在測試人員風險管理中設定原則指標

  • 發行項

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

Microsoft Purview 內部風險管理 中的測試人員風險原則範本會定義您想要偵測和調查的風險活動類型。 每個原則範本都是以對應至特定觸發程式和風險活動的特定指標為基礎。 默認會停用所有全域指標; 您必須選取一或多個指標來設定測試人員風險管理原則

當使用者執行與指標相關的活動時,系統會收集訊號並由原則觸發警示。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

事件和指標的類型

內部風險管理會使用不同類型的事件和指標來收集訊號並建立警示:

  • 觸發事件:判斷使用者是否在內部風險管理原則中作用中的事件。 如果使用者新增至沒有觸發事件的測試人員風險管理原則,則原則不會將使用者評估為潛在風險。 例如,使用者 A 會新增至從數據竊取建立的原則, 方法是離開使用者 原則範本,且原則和 Microsoft 365 HR 連接器已正確設定。 在使用者 A 有 HR 連接器所報告的終止日期之前,此內部風險管理原則不會評估使用者 A 是否有潛在風險。 觸發事件的另一個範例是使用者在使用數據外泄原則時,是否具有嚴重性 DLP 原則警示。

  • 全域設定指標:在內部風險管理的全域設定中啟用的指標會定義可用於原則設定的指標,以及內部風險管理所收集的事件訊號類型。 例如,如果使用者將數據複製到個人雲端記憶體服務或可攜式儲存設備,而且這些指標只在全域設定中選取,則使用者的潛在風險活動將可在活動總管中檢閱。 不過,如果此使用者未定義於內部風險管理原則中,則原則不會將使用者評估為潛在風險,因此不會獲指派風險分數或產生警示。

  • 原則指標:內部風險管理原則中包含的指標可用來判斷範圍內用戶的風險分數。 原則指標是從全域設定中定義的指標啟用,而且只有在用戶發生觸發事件之後才會啟用。 原則指標的範例包括:

    • 用戶會將數據複製到個人雲端記憶體服務或可攜式儲存設備。
    • 用戶帳戶會從 Microsoft Entra ID 中移除。
    • 使用者與未經授權的外部合作對象共用內部檔案和資料夾。

某些原則指標和序列也可用來自定義特定原則範本的觸發事件。 在原則精靈中針對一 般數據外泄 或優先用戶範本 的數據外泄進行 設定時,這些指標或順序可讓您的原則以及當使用者在原則範圍內時有更大的彈性和自定義。 此外,您可以針對這些觸發指標定義風險管理活動閾值,以在原則中更精細地控制。

定義在所有內部風險原則中啟用的測試人員風險原則指標

  1. 選取 [ 設定] 按鈕,然後選取 [ 原則指標]

  2. 選取一或多個原則指標。 在原則精靈中建立或編輯內部風險原則時,無法個別設定在 [原則 指標 設定] 頁面上選取的指標。

    注意事項

    新的手動新增使用者可能需要數小時才會出現在 [ 使用者] 儀錶板中。 這些使用者過去 90 天的活動最多可能需要 24 小時的時間才能顯示。 若要檢視手動新增用戶的活動,請在 [ 使用者] 儀錶板 上選取使用者,然後在詳細數據窗格中開啟 [ 用戶活動 ] 索引卷標。## 兩種原則指標類型:內建指標和自定義指標

內建指標與自定義指標

原則指標會組織成兩個索引標籤:

  • 內建指標:內部風險管理包含許多適用於各種案例的內建指標,您可以立即在原則中使用這些指標。 選擇您想要啟動的指標,然後在建立測試人員風險原則時自定義每個指標層級的指標閾值。 本文會更詳細地描述內建指標。
  • 自定義指標:使用自定義指標搭配 測試人員風險指標 (預覽) 連接器 ,將非 Microsoft 偵測帶入內部風險管理。 例如,您可能想要擴充偵測以包含 Salesforce 和 Dropbox,並將其與內部風險管理解決方案所提供的內建偵測搭配使用,其著重於 SharePoint Online 和 Exchange Online (Microsoft 工作負載,例如) 。 深入瞭解如何建立自定義指標

內建指標

測試人員風險管理包含下列內建指標。

Office 指標

其中包括 SharePoint 網站、Microsoft Teams 和電子郵件訊息的原則指標。

預覽 (雲端記憶體指標)

其中包括Google雲端硬碟、Box和Dropbox的原則指標,可用來偵測用來判斷環境、收集和竊取數據,以及中斷可用性或危害系統完整性的技術。 若要從雲端記憶體指標中選取,如果您尚未連線到相關的雲端記憶體應用程式, (Microsoft Defender 中的) 深入瞭解雲端記憶體指標

設定之後,您可以關閉您不想在設定中使用之應用程式的指標。 例如,您可以選取 Box 和 Google 雲端硬碟的內容下載指標,但不能選取 Dropbox。

預覽 (雲端服務指標)

其中包括 Amazon S3 和 Azure (SQL Server 和記憶體) 的原則指標,可用來偵測用來透過停用追蹤記錄或更新或刪除 SQL Server 防火牆規則來避免偵測或有風險活動的技術;用來竊取數據的技術,例如敏感性文件、用來中斷可用性或危害系統完整性的技術;或用來取得系統和數據的較高層級許可權。 若要從雲端服務指標中選取,如果您尚未連線到相關的來源服務應用程式, (Microsoft Defender 中的) 深入瞭解雲端服務指標

預覽 (Microsoft Fabric 指標)

其中包括 Microsoft Power BI 的原則指標,可用來偵測用來找出環境 (的技術,例如檢視 Power BI 報表和儀錶板) ,以及用來收集感興趣數據的技術, (例如下載 Power BI 報表) 。

裝置指標

其中包括活動的原則指標,例如透過網路或裝置共用檔案。 指標包括涉及所有文件類型的活動,不包括可執行檔 (.exe) 和動態連結庫 (.dll) 檔案活動。 如果您選取 [裝置指標],系統會針對組建 1809 或更新版本 Windows 10 裝置處理活動,而 macOS (三個最新發行的版本) 裝置。 針對 Windows 和 macOS 裝置,您必須 先將裝置上線。 裝置指標也包含瀏覽器訊號偵測,可協助貴組織偵測及處理在 Microsoft Edge 和 Google Chrome 中檢視、複製、共用或列印之不可執行檔的外洩訊號。 如需設定 Windows 裝置以與測試人員風險整合的詳細資訊,請參閱本文中的 啟用裝置指標和將 Windows 裝置上 線。 如需設定 macOS 裝置以與測試人員風險整合的詳細資訊,請參閱本文中的 啟用裝置指標和將 macOS 裝置上 線。 如需瀏覽器訊號偵測的詳細資訊,請參閱 瞭解和設定測試人員風險管理瀏覽器訊號偵測

適用於端點的 Microsoft Defender 預覽) (指標

其中包括來自未核准或惡意軟體安裝或略過安全性控制之 適用於端點的 Microsoft Defender指標。 若要在內部風險管理中接收警示,您必須啟用適用於端點的主動式 Defender 授權和測試人員風險整合。 如需設定適用於端點的Defender以進行內部風險管理整合的詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中設定進階功能

健康情況記錄存取指標

其中包括病患醫療記錄存取的原則指標。 例如,嘗試存取電子醫療記錄中的病患醫療記錄 (EMR) 系統記錄可以與測試人員風險管理醫療保健原則共用。 若要在內部風險管理中接收這些類型的警示,您必須設定醫療保健特定的數據連接器和 HR 數據連接器

實體存取指標

其中包括實體存取敏感性資產的原則指標。 例如,嘗試存取實體徽章系統記錄中的限制區域,可以與內部風險管理原則共用。 若要在內部風險管理中接收這些類型的警示,您必須在內部風險管理中啟用優先順序實體資產,並設定 實體徽章數據連接器 。 若要深入瞭解如何設定實體存取,請參閱本文中的 優先順序實體存取一節

Microsoft Defender for Cloud Apps 指標

其中包括來自適用於雲端應用程式的Defender共用警示的原則指標。 在適用於雲端應用程式的 Defender 中自動啟用異常偵測,會立即開始偵測和定序結果,以使用者和連線到您網路的電腦和裝置上許多行為異常為目標。 若要在測試人員風險管理原則警示中包含這些活動,請在本節中選取一或多個指標。 若要深入瞭解適用於雲端應用程式的Defender分析和異常偵測,請參閱 取得行為分析和異常偵測

預覽) (有風險的瀏覽指標

其中包括與被視為惡意或具風險的網站相關的瀏覽活動原則指標,以及可能會導致安全性或合規性事件的潛在內部風險。 有風險的瀏覽活動是指造訪潛在風險網站的使用者,例如與惡意代碼、暴力、暴力和其他不允許的活動相關聯的使用者。 若要在原則警示中包含這些風險管理活動,請在本節中選取一或多個指標。 若要瞭解如何設定瀏覽器外洩訊號,請參閱 測試人員風險管理瀏覽器訊號偵測

累積外洩偵測

偵測用戶在過去 30 天內在所有外流通道的外流活動何時超過組織或對等群組規範。 例如,如果使用者是銷售角色,並定期與組織外部的客戶和合作夥伴通訊,其外部電子郵件活動可能會遠高於組織的平均值。 不過,相較於使用者的小組成員或具有類似職稱的其他成員,用戶的活動可能不尋常。 如果用戶的累積外泄活動不尋常且超過組織或對等群組規範,則會指派風險分數。

注意事項

對等群組是根據組織階層、共用 SharePoint 資源的存取權,以及 Microsoft Entra ID 中的職稱來定義。 如果您啟用累積外洩偵測,您的組織會同意與合規性入口網站共用 Microsoft Entra 數據,包括組織階層和職稱。 如果您的組織未使用 Microsoft Entra ID 來維護此資訊,則偵測可能較不精確。

風險分數提升器

這些包括基於下列原因提高活動的風險分數:

  • 超過用戶當天一般活動的活動:如果偵測到的活動偏離使用者的一般行為,則會提升分數。

  • 使用者先前的案例已解決為原則違規:如果使用者在內部風險管理中有先前的案例已解決為原則違規,則分數會提高。

  • 使用者是優先順序使用者群組的成員:如果使用者是優先順序使用者群組的成員,分數就會提升。

  • 系統會將使用者偵測為潛在的高影響力使用者:啟用此功能時,會根據下列準則自動將用戶標示為潛在高影響的使用者:

    • 相較於組織中的其他人,使用者會與更敏感的內容互動。
    • 組織 Microsoft Entra階層中的用戶層級。
    • 根據 Microsoft Entra 階層向用戶回報的用戶總數。
    • 使用者是 Microsoft Entra 內建角色的成員,具有較高的許可權。

    注意事項

    當您啟用潛在的高影響力用戶風險分數提升器時,您同意與合規性入口網站共用 Microsoft Entra 數據。 如果您的組織未使用敏感度標籤,或尚未在 Microsoft Entra ID 中設定組織階層,則此偵測可能較不精確。 如果用戶同時被偵測為優先順序使用者群組的成員,以及潛在高影響的使用者,則其風險分數只會提升一次。

在某些情況下,您可能會想要限制套用至組織中內部風險原則的測試人員風險原則指標。 您可以從全域設定中的所有內部風險原則中停用特定區域的原則指標,以關閉這些指標。 觸發事件只能針對優先用戶範本從 數據外泄數據外泄 所建立的原則進行修改。 從所有其他範本建立的原則沒有可自定義的觸發指標或事件。

自訂指標

使用 [ 自定義指標 ] 索引標籤建立自定義指標,以作為觸發程式或原則中的原則指標。

注意事項

您必須先建立測試人員風險指標 連接器 , (預覽) ,才能建立自定義指標來匯入第三方指標數據。

  1. 在測試人員風險管理設定中,選取 [ 原則指標 ],然後選取 [ 自定義指標] 索引標籤

  2. 取 [新增自定義指標]

  3. 輸入指標名稱和描述 (選擇性) 。

  4. 在 [ 資料連接器 ] 列表中,選取您先前建立的測試人員風險指標連接器。

    當您選擇資料連接器時:

    • 當您建立連接器時所選取的源數據行名稱會顯示在 [來源] 資料行的 [ 對應檔案 ] 字段中。 如果您在建立連接器時未選取源數據行,[ ] 會出現在此欄位中,而且您不需要進行選取。
    • [源數據行中的 值] 清單中,選取您要指派給自定義指標的值。 這些值與您在建立連接器時指定的源數據行相關。 例如,如果您建立的單一連接器包含 Salesforce 和 Dropbox) 兩個指標 (的數據,您會在清單中看到這些值。

  5. 如果您想要使用數據行來設定閾值,請在 [來自對應 檔案 的數據] 清單中,選取您要用於臨界值設定的數據行;否則,請選取 [ 僅當做觸發事件使用,不含任何臨界值] 選項。

    注意事項

    只有具有 Number 資料類型的欄位會出現在對應 檔案 清單的 [資料] 中,因為必須要有 Number 資料類型才能設定臨界值。 當您設定連接器時,會指定資料類型。

  6. 取 [新增指標]。 指標會新增至 [自定義指標 ] 清單。

現在,您可以在您建立或編輯的任何數據竊取數據外泄原則中使用自定義指標

  • 如果您使用自定義指標作為觸發程式,請在建立或編輯原則時,於 [ 觸發程式 ] 頁面上選取您的自定義觸發程式。
  • 如果您使用自定義指標做為原則指標,請在建立或編輯原則時,於 [ 指標 ] 頁面上選取您的自定義指標。

注意事項

選取您的自定義觸發程式或指標之後,請務必設定自定義閾值 (不建議您使用預設閾值) 。 如果您選取了 [ 只做為觸發事件而不使用任何閾值 ] 選項,就無法在自定義指標上設定觸發程式閾值。

將自定義指標新增至原則之後,根據自定義指標產生的觸發程式和深入解析會出現在 [警示] 儀錶板[活動總管] 和 [ 使用者] 時程表中。

重要事項

  • 在自定義指標和相關聯的原則更新之後,請務必等候 24 小時再 上傳數據 。 這是因為同步處理所有元件可能需要數小時的時間。 如果您在同步更新時立即上傳數據,則可能無法針對某些數據進行風險評分。

Create 內建指標的變體

您可以 (預覽) 建立偵測群組 ,並將其與內建指標的變體一起使用, (預覽) 為不同的使用者集合量身打造偵測。 例如,若要減少電子郵件活動的誤判數目,您可能想要建立將 附件傳送給組織外部收件者 的電子郵件內建指標的變體,只偵測傳送至個人網域的電子郵件。 變體會繼承內建指標的所有屬性。 然後,您可以使用排除或包含來修改變體。

  1. 在 [內部風險管理設定] 中,選取 [ 原則指標]

  2. 取 [新增指標變體 (預覽) 。 這會開啟畫面右側的 [ 新增指標變體 (預覽) ] 窗格。

  3. 在 [ 基底指標 ] 列表中,選取您要為其建立變體的指標。

    注意事項

    您最多可以為每個內建指標建立三個變體。 如果您已經為特定內建指標建立三個變體,則內建指標會在清單中呈現灰色。 還有一些內建指標 (適用於端點的 Microsoft Defender 指標,例如不支持變體的) 。

  4. 新增 variant (的名稱,或接受建議的名稱) 。 變體名稱不能超過 110 個字元。

  5. 新增變體 (選擇性) 的描述。 描述會出現在原則中,以協助您區別其他指標或指標變體。 變數的描述不能超過 256 個字元。

  6. [偵測群組] 下,選取下列其中一個選項:

    • 忽略包含所選群組中項目的活動。 如果您想要擷取一些 排除專案以外的所有專案,請選取此選項。 例如,您可能想要使用此選項來擷取所有外寄電子郵件,但傳送至特定網域的電子郵件除外。

    • 只偵測與所選群組中的專案有關的活動。 如果您想要指定要擷取 的內含專案, 請選取此選項。 例如,如果您只想要擷取傳送至特定網域的電子郵件,請選取此選項。

    注意事項

    如果您尚未 建立偵測群組,您將無法在 [ 偵測群組 ] 區段中選取選項。

  7. 在 [ 選取一或多個偵測群組 ] 列表中,選取您要套用至變體的偵測群組 () 。 偵測群組會列在適當的偵測類型標題下,以協助您尋找適當的群組。 針對單一變體,您最多可以新增五個單一類型的偵測群組。 例如,您最多可以新增五個網域群組、五個檔類型群組等等。  

    注意事項

    只有適用於變體的偵測群組才會出現在清單中。 例如,與 組織外部人員共用SharePoint資料夾 的文件類型偵測群組不會出現,因為它不適用。

  8. 選取 [儲存]

  9. 在 [ 後續步驟 ] 對話框中,如果您想要將新的變體套用至特定原則,請選取 [ 原則] 頁面 連結。

提示

若要確定變體會擷取您想要偵測的所有重要活動,您可以在相同的原則中套用內建指標和內建指標的變體。 接著,您可以觀察每個指標在警示中擷取的活動,然後在確定偵測到所有項目之後,只使用變異指標。

在原則中使用變體

  1. 移至原則精靈的 [ 指標 ] 頁面。

  2. 尋找包含一或多個變體的內建指標。 具有變體的內建指標會在變體複選框中以藍色小方塊標示,而清單會出現在指標描述元文字的結尾,以指出選取的變數目。 開啟清單以查看變體。

    注意事項

    如果您在變體清單中選取一或所有複選框,則內建指標的第一層複選框會變成純藍色複選框。 如果未選取 Variant 清單中的方塊,則第一層複選框會是空白的。

  3. 選取 [下一步]

  4. 在 [ 自定義閾值 ] 頁面中,您可以個別自定義變體的閾值。

調查變體所提供的深入解析

將變體新增至原則之後,就會在儀錶板中產生警示,而參與者可以在 [ 活動總 管] 和 [ 用戶活動 ] 索引卷標中檢視更多詳細數據。

編輯變體

  1. 選取指標描述文字結尾的藍色文字。 例如,選取 [+2 個變體],如下列螢幕快照範例所示。

    顯示要選取之變體文字的螢幕快照。

  2. 在 [ 檢視/編輯指標] 頁面中,選取 [ 編輯] 按鈕。

  3. 進行變更。

變異限制

  • 每個內建指標最多可以建立三個變體。
  • 針對單一變體,您最多可以新增五個單一類型的偵測群組。 例如,您最多可以新增五個網域群組、五個檔類型群組等等。
  • 針對偵測群組預覽,變體不支援序列、累積外泄活動、風險分數提升器或 即時分析

如何針對智慧型手機偵測排除和優先順序內容排定變異的優先順序

活動的範圍會在測試人員風險管理的多個位置發生。 範圍設定會依下列優先順序順序進行:

  1. 智慧型偵測

  2. Variant 範圍排除/包含

  3. 優先順序內容

啟用裝置指標並讓 Windows 裝置上線

若要在 Windows 裝置上啟用風險活動的偵測,並包含這些活動的原則指標,您的 Windows 裝置必須符合下列需求,而且您必須完成下列上線步驟。 深入瞭解裝置上線需求

步驟 1:準備您的端點

請確定您打算在內部風險管理中報告的 Windows 10 裝置符合這些需求。

  1. 裝置必須執行 x64 組建 1809 或更新版本 Windows 10,且必須安裝自 2020 年 2 月 20 日起 (OS 組建 17763.1075) 的 Windows 10 更新
  2. 用來登入 Windows 10 裝置的用戶帳戶必須是作用中的 Microsoft Entra 帳戶。 Windows 10 裝置可能已 Microsoft Entra ID、Microsoft Entra 混合式、已加入或已註冊。
  3. 在端點裝置上安裝 Microsoft Edge 瀏覽器,以偵測雲端上傳活動的動作。 請參閱根據 Chromium 下載新的 Microsoft Edge

注意事項

端點 DLP 現在支援虛擬化環境,這表示內部風險管理解決方案支援透過端點 DLP 的虛擬化環境。 深入瞭解端點 DLP 中虛擬化環境的支援

步驟 2:將裝置上線

您必須先啟用裝置檢查並上線端點,才能偵測裝置上的內部風險管理活動。 這兩個動作都是在 Microsoft Purview 中完成。

當您想要啟用尚未上線的裝置時,您必須下載適當的腳本並部署,如本文所述。

如果您已將裝置上線到 適用於端點的 Microsoft Defender,它們會出現在受控裝置清單中。

將裝置上線

在此部署案例中,您會啟用尚未上線的裝置,而您只想要偵測 Windows 裝置上的內部風險活動。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。

  2. 選取頁面右上角的 [ 設定 ] 按鈕。

  3. 在 [ 裝置上線] 下,選取 [ 裝置]。 清單是空的,直到您將裝置上線為止。

  4. 取 [開啟裝置上線]

    注意事項

    通常啟用裝置上線需要 60 秒的時間,但請等候最多 30 分鐘的時間再與 Microsoft 支援服務聯絡以取得協助。

  5. 從 [ 部署方法 ] 列表中選取您要部署到這些裝置的方式,然後選取 [ 下載套件]

  6. 按照 Windows 電腦的上線工具和方法中的適當程序。 此連結會帶您前往一個登陸頁面,讓您存取適用於端點的 Microsoft Defender 且符合您在步驟 5 中選取的部署套件的程序:

    • 使用群組原則上線 Windows 電腦
    • 使用 Microsoft Endpoint Configuration Manager 來上線 Windows 電腦
    • 使用行動裝置管理工具上線 Windows 電腦
    • 使用本機指令碼上線 Windows 電腦
    • 將非持續性虛擬桌面基礎結構上線 (VDI) 機

當您完成且端點裝置上線時,它應該會顯示在裝置清單中,而端點裝置將會開始向測試人員風險管理報告稽核活動記錄。

注意事項

這項體驗屬於授權強制執行。 若無所需授權,資料將不會顯示或無法存取。

如果裝置已上線以 適用於端點的 Microsoft Defender

如果 適用於端點的 Microsoft Defender 已部署且端點裝置正在報告,端點裝置會出現在受控裝置清單中。 您可以前往 步驟 2:將裝置上線,繼續將新裝置上線至內部風險管理,以擴充涵蓋範圍。

啟用裝置指標並上線macOS裝置

(Catalina 10.15 或更新版本) 的 macOS 裝置可以上線至 Microsoft 365,以使用 Intune 或 JAMF Pro 來支持內部風險管理原則。 如需詳細資訊和設定指引,請 參閱將macOS裝置上線至 Microsoft 365 概觀 (預覽)

指標層級設定

使用原則精靈建立原則時,您可以設定每日的風險事件數目應該如何影響內部風險警示的風險分數。 這些指標設定可協助您控制組織中發生的風險事件數目如何影響風險分數 (,以及這些事件的相關警示嚴重性) 。

例如,假設您決定在測試人員風險原則設定中啟用 SharePoint 指標,並在設定新內部風險 數據外泄 原則的指標時,選取 SharePoint 事件的自定義閾值。 在測試人員風險原則精靈中,您會為每個 SharePoint 指標設定三個不同的每日事件層級,以影響與這些事件相關聯之警示的風險分數。

針對第一個每日事件層級,您會將閾值設定為:

  • 每天10個以上的事件 ,對事件的風險分數的影響較低
  • 每天 20 個以上的事件 ,對事件的風險分數有中等影響
  • 每天30個以上的事件 ,對事件的風險分數有較高的影響

這些設定實際上表示:

  • 如果在觸發事件之後發生 1-9 個 SharePoint 事件,風險分數會受到最低限度的影響,而且通常不會產生警示。
  • 如果在觸發事件之後發生 10-19 個 SharePoint 事件,則風險分數原本就較低,且警示嚴重性層級通常處於低層級。
  • 如果在觸發事件之後發生 20-29 個 SharePoint 事件,則風險分數原本就較高,且警示嚴重性層級通常會在中層級。
  • 如果在觸發事件之後發生 30 個以上的 SharePoint 事件,風險分數原本就較高,且警示嚴重性層級通常會處於高階。

原則閾值的另一個選項是將原則觸發事件指派給高於一般每日用戶數目的風險管理活動。 系統不會由特定閾值設定定義,而是針對針對範圍內原則用戶偵測到的異常活動,動態自定義每個閾值。 如果個別指標支援異常活動的臨界值活動,您可以在該指標的原則精靈中選取 [ 活動高於使用者當天的一般活動 ]。 如果未列出此選項,則指標無法使用異常活動觸發。 如果 [活動高於使用者的日常活動] 選項已針對指標列出,但無法選取,您必須在測試人員風險設定>原則指標中啟用此選項。

使用即時分析建議來設定閾值

您可以使用即時分析 (預覽) ,利用引導式 (數據驅動) 閾值設定體驗,讓您快速選取原則指標的適當臨界值。 此引導式體驗可協助您有效率地調整選取的指標和活動發生閾值,讓您不會有太多或太多原則警示。

開啟分析時:

  • 在原則精靈的 [指標] 頁面上,會啟用 [套用用戶活動特有的閾值] 選項。 如果您想要讓測試人員風險管理根據組織中過去 10 天的用戶活動,提供指標閾值建議,請選取此選項。

    注意事項

    若要使用此選項,您必須至少選取一個內建原則指標。 測試人員風險管理不會針對 自定義指標內建指標的變體提供建議的閾值。

  • 如果您在原則精靈的 [指標] 頁面上選取 [選擇您自己的臨界值] 選項,則閾值設定的預設值會根據建議的臨界值 (根據您組織中的活動) 而非內建的預設值。 您也會看到量測計、前五個指標的清單,以及每個指標的深入解析。

    測試人員風險管理即時分析

    • 答: 量測計會顯示範圍使用者的近似數目,其活動從前 10 天超過原則中至少一個所選內建指標 的每日最低閾值 。 此量測計可協助您估計如果原則中包含的所有使用者都獲指派風險分數,可能會產生的警示數目。

    • B. 前五個指標清單會依超過 每日最低閾值的用戶數目排序。 如果您的原則產生太多警示,這些是您可能想要專注於減少「雜訊」的指標。

    • C. 每個指標的深入解析會顯示在該指標的臨界值設定集下方。 深入解析會顯示使用者的近似數目,其活動從前 10 天超過指標的指定 低閾值 。 例如,如果 從 SharePoint 下載內容的 低閾值設定設為 100,深入解析會顯示原則中平均在前 10 天內執行超過 100 個下載活動的用戶數目。

注意事項

全域排除 (智慧型手機偵測) 會納入即時分析的考慮。

手動調整閾值設定

如果您選取 [ 選擇您自己的閾值 ] 選項,並手動調整特定指標的臨界值設定,則指標下方的深入解析會實時更新。 這可協助您為每個指標設定適當的閾值,以在啟用原則之前達到最高層級的警示有效性。

若要節省時間,並更容易瞭解手動變更對閾值的影響,請選取深入解析中的 [ 檢視影響 ] 連結,以顯示 [使用者超過指標圖表的每日閾值 ]。 此圖表提供每個原則指標的敏感度分析。

測試人員風險管理檢視影響圖表

重要事項

如果您在建立原則時選取 [ 包含特定使用者 ] 選項,則無法使用此圖表。 您必須選取 [ 包含所有使用者和群組] 選項。 如果您在原則精靈的 [排定優先順序的內容] 頁面中選取 [僅取得包含優先順序內容的活動警示] 選項,則圖表也無法使用。

您可以使用此圖表來分析組織中用戶的活動模式,以取得選取的指標。 例如,在上圖中, 與組織外部人員共用 SharePoint 檔案的 臨界值指標設定為 38。 此圖表顯示有多少使用者執行超過該閾值的動作,以及這些動作的低、中和高嚴重性警示分佈。 選取列以查看每個值的深入解析。 例如,在上述圖例中,選取 了50 個值的列,而深入解析顯示,在過去10天內,大約22位使用者在至少一天內至少執行了50個事件。

使用即時分析的必要條件

若要使用即時分析 (預覽) ,您必須 啟用內部風險分析深入解析。 啟用分析之後,可能需要 24 到 48 小時,才會顯示深入解析和建議。