  • 低嚴重性:警示的潛在風險活動和指標會造成輕微風險。 相關聯的風險活動是次要、較不頻繁,而且不會成為其他重大風險因素的核心。

使用 [Copilot] 按鈕來摘要警示

您可以使用 [Copilot ] 按鈕快速摘要警示,甚至不需要開啟警示。 當您在 Purview (預覽) 中使用 Microsoft Copilot 摘要說明警示時,畫面右側會出現 Copilot 窗格,其中包含警示摘要。

測試人員風險管理 Copilot 按鈕

警示摘要包含警示的所有基本詳細數據,例如觸發的原則、產生警示的活動、觸發事件、涉及的使用者、其上一個工作日期 (如果適用) 、任何重要用戶屬性,以及使用者的主要風險因素。 Purview (預覽版中的 Copilot) 合併所有警示和範圍內原則中使用者的相關信息,並強調使用者的主要風險因素。

使用 [Copilot] 按鈕快速摘要警示佇列中的每個警示,並排定需要進一步調查的警示優先順序。 對於誤判,您可以選取 [ 關閉警示],選取多個警示並大量關閉它們。

提示

您也可以使用獨立版本的 Microsoft Copilot for Security 來調查內部風險管理、Microsoft Purview 數據外洩防護 (DLP) ,以及 Microsoft Defender 全面偵測回應 警示

篩選警示、儲存篩選集的檢視、自定義數據行,或搜尋警示

根據貴組織中使用中內部風險管理原則的數量和類型,檢閱大量警示佇列可能會是一項挑戰。 若要協助您追蹤警示,您可以:

  • 依各種屬性篩選警示。
  • 儲存篩選集的檢視以供稍後重複使用。
  • 顯示或隱藏資料行。
  • 搜尋 警示。

篩選警示

  1. 選取 [新增篩選]

  2. 選取下列一或多個屬性:

    屬性 描述
    產生警示的活動 顯示導致產生警示的活動評估期間,最上層的潛在風險活動和原則相符專案。 此值可隨時間更新。
    警示關閉原因 關閉警示的原因。
    指派給 指派警示的系統管理員,如果已指派) ,則會將警示指派給 (。
    原則 原則的名稱。
    風險因素 可協助判斷用戶活動風險程度的風險因素。 可能的值為 累積外泄活動活動包括優先順序內容順序活動活動包括不允許的網域優先順序使用者群組的成員,以及 潛在高影響的使用者
    嚴重性 用戶的風險嚴重性層級。 選項包括
    狀態 警示的狀態。 選項包括已確認已解除需要檢閱以及已解決
    在UTC) (偵測到的時間 警示建立時的開始和結束日期。 篩選器會在開始日期的UTC 00:00與結束日期的UTC 00:00之間搜尋警示。
    觸發事件 將使用者帶入原則範圍的事件。 觸發事件可能會隨著時間而變更。

    您選取的屬性會新增至篩選列。

  3. 在篩選列中選取屬性,然後選取要篩選依據的值。 例如,選 取 UTC (偵測到的時間) 屬性,在 [開始日期 ] 和 [ 結束日期] 字 段中輸入或選取日期,然後選取 [ 套用]

    提示

    如果您想要在任何時間點重新開始,請選取篩選列上的 [全部重設 ]。

儲存篩選集的檢視以稍後重複使用

  1. 套用上述程式中所述的篩選之後 ,請選 取篩選列上方的 [儲存],輸入篩選集的名稱,然後選取 [ 儲存]

    篩選集會新增為篩選列上方的卡片。 它包含一個數字,顯示符合篩選集中準則的警示計數。

    注意事項

    您最多可以儲存五個篩選集。 如果您需要刪除篩選集,請選取卡片右上角 (三個點) 按鈕的省略號,然後選取 [ 刪除]

  2. 若要重新套用已儲存的篩選集,只要選取篩選集的卡片即可。

顯示或隱藏資料行

  1. 在頁面右側,選取 [ 自定義數據行]

  2. 選取或清除您想要顯示或隱藏之資料行 () 複選框。

數據行設定會跨會話和瀏覽器儲存。

警示的 搜尋

使用 搜尋 控件來搜尋 UPN) 、指派的系統管理員名稱或警示標識碼 (用戶主體名稱。

關閉多個警示 (預覽)

這有助於節省分析人員和調查人員一次立即關閉多個警示的分級時間。 [ 關閉警示 ] 命令行選項可讓您選取儀錶板上具有 [ 需要檢閱 ] 狀態的一或多個警示,並在您的分級程式中將這些警示快速關閉為良性。 您一次最多可以選取 400 個警示來關閉。

解除內部風險警示

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取具有 [ 需要檢閱 ] 狀態的警示 (或警示) 。
  5. 在 [警示] 命令行上,選取 [ 解除警示]
  6. 在 [ 關閉警示 詳細數據] 窗格中,檢閱與所選警示相關聯的使用者和原則詳細數據。
  7. 取 [關閉警示] 以將警示解析為良性。

指派警示

如果您是系統管理員,且您是 測試人員風險管理測試人員風險管理分析師測試人員風險管理調查人員 角色群組的成員,您可以將警示的擁有權指派給自己或具有其中一個相同角色的測試人員風險管理使用者。 指派警示之後,您也可以將警示重新指派給具有任何相同角色的使用者。 您一次只能將警示指派給一位系統管理員。

注意事項

如果您的原則 受限於一或多個管理單位,則警示的擁有權只能提供給具有適當角色群組許可權的內部風險管理使用者,而警示中醒目提示的用戶必須位於系統管理單位的範圍內。 例如,如果系統管理範圍只適用於德國的使用者,則內部風險管理使用者只能看到德國使用者的警示。 不受限制的系統管理員可以查看組織中所有使用者的所有警示。

指派系統管理員之後,您可以由系統管理員進行搜尋。

注意事項

警示指派不支援包含在 Microsoft Entra 安全組內的系統管理員。 系統管理員必須直接指派給其中一個必要角色。

從警示儀錶板指派警示

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要指派的警示 () 。
  5. 在警示佇列上方的按鈕欄中,選取 [ 指派]
  6. 在畫面右側的 [ 指派擁有者 ] 窗格中,搜尋具有適當許可權的系統管理員,然後選取該管理員的複選框。
  7. 選取 [指派]

從 [警示詳細數據] 頁面指派警示

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 選取警示。
  5. 在警示的詳細數據窗格中,選取頁面右上角的 [ 指派]
  6. 在 [ 建議的聯繫人 ] 列表中,選取適當的系統管理員。

分級警示

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要分級的警示。
  5. 在 [ 警示詳細數據 ] 頁面上,您可以檢閱警示的相關信息。 您可以確認警示並建立新案例、確認警示並新增至現有案例,或關閉警示。 此頁面也包含警示的目前狀態,以及列為 [高]、[中] 或 [低] 的警示風險嚴重性層級。 如果警示未分級,嚴重性層級可能會隨著時間增加或減少。

標頭/摘要區段

本節包含使用者和警示的一般資訊。 在檢閱使用者警示中所包含之偵測到風險管理活動的詳細資訊時,此資訊可供內容使用:

  • 產生此警示的活動:顯示導致產生警示的活動評估期間,潛在風險最高的活動和原則比對。
  • 觸發事件:顯示最新的觸發事件,提示原則開始將風險分數指派給用戶的活動。 如果您已設定與有風險用戶的數據外洩通訊合規性整合,或風險性使用者原則違反安全策略,則這些警示的觸發事件範圍會限於通訊合規性活動。
  • 使用者詳細數據:顯示指派給警示之使用者的一般資訊。 如果啟用匿名,則會匿名使用者名稱、電子郵件地址、別名和組織字段。
  • 使用者警示歷程記錄:顯示用戶過去30天的警示清單。 包含可檢視使用者完整警示歷程記錄的連結。

注意事項

當偵測到用戶為潛在高影響力使用者時,此資訊會在 [ 使用者詳細 數據] 頁面的警示標頭中反白顯示。 使用者詳細數據也包含摘要,其中包含偵測到使用者的原因。 若要深入瞭解如何為潛在高影響力使用者設定原則指標,請參閱 測試人員風險管理設定

從原則產生的警示範圍僅限於包含 優先順序內容 的活動,包括本節中 針對此警示通知評分的只有優先順序內容的活動

提示

若要取得警示的快速概觀,請選取警示詳細數據頁面上的 [ 摘要 ] 按鈕。 當您選取 [ 摘要 ] 按鈕時,頁面右側會出現 一個 [Copilot ] 窗格,其中包含警示摘要。 警示摘要包含警示的所有基本詳細數據,例如觸發的原則、產生警示的活動、觸發事件、涉及的使用者、其上一個工作日期 (如果適用) 、任何重要用戶屬性,以及使用者的主要風險因素。 Purview (預覽版中的 Copilot) 合併所有警示和範圍內原則中使用者的相關信息,並強調使用者的主要風險因素。 您也可以 從警示佇列摘要警示,而不需要使用 [Copilot ] 按鈕開啟警示。 或使用獨立版本的 Microsoft Copilot for Security 來調查內部風險管理、Microsoft Purview 數據外洩防護 (DLP) ,以及 Microsoft Defender 全面偵測回應 警示

所有風險因素

此索引標籤會開啟使用者警示活動的風險因素摘要。 風險因素可協助您判斷此用戶的風險管理活動在檢閱期間有何風險。 風險因素包括下列專案的摘要:

  • 最上層的外泄活動:顯示警示數目最高或事件的外泄活動。
  • 累積外洩活動:顯示與累積外泄活動相關聯的事件。
  • 活動順序:顯示偵測到與風險序列相關聯的潛在風險活動。
  • 此使用者的異常活動:針對被視為有潛在風險的用戶顯示特定活動,因為其不尋常且偏離其一般活動。
  • 優先順序內容:顯示與優先順序內容相關聯的潛在風險活動。
  • 不允許的網域:針對與不允許的網域相關聯的事件,顯示潛在風險的活動。
  • 健康情況記錄存取:顯示與存取健康情況記錄相關聯之事件的潛在風險活動。
  • 有風險的瀏覽器使用方式:針對與流覽至可能不適當的網站相關聯的事件,顯示潛在的風險活動。

透過這些篩選條件,您只會看到具有上述風險因素的警示,但產生警示的活動可能不會歸類到這些類別中的任何一個。 例如,包含順序活動的警示可能因為使用者將檔案複製到USB裝置而產生。

偵測到的內容

[ 所有風險因素 ] 索引標籤上的 區段包含與警示風險活動相關聯的內容,並依主要區域摘要說明活動事件。 選取活動連結會開啟 [活動總管],並顯示活動的詳細數據。

活動總管

此索引標籤會開啟 [活動總管]。 如需詳細資訊,請參閱本文中的活動總管一節。

使用者活動

用戶活動圖表是內部風險分析和內部風險管理解決方案中警示和案例調查最強大的工具之一。 此索引標籤的結構可讓您快速檢閱使用者的所有活動,包括所有警示的歷史時程表、警示詳細數據、使用者目前的風險分數,以及風險事件的順序。

測試人員風險管理用戶活動

  1. 案例動作:解決案例的選項位於案例動作工具列上。 在案例中檢視時,您可以解決案例、傳送電子郵件通知給使用者,或呈報案例以進行數據或用戶調查。

  2. 風險啟用時間:列出與案例相關聯之所有風險警示的完整時間,包括對應警示泡泡中可用的所有詳細數據。

  3. 預覽 (篩選和排序)

    • 風險類別:依下列風險類別篩選活動: 風險分數 > 為 15 (的活動,除非依序列) 序列活動
    • 活動類型:依下列類型篩選活動: AccessDeletionCollectionExfiltrationInfiltrationObfuscation 和安全
    • 排序依據:依 發生日期風險分數列出潛在風險活動的時間軸。

  4. 時間篩選:根據預設,用戶活動圖表中會顯示過去三個月的潛在風險活動。 您可以在泡泡圖上選取 [6 個月]、 [3 個月] 或 [1 個月 ] 索引卷標,輕鬆地篩選圖表檢視。

  5. 風險順序:潛在風險活動的時間順序是風險調查的重要層面,而識別這些相關活動是評估組織整體風險的重要部分。 相關警示活動會顯示連線線路,以醒目提示這些活動與較大的風險區域相關聯。 序列也會在此檢視中由位於序列活動上方且相對於序列風險分數的圖示來識別。 將滑鼠停留在圖示上方,以查看與此順序相關聯之具風險活動的日期和時間。 此活動檢視可協助調查人員實際針對可能被視為隔離或一次性事件的風險活動「連接點」。 選取序列中的圖示或任何泡泡,以顯示所有相關風險活動的詳細數據。 詳細資料包括:

    • 序列的名稱
    • 序列日期或日期範圍
    • 序列的風險分數 。 此分數是序列中每個相關活動合併警示風險嚴重性層級序列的數值分數。
    • 與序列中每個警示相關聯的事件數目。 每個與每個潛在風險活動相關聯的檔案或電子郵件連結也可供使用。
    • 依序顯示活動。 將序列顯示為泡泡圖上的醒目提示線,並展開警示詳細數據,以顯示序列中的所有相關警示。

  6. 風險警示活動和詳細數據:潛在風險活動會以視覺方式顯示為用戶活動圖表中的彩色泡泡。 泡泡是針對不同風險類別所建立。 選取泡泡以顯示每個潛在風險活動的詳細數據。 詳細資料包括:

    • 風險活動日期
    • 風險活動類別目錄。 例如,Email () 附件傳送到組織外部,或從 SharePoint Online 下載的檔案 ()
    • 警示風險分數。 此分數是警示風險嚴重性層級的分數,以數字表示。
    • 與警示相關聯的事件數目。 您也可以使用與風險活動相關聯之每個檔案或電子郵件的連結。

  7. 累積外洩活動:選取此按鈕可檢視使用者一段時間內活動建置方式的可視化圖表。

  8. 風險活動圖例:在用戶活動圖表底部,色彩編碼圖例可協助您快速判斷每個警示的風險類別。

活動總管

注意事項

活動總管可在您的組織中提供此功能之後,於具有觸發事件之使用者的警示管理區域中取得。

活動總管會為風險調查人員和分析師提供完整的分析工具,以提供警示的詳細資訊。 透過活動總管,檢閱者可以快速檢閱偵測到潛在風險活動的時間軸,並識別並篩選與警示相關聯的所有風險活動。

使用活動總管

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您要分級的警示。
  5. 在 [ 警示詳細數據] 窗格中,選取 [ 開啟展開的檢視]
  6. 在所選警示的頁面上,選取 [ 活動總管] 索引卷 標。

在活動總管中檢閱活動時,調查人員和分析師可以選取特定活動,並開啟 [活動詳細數據] 窗格。 此窗格會顯示調查人員和分析師可在警示分級程式期間使用的活動詳細資訊。 詳細資訊可能會提供警示的內容,並協助識別觸發警示之風險活動的完整範圍。

從啟用時間軸選取活動的事件時,總管中顯示的活動數目可能不符合時間軸中列出的活動事件數目。 發生此差異的原因範例:

  • 累積外洩偵測:累積外洩偵測會分析事件記錄檔,但會套用模型,其中包含將類似活動刪除為計算累積外泄風險的重複數據刪除。 此外,如果您已變更現有的原則或設定,[活動總管] 中顯示的潛在風險活動數目也可能會有所差異。 例如,如果您在建立原則之後修改允許/不允許的網域,或新增新的檔類型排除專案,而且發生潛在的風險活動相符專案,則累積外洩偵測活動會與原則或設定變更之前的結果不同。 累積外洩偵測活動總計是以計算時的原則和設定組態為基礎,不包含原則和設定變更之前的活動。
  • 傳送給外部收件者的電子郵件:傳送給外部收件者的電子郵件有潛在風險的活動,會根據傳送的電子郵件數目來指派風險分數,這可能與活動事件記錄檔不符。

測試人員風險管理活動總管詳細數據。

包含從風險評分中排除之事件的序列

序列可能包含一或多個事件,這些事件會根據您的設定組態從風險評分中排除。 例如,您的組織可能會使用 智慧型偵 測設定 來排除 .png 檔案的風險評分,因為 .png 檔案通常不會有風險。 但 .png 檔案可用來混淆惡意活動。 因此,如果因為模糊化活動而從風險評分中排除的事件屬於序列的一部分,則事件會包含在序列中,因為它在序列的內容中可能很有趣。

活動總管會依序顯示排除事件的下列資訊:

  • 如果序列包含排除 所有 事件的步驟,則深入解析只會包含活動名稱和日期。 選 取 [檢視排除的事件 ] 連結,以篩選活動總管中排除的事件。 如果排除所有事件,用戶活動散佈圖圖示的風險分數為0。
  • 如果序列具有排除 某些 事件的深入解析,則會顯示 () 之未排除事件的事件資訊,但事件計數不包括排除的事件 () 。 選 取 [檢視排除的事件 ] 連結,以篩選活動總管中排除的事件。
  • 如果您選取深入解析的 序列連結 ,您可以向下切入活動詳細資料窗格中的事件序列,包括任何從評分中排除的事件。 從評分中排除的事件會標示為 已排除

活動總管中的篩選警示

若要在 [活動總管] 中篩選警示的數據行資訊,請選取 [ 篩選]。 您可以依警示詳細數據窗格中所列的一或多個屬性來篩選警示。 活動總管也支援可自定義的數據行,以協助調查人員和分析師將儀錶板的焦點放在最重要的資訊上。

使用 [活動範圍]、[ 風險因素] 和 [ 檢閱狀態 篩選] 來顯示和排序下列區域的活動和深入解析。

  • 活動範圍:篩選使用者的所有評分活動。

    • 此使用者的所有評分活動
    • 僅限此警示中的評分活動

  • 風險因素:適用於指派風險分數之所有原則的風險因素活動篩選條件這包括範圍內使用者所有原則的所有活動。

    • 異常活動
    • 包含具有優先順序內容的事件
    • 包含具有不允許網域的事件
    • 順序活動
    • 累積外流活動
    • 健康情況記錄存取活動
    • 有風險的瀏覽器使用方式

  • 檢閱狀態:篩選活動檢閱狀態。

    • 全部
    • 尚未檢閱 (篩選掉屬於已關閉或已解決警示一部分的任何活動)

測試人員風險管理活動總管概觀

儲存篩選的檢視以稍後重複使用

如果您建立篩選並自定義篩選的數據行,您可以儲存變更的檢視,讓您或其他人稍後可以再次快速篩選相同的變更。 當您儲存檢視時,會同時儲存篩選和數據行。 當您載入檢視時,它會載入已儲存的篩選和數據行。

  1. 建立篩選並自定義數據行。

    提示

    如果您想要在任何時間點重新開始,請選取 [ 重設]。 若要變更您已自定義的數據行,請選取 [ 重設數據行]

  2. 當您擁有所需的篩選條件時,請選取 [ 儲存此檢視],輸入檢視的名稱,然後選取 [ 儲存]

    注意事項

    檢視名稱的最大長度為 40 個字元,而且您無法使用任何特殊字元。

  3. 若要稍後重複使用篩選的檢視,請選取 [ 檢視],然後從 [建議的 檢視 ] 索引卷標中選取您要開啟的檢視, (顯示最常使用的檢視) 或 [ 自定義檢視] 索引卷標 (最常使用的篩選器會顯示在清單) 的頂端。

當您以這種方式選取檢視時,它會重設所有現有的篩選條件,並將其取代為您選取的檢視。

建立警示的案例

如果您想要進一步調查有風險的活動,您可以建立警示的案例。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
  2. 移至 測試人員風險管理 解決方案。
  3. 左側導覽中的 [警示]。
  4. 在 [ 警示] 儀錶板上,選取您想要確認的警示,並建立新的案例。
  5. 在 [ 警示詳細數據] 窗格中,選取 [ 動作>確認警示 & 建立案例]
  6. 在 [ 確認警示並建立測試人員風險案例 ] 對話框中,輸入案例的名稱,選取要新增為參與者的使用者,然後視情況新增批注。 批注會自動新增至案例做為案例注意事項。
  7. 取 [建立案例 ] 以建立新案例。

建立案例之後,調查人員和分析師可以管理和處理案例。 如需詳細資訊,請參閱 測試人員風險管理案例 一文。

保留期和專案限制

隨著測試人員風險管理警示的存留期,其將潛在風險活動降到最低的價值,對大部分組織而言會降低。 相反地,作用中案例和相關聯的成品 (警示、深入解析、活動) 一律對組織而言很有價值,而且不應該有自動到期日。 這包括所有與使用中案例相關聯之用戶處於作用中狀態的所有未來警示和成品。

為了協助將提供有限目前值的較舊項目數目降至最低,下列保留和限制適用於內部風險管理警示、案例和用戶報告:

項目 保留/限制
具有需求檢閱狀態的警示 警示建立后 120 天,然後自動刪除
作用中案例 (和相關聯的成品) 無限期保留,永不過期
已解決案例 (和相關聯的成品) 從案例解決開始 120 天,然後自動刪除
使用中案例數目上限 100
用戶活動報告 從建立報表 120 天,然後自動刪除

取得管理測試人員風險警示佇列的協助

檢閱、調查及處理潛在風險的內部人員警示,是將組織中內部風險降至最低的重要部分。 快速採取動作以將這些風險的影響降至最低,可能會為您的組織節省時間、金錢,以及法規或法律影響。 在此補救程式中,檢閱警示的第一個步驟對許多分析師和調查人員而言,似乎是最困難的工作。 視您的情況而定,您在處理可能具風險的內部警示時,可能會遇到一些輕微的障礙。 檢閱下列建議,並瞭解如何優化警示檢閱程式。

太少的警示無法檢閱

如果您收到的警示太少:

  • 更新您的設定。 您對設定所做的變更會在所有原則中全域套用。

    • 啟用更多指標。 選取更多指標可讓您的原則有更大的活動群組要偵測。

      移至 [設定原則指標>],然後啟用所有可用和相關的指標。

    • 藉由調整 [ 警示音量 ] 滑桿來產生更多警示。 使用此滑桿可查看所有中高嚴重性警示,以及大部分低嚴重性警示。 注意:調整滑桿可能會導致更多誤判。

      移至 [ 設定>智慧型偵測>] [警示磁碟區],然後將滑桿移至 [ 更多警示]

  • 識別未產生足夠警示的原則:

    • 增加原則中的使用者涵蓋範圍。 範圍中包含少數用戶的原則較不可能產生警示。 如果適用,請考慮增加原則範圍內的用戶數目。

      在 [原則 ] 頁面上 選取特定原則,選取 [ 編輯原則],然後移至 [ 使用者和群組 ] 頁面,以增加範圍內的用戶數目。

    • 降低原則中的觸發程式閾值。 以數據外洩和有風險的瀏覽器使用量為基礎的原則 (預覽) 範本可讓您自定義某些觸發程式閾值。 這些閾值會定義您何時會開始偵測用戶活動。 如果您降低觸發程式閾值,則會降低用戶開始評估有風險活動的準則。 注意:如果使用者未出現在 [ 使用者和群組 ] 頁面中,表示尚未符合觸發事件準則。

      移至 [原則 ] 頁面上的 特定原則,選取 [編輯原則],移至 [觸發閾值 ] 頁面,選取 [ 使用自定義閾值 ] 選項,然後設定您的閾值。

    • 編輯原則中的指標。 指標是用戶必須將活動視為有風險的活動。 如果您沒有許多指標 (在原則中選取) 被視為具風險的活動,則不太可能產生警示。

      移至 [原則 ] 頁面上的 特定原則,選取 [ 編輯原則],然後移至 [ 指標 ] 頁面。

    • 原則中的較低指標臨界值。 當您的使用者開始進行評估 (有觸發事件) 之後,只有當使用者執行的活動超過特定閾值,可能表示其活動有風險時,才會為這些用戶產生警示。 降低指標閾值會降低用戶必須超過才能產生警示的臨界值。

      移至 [原則 ] 頁面上的 特定原則,選取 [ 編輯原則],移至 [ 指標閾值 ] 頁面,選取 [自定義閾值 ] 選項,然後設定您的閾值。

太多警示無法檢閱

如果您收到太多有效警示,或有太多過時的低風險警示,請考慮採取下列動作:

  • 啟用分析:啟用分析可協助您快速識別使用者的潛在風險區域,並協助判斷您可能想要設定的內部風險管理原則類型和範圍。 若要深入瞭解分析深入解析,請參閱 測試人員風險管理設定:分析。 如果您想要利用引導式 (數據驅動) 閾值設定體驗,協助您在建立新原則或調整現有原則時設定適當的閾值,也可以從分析取得即時深入解析。 這些深入解析可協助您有效率地調整活動發生的指標和臨界值選取,讓您不會收到太多或太多原則警示。 如需詳細資訊,請 參閱使用即時分析來協助管理警示數量

  • 調整測試人員風險原則:選取並設定正確的內部風險原則是解決警示類型和數量的最基本方法。 從適當的 原則範本 開始,可協助您專注於您看到的風險活動和警示類型。 其他可能會影響警示磁碟區的因素包括範圍內使用者和群組的大小,以及 已設定優先順序的內容和通道。 請考慮調整原則,將這些區域精簡為組織最重要的區域。

  • 修改測試人員風險設定:測試人員風險設定包含各種組態選項,可能會影響您收到的警示數量和類型。 請務必檢閱並瞭解下列設定,以篩選掉警示雜訊:

  • 啟用內嵌警示自定義:啟用 內嵌警示自定義 可讓分析師和調查人員在檢閱警示時快速編輯原則。 他們可以使用 Microsoft 建議來更新活動偵測的閾值、設定自定義閾值,或選擇忽略建立警示的活動類型。 如果未啟用此功能,則只有指派給 測試人員風險管理 角色群組的使用者可以使用內嵌警示自定義。

  • 在適用的情況下大量刪除警示:這有助於節省分析人員和調查人員一次立即 關閉多個警示的 分級時間。 您一次最多可以選取 400 個警示來關閉。

不熟悉警示分級程式

調查內部風險管理中的警示並採取行動很簡單:

  1. 檢閱 警示儀錶板 ,以取得狀態為 [需要檢閱] 的警示。 視需要警示狀態篩選,以協助找出這些類型的警示。
  2. 從嚴重性最高的警示開始。 視需要依警示嚴重性篩選,以協助找出這些類型的警示。
  3. 選取警示以探索詳細資訊,並檢閱警示詳細數據。 如有需要,請使用 [活動總管 ] 來檢閱相關聯潛在風險行為的時間軸,並識別警示的所有風險活動。
  4. 對警示採取行動。 您可以確認並建立警示 的案例 ,或關閉並解決警示。

組織中的資源條件約束

新式工作場所使用者通常對其時間有各種責任和需求。 您可以採取數個動作來協助解決資源條件約束:

  • 請先將分析師和調查工作的焦點放在最高風險警示上。 視您的原則而定,您可能會擷取用戶活動,併產生對風險降低工作有不同程度潛在影響的警示。 依嚴重性篩選警示,並排定高嚴重性警示的優先順序。
  • 將使用者指派為分析師和調查人員。 將適當的使用者指派給適當的角色,是內部風險警示檢閱程式中很重要的一部分。 請確定您已將適當的使用者指派給 測試人員風險管理分析師測試人員風險管理調查人員 角色群組。
  • 使用自動化測試人員風險功能,協助探索風險最高的活動