建立和管理測試人員風險管理原則

重要事項

Microsoft Purview 內部風險管理相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如 IP 竊取、資料外泄和安全性違規。 測試人員風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,使用者預設會以假名化,且已備妥角色型存取控制和稽核記錄,以協助確保使用者層級隱私權。

內部風險管理原則會判斷涉入的使用者,以及針對警示設定的風險指標類型。 您可以快速建立適用于組織中所有使用者的安全性原則,或定義個別使用者或群組以在原則中進行管理。 原則支援內容優先順序,以著重於多個或特定 Microsoft Teams、SharePoint 網站、資料敏感度類型和資料標籤上的原則條件。 您可以使用範本,以選取特定風險指標,並自訂原則指標的事件閾值,有效地自訂風險分數,以及警示等級和頻率。

您也可以藉由離開會根據最新分析結果自動定義原則條件的使用者原則,來設定快速的資料外泄和資料竊取原則。 此外,風險分數提升器和異常偵測有助於識別具有較高重要性或不尋常的潛在風險使用者活動。 原則視窗允許您定義時間範圍,以將原則適用于警示活動,並用來判斷原則啟用後的時間長度。

如需使用內建原則範本建立的原則如何協助您快速處理潛在風險的概觀,請參閱 測試人員風險管理 原則設定影片。

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

原則儀表板

原則 儀表板 可讓您快速查看組織中的原則、原則的健康情況、手動將使用者新增至安全性原則,以及檢視與每個原則相關聯的警示狀態。

  • 原則名稱:指派給原則精靈中原則的名稱。
  • 狀態:每個原則的健全狀態。 顯示原則警示和建議的數量或沒有問題的原則之健康狀態。 您可以選取原則,以查看任何警告或建議的健康狀態詳細資料。
  • 作用中警示:每個原則的作用中警示數目。
  • 已確認的警示:過去 365 天內從原則產生案例的警示總數。
  • 對警示採取的動作:過去 365 天內已確認或關閉的警示總數。
  • 原則警示有效性:確認的警示總數除以警示 (的動作總數所決定的百分比,這是過去一年確認或關閉的警示總和) 。

內部風險管理原則儀表板

來自分析的原則建議

測試人員風險分析可讓您匯總與安全性與合規性相關的匿名使用者活動,讓您評估組織中的潛在內部風險,而不需要設定任何內部風險原則。 這項評估可協助您的組織找出風險較高的潛在區域,並協助判斷您可能會考慮設定的內部風險管理原則類型和範圍。 如果您決定對資料 外泄資料竊取 的分析掃描結果採取動作,您甚至可以選擇根據這些結果來設定快速原則。

若要深入瞭解內部風險分析和原則建議,請參閱 測試人員風險管理設定:分析

對於許多組織來說,開始使用初始原則可能是一項挑戰。 如果您不熟悉內部風險管理,並使用建議的動作來開始使用,您可以設定快速原則,以加速離職使用者原則的一 般資料外泄資料竊取 。 快速原則設定會根據組織中最新分析掃描的結果自動填入。 例如,如果檢查偵測到潛在的資料外泄活動,則快速原則會包含用來偵測這些活動的指標。

若要開始使用,請檢閱快速原則設定,並使用單一選取來設定原則。 如果您需要自訂快速原則,您可以在初始設定期間或建立原則之後變更條件。 此外,您可以在每次有原則警告或每次原則產生高嚴重性警示時設定電子郵件通知,以掌握快速原則的偵測結果。

在原則中設定內容的優先順序

內部風險管理原則支援根據內容的儲存位置、內容類型或分類方式,指定較高的內容優先順序。 您也可以選擇將風險分數指派給原則所偵測到的所有活動,還是只指派包含優先順序內容的活動。 將內容指定為優先順序會增加任何相關活動的風險分數,進而增加產生高嚴重性警示的可能性。 不過,某些活動將不會產生警示,除非相關內容包含內建或自訂敏感性資訊類型,或是在原則中指定為優先順序。

例如,貴組織擁有高度機密專案的專用 SharePoint 網站。 此 SharePoint 網站中資訊的資料外洩可能會危害該專案,並對專案是否能夠成功具有重大影響。 在資料外洩原則中排定此 SharePoint 網站優先順序,就會自動提高合格活動的風險分數。 此優先順序會增加這些活動產生內部風險警示的可能性,並提升警示的嚴重性層級。

此外,您可以選擇針對只包含此專案優先順序內容的 SharePoint 網站活動,將此原則設為焦點。 系統會指派風險分數,而且只有在指定的活動包含優先順序內容時,才會產生警示。 沒有優先順序內容的活動將不會進行評分,但如果產生警示,您仍然可以檢閱這些活動。

注意事項

如果您將原則設定為只針對包含優先順序內容的活動產生警示,則不會對風險分數提升器套用任何變更。

當您在原則精靈中建立內部風險管理原則時,您可以選擇下列優先順序:

  • SharePoint 網站:任何與已定義 SharePoint 網站中所有檔案類型相關聯的活動,會指派較高的風險分數。 設定原則並選取優先順序 SharePoint 網站的使用者可以選取有權存取的 SharePoint 網站。 如果目前使用者無法在原則中選取 SharePoint 網站,則具有必要許可權的另一位使用者稍後可以選取原則的網站,或是目前使用者應獲得必要網站的存取權。
  • 敏感性資訊類型:任何與包含 敏感性資訊類型 之內容相關的活動都會獲指派較高的風險分數。
  • 敏感度標籤:任何與已套用這些特定 敏感度標籤 的內容相關的活動,都會指派較高的風險分數。
  • 副檔名:與具有特定副檔名之內容相關聯的任何活動。 使用者設定資料竊取/洩漏原則,以在原則精靈中選取 要設定優先順序的擴展 名,最多可以定義 50 個副檔名,以在原則中排定優先順序。 輸入的延伸模組可以包含或省略 '.' 作為優先順序延伸模組的第一個字元。
  • 可訓練分類器:任何與 可訓練分類器中包含的內容相關聯的活動。 使用者設定原則以在原則精靈中選取可訓練分類器的原則,最多可以選取 5 個可訓練分類器來套用至原則。 這些分類器可以是現有的分類器,可識別敏感性資訊的模式,例如社會安全、信用卡或銀行帳戶號碼,或在組織中建立的自訂分類器。

順序偵測 (預覽)

風險管理活動可能不會以隔離事件的方式發生。 這些風險通常是較大事件序列的一部分。 序列是一組兩個或多個可能具風險的活動,一個接一個執行,可能建議提高風險。 識別這些相關的使用者活動是評估整體風險的重要部分。 針對資料竊取或資料外泄原則選取順序偵測時,序列資訊活動的深入解析會顯示在內部風險管理案例的 [ 使用者活動 ] 索引標籤上。 下列原則範本支援順序偵測:

  • 離職使用者竊取的資料
  • 資料外洩
  • 優先使用者造成的資料外洩
  • 有風險使用者的資料外泄

這些內部風險管理原則可以使用特定指標及其發生順序,以對一系列風險中的每個步驟進行偵測。 針對優先使用者範本從 資料外泄資料外泄 建立的原則,您也可以選取觸發原則的順序。 將活動跨序列進行對應時,會使用檔案名稱。 這些風險分為四個主要的活動類別:

  • 集合:偵測範圍內原則使用者的下載活動。 範例風險管理活動包括從 SharePoint 網站下載檔案,或將檔案移至壓縮資料夾。
  • 外流:偵測範圍內原則使用者對內部和外部來源的共用或擷取活動。 風險管理活動的範例包括將附件的電子郵件從組織傳送給外部收件者。
  • 模糊化:偵測範圍內原則使用者可能具風險的活動遮罩。 風險管理活動的範例包括重新命名裝置上的檔案。
  • 清除:偵測範圍內原則使用者的刪除活動。 風險管理活動的範例包括從裝置刪除檔案。

注意事項

時序偵測會使用全域設定中啟用的指標來管理內部風險。 如果未選取適當的指標,您將能夠在原則精靈的順序偵測步驟中開啟這些指標。

您可以在原則中進行設定時,自訂每個序列偵測類型的個別閾值設定。 這些閾值設定會根據與順序類型相關聯的檔案數量來調整警示。

若要深入瞭解 使用者活動 檢視中的順序偵測管理,請參閱 內部風險管理案例:使用者活動

累積外洩偵測 (預覽)

根據預設,針對內部風險原則範圍內的使用者進行每日評估時,內部風險指標可協助識別不尋常的風險活動層級。 累積外泄偵測會使用機器學習模型來協助您識別使用者在特定時間執行的外泄活動,何時超過貴組織中使用者在過去 30 天內在多個外泄活動類型上執行的一般數量。 例如,如果使用者在過去一個月共用的檔案比大部分使用者多,則會偵測到此活動並分類為累計外泄活動。

內部風險管理分析師和調查人員可能會使用累積的外泄偵測深入解析,協助識別通常不會產生 警示 ,但高於其組織一般情況的外泄活動。 有些範例可能會讓離職使用者在數天內緩慢地外流資料,或使用者在多個通道之間重複共用資料,比平常多為貴組織的資料共用,或與其對等群組相較之下。

注意事項

根據預設,相較于其組織規範,累積外泄偵測會根據使用者的累積外泄活動來產生風險分數。 您可以在 [測試人員風險管理設定] 頁面的 [原則指標] 區段中啟用累積外泄偵測選項。 較高的風險分數會指派給 SharePoint 網站的累積外泄活動、敏感性資訊類型,以及在原則中設定為優先順序內容的敏感度標籤內容,或指派給在Microsoft Purview 資訊保護中設定為高優先順序之標籤的活動。

使用下列原則範本時,根據預設,會啟用累積外洩偵測:

  • 離職使用者竊取的資料
  • 資料外洩
  • 優先使用者造成的資料外洩
  • 有風險使用者的資料外泄

累積外泄偵測的對等群組

測試人員風險管理會識別三種類型的對等群組,以分析使用者所執行的外泄活動。 為使用者定義的對等群組是以下列準則為基礎:

SharePoint 網站:測試人員風險管理會根據存取類似 SharePoint 網站的使用者來識別對等群組。

類似的組織:具有以組織階層為基礎的報表和小組成員的使用者。 此選項需要您的組織使用 Azure Active Directory (Azure AD) 來維護組織階層。

類似的職稱:具有組織距離和類似職稱組合的使用者。 例如,具有資深銷售經理職稱且與相同組織中潛在客戶銷售經理具有類似角色指定的使用者,會被識別為類似的職稱。 此選項需要您的組織使用 Azure AD 來維護組織階層、角色指定和職稱。 如果您未針對組織結構和職稱設定 Azure AD,則內部風險管理會根據一般 SharePoint 網站來識別對等群組。

如果您啟用累積外泄偵測,您的組織會同意與合規性入口網站共用 Azure AD 資料,包括組織階層和職稱。 如果您的組織未使用 Azure AD 來維護此資訊,則偵測可能較不精確。

注意事項

累積外洩偵測會使用全域設定中針對內部風險管理啟用的外洩指標,以及在原則中選取的外洩指標。 因此,只會針對選取的必要外洩指標評估累計外洩偵測。 優先順序內容中所設定 敏感度標籤 的累積外泄活動會產生較高的風險分數。

針對資料竊取或資料外洩原則啟用累積外洩偵測時,來自累積外洩活動的深入解析會顯示在內部風險管理案例內的 [使用者活動] 索引標籤上。 若要深入瞭解使用者活動管理,請參閱 測試人員風險管理案例:使用者活動

原則健康情況

此原則健康狀態讓您深入瞭解內部風險管理原則的潛在問題。 [ 原則 ] 索引 標籤上的 [狀態] 資料行可以警示您可能無法回報使用者活動的原則問題,或活動警示數目不尋常的原因。 此原則健康狀態也可用以確認該原則狀況良好,且不需要注意或變更設定原則。

如果原則有問題,則原則健康狀態會顯示通知警告和建議,協助您採取動作,解決原則問題。 這些通知可協助解決下列問題:

  • 設定不完整的原則。 這些問題可能包括在策略或其他不完整的設定原則步驟中遺失使用者或群組。
  • 具有指標設定問題的原則。 指標是每個原則的重要部分。 如果未設定指標,或選取的指標太少,則此原則可能無法如預期般針對危險活動進行評估。
  • 原則觸發程式無法運作,或未正確設定原則觸發程式需求。 原則功能可能依賴其他服務或設定要求,才能有效地偵測觸發事件,以啟動原則中為使用者指派的風險評分。 這些相依性可能包括連接器設定、適用於端點的Microsoft Defender 警示共用,或資料外洩防護原則設定的設定問題。
  • 磁片區限制接近或超過限制。 內部風險管理原則使用許多 Microsoft 365 服務和端點來匯總風險活動訊號。 依據您原則中的使用者數量,數量限制可能會延遲識別及回報風險活動。 在本文的 [原則範本限制] 一節中深入瞭解這些限制。

若要快速檢視原則的健康情況狀態,請 流覽 [原則 ] 索引標籤和 [ 狀態] 資料行 。 在這裡,您會看到每個原則的下列原則健全狀態選項:

  • 狀況良好:原則未發現任何問題。
  • 建議:原則問題,可能會使原則無法如預期般運作。
  • 警告:原則的問題,可能會導致無法識別潛在風險的活動。

如需任何建議或警告的相關詳細資訊,請在 [原則] 索引標籤中選取原則,以開啟該原則的詳細資料卡。 詳細數據卡片的 [ 通知 ] 區段會顯示建議和警告的詳細資訊,包括如何解決這些問題的指引。

測試人員風險管理原則健全狀況。

通知訊息

使用下表深入瞭解建議和警告通知,以及解決潛在問題時需採取的動作。

通知訊息 原則範本 原因/ 嘗試此動作以修正
原則未為活動指派風險分數 所有原則範本 您可能想要檢閱原則範圍並觸發事件設定,讓原則可以將風險分數指派給活動

1. 檢查針對該原則所選的使用者。 如果您選取了少數使用者,建議您選取其他使用者。
2. 如果您使用 HR 連接器,請檢查您的 HR 連接器是否正在傳送正確的資料。
3.如果您使用 DLP 原則作為觸發事件,請檢查您的 DLP 原則組態,以確保其已設定為用於此原則中。
4.針對安全性違規原則,請檢閱在測試人員風險設定 > 智慧型偵測中選取的適用於端點的 Microsoft Defender警示分級狀態。 確認該警示篩選條件並未過分苛刻。
原則沒有產生任何警示 所有原則範本 您可能想要檢閱原則設定,以便分析最相關的評分活動。

1. 確認您選取了要評分的指標。 選取的指標越多,指派風險分數的活動就越多。
2. 檢查原則的閾值自訂。 如果選取的閾值不符合貴組織的風險承受度,請調整選取專案,以便根據您偏好的閾值建立警示。
3. 檢查針對該原則所選的使用者和群組。 確認您選取了所有適用的使用者和群組。
4. 針對安全性違規原則,確認您選取了想要在設定中的智慧偵測中使用適用於端點的 Microsoft Defender 評分的警示分類狀態。
這個原則不包含任何使用者或群組 所有原則範本 使用者或群組未指派給該原則。

編輯您的原則,並選取該原則的使用者或群組。
未選取此原則的指標 所有原則範本 未選取該原則的指標

編輯您的原則,並選取適當的原則指標。
這項原則中未包含優先注意使用者群組 - 優先使用者造成的資料外洩
- 優先使用者的安全性原則違規
優先使用者或群組未指派給該原則。

在內部風險管理設定中設定優先使用者群組,並指派優先使用者至該原則。
未針對此原則選取觸發事件 所有原則範本 未針對此原則設定觸發事件

在編輯原則並選取觸發事件之前,不會將風險分數指派給使用者活動。
HR 連接器未按預期設定或運作 - 離職使用者竊取的資料
- 離職使用者造成的安全性原則違規
- 有風險使用者的資料外泄
- 有風險的使用者違反安全性原則
HR 連接器發生問題。

1. 如果您使用 HR 連接器,請檢查您的 HR 連接器是否正在傳送正確的資料



2. 選取 Azure AD 帳戶刪除的觸發事件。
未連線任何裝置 - 離職使用者竊取的資料
- 資料外泄
- 有風險使用者的資料外泄
- 優先使用者造成的資料外洩
已選取裝置指標,但沒有任何裝置已上線至合規性入口網站

檢查裝置是否已上線並符合要求。
HR 連接器最近未上傳資料 - 離職使用者竊取的資料
- 離職使用者造成的安全性原則違規
- 有風險使用者的資料外泄
- 有風險的使用者違反安全性原則
HR 連接器超過 7 天未匯入資料。

檢查您的 HR 連接器已正確設定並傳送資料。
我們目前無法檢查 HR 連接器的狀態,請稍後再檢查一次 - 離職使用者竊取的資料
- 離職使用者造成的安全性原則違規
- 有風險使用者的資料外泄
- 有風險的使用者違反安全性原則
內部風險管理解決方案無法檢查您的 HR 連接器狀態。

檢查您的 HR 連接器已正確設定並傳送資料,或者返回並檢查原則狀態。
並未選取 DLP 原則以作為觸發事件 - 資料外泄
- 優先使用者造成的資料外洩
尚未選取 DLP 原則作為觸發事件,或已刪除選取的 DLP 原則。

編輯原則,並在原則設定中選取作用中的 DLP 原則或 [使用者執行外洩活動] 作為觸發事件。
此原則中使用的 DLP 原則已關閉 - 資料外泄
- 優先使用者造成的資料外洩
此原則中使用的 DLP 原則已關閉。

1. 開啟指派給此原則的 DLP 原則。



2. 編輯原則,並在原則設定中選取新的 DLP 原則或 [使用者執行外洩活動] 作為觸發事件。
DLP 原則不符合要求 - 資料外泄
- 優先使用者造成的資料外洩
用來作為觸發事件的 DLP 原則必須設定為能產生高嚴重性警示。

1. 編輯您的 DLP 原則,將適用的警示指派為 高嚴重性



2. 編輯此原則並選取 使用者執行外洩活動 作為觸發事件。
貴組織沒有適用於端點的 Microsoft Defender 訂閱 - 安全性原則違規
- 離職使用者造成的安全性原則違規
- 有風險的使用者違反安全性原則
- 優先使用者的安全性原則違規
未偵測到貴組織的作用中的適用於端點的 Microsoft Defender 訂閱。

在新增適用於端點的 Microsoft Defender 訂閱之後,這些原則才會指派風險分數給使用者活動。
適用於端點的 Microsoft Defender警示不會與合規性入口網站共用 - 安全性原則違規
- 離職使用者造成的安全性原則違規
- 有風險的使用者違反安全性原則
- 優先使用者的安全性原則違規
適用於端點的 Microsoft Defender警示不會與合規性入口網站共用。

設定適用於端點的 Microsoft Defender 警示共用。
您即將達到針對此原則範本主動評分的使用者上限 所有原則範本 每個原則範本的範圍內使用者數目上限。 請參閱範本限制區段詳細資料。

檢閱 [使用者] 索引標籤中的使用者,並移除不再需要評分的任何使用者。
此原則中超過 15% 的使用者重複發生觸發事件 所有原則範本 調整觸發事件,以協助減少使用者進入原則範圍的頻率。

建立新的原則

若要建立新的測試人員風險管理原則,您通常會在Microsoft Purview 合規性入口網站的測試人員風險管理解決方案中使用原則精靈。 您也可以從分析中離職的使用者檢查是否適用,為一般資料外泄和資料竊取建立快速原則。

完成 步驟 6:建立測試人員風險管理原則 ,以設定新的內部風險原則。

更新原則

若要更新現有的測試人員風險管理原則,您將在Microsoft Purview 合規性入口網站的測試人員風險管理解決方案中使用原則精靈。

完成下列步驟以管理現有的原則:

  1. Microsoft Purview 合規性入口網站中,移至[測試人員風險管理],然後選取 [原則] 索引卷標。

  2. 在原則儀表板上,選取您想要管理的原則。

  3. 在原則詳細資料頁面上,選取 [編輯原則]

  4. 在原則精靈中,您無法編輯下列專案:

    • 原則範本:用來定義原則檢查之風險指標類型的範本。
    • 名稱: 此原則的好記名稱
  5. [名稱與描述] 頁面上,在 [描述] 欄位適用於該更新原則的描述。

  6. 選取 [下一步] 繼續。

  7. [使用者和群組] 頁面上,選取 [包含所有使用者和群組][包含特定使用者和群組] 以定義該原則中包含了哪些使用者或群組,或者如果您選擇優先的使用者型範本;請選取 [新增或編輯優先使用者群組]。 選取 [包含所有使用者和群組 ] 會尋找觸發組織中所有使用者和群組的安全性和合規性相關事件,以開始指派原則的風險分數。 選取 [包含特定使用者和群組] 可讓您定義要指派給該原則的使用者和群組。 不支援來賓使用者帳戶。

  8. 選取 [下一步] 繼續。

  9. [排定優先順序內容] 頁面上,您可以指派 (如有必要) 要優先處理的來源,這會增加產生這些來源高嚴重性警示的機會。 請選取下列其中一個選項:

    • 我想要排定內容的優先順序。 選取此選項可讓您排定 SharePoint 網站敏感度標籤敏感性資訊類型擴展 名內容類型的優先順序。 如果您選擇此選項,則必須至少選取一個優先順序內容類型。
    • 我目前不想要指定優先順序內容。 選取此選項將會略過精靈中的優先順序內容詳細資料頁面。
  10. 選取 [下一步] 繼續。

  11. 如果您已選取我想要在上一個步驟中排 定內容的優先順序 ,您會看到 SharePoint 網站敏感性資訊類型敏感度標籤擴展名和評分的詳細 資料頁面。 使用這些詳細資料頁面來定義 SharePoint、敏感性資訊類型、敏感度標籤和副檔名,以在原則中設定優先順序。 [ 評分 詳細資料] 頁面可讓您將原則的範圍設定為只將風險分數指派給優先順序內容。

    • SharePoint 網站:選取 [新增 SharePoint 網站],然後選取您具有存取權且想要排定為優先順序的 SharePoint 網站。 例如,「 group1@contoso.sharepoint.com /sites/group1」。
    • 敏感性資訊類型:選取 [新增敏感性資訊類型],然後選取要設定優先順序的敏感性類型。 例如,[美國銀行帳戶號碼][信用卡號碼]
    • 敏感度標籤:選取 [新增敏感度標籤],然後選取要設定優先順序的標籤。 例如,[機密][密碼]
    • 副檔名:最多新增 50 個副檔名。 您可以在副檔名中包含或省略 '.'。 例如, .pypy 會優先處理 Python 檔案。
    • 評分:決定是否要將風險分數指派給此原則偵測到的所有活動,或僅指派給包含優先順序內容的活動。 選擇 [取得所有活動的警示 ] 或 [只取得包含優先順序內容之活動的警示]

    注意事項

    設定原則並選取優先順序 SharePoint 網站的使用者可以選取有權存取的 SharePoint 網站。 如果目前使用者無法在原則中選取 SharePoint 網站,則具有必要許可權的另一位使用者稍後可以選取原則的網站,或是應將所需的網站存取權授與目前的使用者。

  12. 選取 [下一步] 繼續。

  13. 如果您已選取 [ 一般資料外泄 ] 或 [依優先順序使用者的資料外 泄] 範本,您會在 [此原則的觸發程式 ] 頁面上看到自訂觸發事件和原則指標的選項。 您可以選擇選取 DLP 原則或指標來觸發事件,以將使用者指派給活動評分範圍中的原則。 如果您選取 [ 使用者符合資料外泄防護 (DLP) 原則觸發事件 ] 選項,您必須從 [DLP 原則] 下拉式清單中選取 DLP 原則,才能為此測試人員風險管理原則啟用 DLP 原則的觸發指標。 如果您選取 [ 使用者執行外流活動觸發事件 ] 選項,您必須選取一或多個列出的原則觸發事件指標。

    重要事項

    如果您無法選取列出的指標,這是因為其未針對您的組織啟用。 若要讓它們可供選取並指派給原則,請在測試人員風險管理>設定> 原則指標中啟用指標。 如果您已選取其他原則範本,則不支援自訂觸發事件。 內建原則觸發事件會套用,而您會繼續進行步驟 23,而不需定義原則屬性。

  14. 如果您已選取 有風險使用者的資料外泄有風險的使用者範本違反安全 策略,您會在 [此原則的觸發程式 ] 頁面上看到 與通訊合規性和 HR 資料連線器事件整合的選項。 當使用者傳送包含潛在威脅、破壞或惡意語言的訊息,或在 HR 系統回報有風險的使用者事件之後,將使用者帶入原則範圍時,您可以選擇指派風險分數。 如果您 從通訊合規性 (預覽) 選項中選取 [風險觸發程式],您可以接受 (自動建立) 的預設通訊合規性原則、為此觸發程式選擇先前建立的原則範圍,或建立另一個限定範圍的原則。 如果您選取 [HR 資料連線器事件],則必須為組織設定 HR 資料連線器。

  15. 選取 [下一步] 繼續。

  16. 如果您已依優先順序使用者範本選取[資料外泄] 或 [資料外泄] 範本,並已選取 [使用者執行外泄活動和相關聯的指標],則可以選擇自訂或預設閾值來觸發您選取的事件。 選擇 [ 使用預設閾值 (建議) ] 或 [ 針對觸發事件使用自訂閾值]

  17. 選取 [下一步] 繼續。

  18. 如果您已選取 [ 針對觸發事件使用自訂閾值],請針對您在步驟 13 中選取的每個觸發事件指標,選擇適當的層級來產生所需的活動警示層級。

  19. 選取 [下一步] 繼續。

  20. 在 [原則指標] 頁面上,您會在 [測試人員風險設定指標] 頁面上看到您已定義為可用的指標。 > 選取要套用至原則的指標。

    重要事項

    如果無法選取此頁面上的指標,您則需選取要針對所有原則啟用的指標。 您可以使用精靈中的 [開啟指標]按鈕,或在 [內部風險管理>設定>原則]頁面上選取指標。

    如果您至少選取了一個 [Office][裝置] 指標,請根據需要選取 [風險分數提升程式]。 風險分數提升程式僅適用于選取的指標。 如果您選取 [資料竊取][資料外洩] 原則範本,請選取一或多個 [序列偵測] 方法和 [累積外洩偵測] 方法,以套用至該原則。

  21. 選取 [下一步] 繼續。

  22. 在 [ 決定要使用預設值或自訂指標閾值 ] 頁面上,為您選取的原則指標選擇自訂或預設閾值。 選擇 [ 為所有指標使用預設閾值 ] 或 [指定所選原則指標的 自訂閾值 ]。 如果您已選取 [指定自訂閾值],請選擇適當的層級,為每個原則指標產生所需的活動警示層級。

  23. 選取 [下一步] 繼續。

  24. [檢閱]頁面上 ,查看您針對該原則所選擇的設定,以及您所選項目的任何建議或警告。 選取 [編輯] 以變更任何原則值,或選取 [提交] 來建立並啟用原則。

複製原則

您可能需要建立類似于現有原則的新原則,但只需要進行一些設定原則變更即可。 您可以複製現有的原則,然後修改需要新原則中更新的區域,而無須從頭開始建立新原則。

完成下列步驟以複製現有的原則:

  1. Microsoft Purview 合規性入口網站中,移至[測試人員風險管理],然後選取 [原則] 索引卷標。
  2. 在原則儀表板上,選取您想要複製的原則。
  3. 在原則詳細資料頁面上,選取 [複製]。
  4. 在原則精靈中,命名新原則,並根據需要更新該原則設定。

在某些情況下,您可能會需要立即開始將風險分數指派給內部風險管理觸發事件工作流程外的具有內部風險原則的使用者。 使用 [原則] 索引標籤的 [開始評分使用者的活動] 以手動將使用者 (或使用者們) 新增到適用於一段指定時間內的一或多個內部風險原則,以立即開始為其活動指派風險分數,並略過對使用者具有觸發指標 (例如 DLP 原則相符項目) 的要求。 您也可以新增將使用者新增到此原則的原因,該原因會出現在使用者的啟用時間軸上。 手動新加入至原則的使用者會顯示在 [使用者] 儀表板中,如果活動符合原則警示閾值,則會產生警示。 新增使用者以立即評分時,每個原則最多可新增 4,000 個使用者。

建議您立即開始為使用者活動評分的一些案例:

  • 當使用者發現有風險考慮,而且您想要立即開始為一或多個原則將風險分數指派給其活動時。
  • 發生事件時,您可能需要立即開始為一或多個原則的相關使用者活動指派風險分數。
  • 當您尚未設定 HR 連接器,但想要上傳使用者的.csv檔案,開始將風險分數指派給 HR 事件的使用者活動。

注意事項

新手動新增的使用者可能需要數小時的時間,才能顯示在 [使用者] 儀表板中。 這些使用者過去 90 天的活動最多可能需要 24 小時的時間才能顯示。 若要查看手動新增使用者的活動,請瀏覽至 [使用者] 索引標籤,然後選取 [使用者] 儀表板上的使用者,然後開啟詳細資料窗格上的 [使用者活動] 索引標籤。

若要在一或多個內部風險管理原則中手動開始評分使用者的活動,請完成下列步驟:

  1. Microsoft Purview 合規性入口網站中,移至[測試人員風險管理],然後選取 [原則] 索引卷標。

  2. 在原則儀表板上,選取您想要新增使用者至的一個或多個原則。

  3. 選取 開始評分使用者的活動

  4. [新增使用者至多個原則] 窗格中的 [原因欄位] 內,新增新增使用者的原因。

  5. 在 [ 這應該持續 (選擇 5 到 30 天) 欄位中,定義要為使用者新增的原則評分的天數

  6. 若要搜尋 Active Directory 中的使用者,請使用 [搜尋使用者,以新增至原則] 欄位。 輸入要新加入至此原則的使用者名稱。 選取使用者名稱,然後重複將其他使用者指派給該原則。 您選取的使用者清單會出現在新增使用者至多個原則窗格的使用者區段。

  7. 若要匯入要新增至該原則的使用者清單,請選取 [匯入] 至匯入 .csv (逗號分隔值) 檔案。 檔案必須採用下列格式,而且您必須列出檔案中的使用者主體名稱:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. 選取 [新增使用者至原則] 以接受變更,並新增使用者至該原則;或選取 [取消] 以捨棄變更並關閉對話方塊。

停止在原則中為使用者評分

若要停止在一個原則中為使用者評分,請參閱 [內部風險管理使用者:將使用者從範圍內指派移除至原則] 一文。

刪除原則

注意事項

刪除原則不會刪除從該原則產生的使用中或已保存的警示。

若要刪除現有的內部風險管理原則,請完成下列步驟:

  1. Microsoft Purview 合規性入口網站中,移至[測試人員風險管理],然後選取 [原則] 索引卷標。
  2. 在原則儀表板上,選取您想要刪除的原則。
  3. 在儀表板工具列上選取 [刪除]
  4. [刪除]對話方塊中,選取 [是] 以刪除此原則,或選取 [取消] 以關閉對話方塊。