使用这些过程在 Microsoft Purview 内部风险管理 中推出 Microsoft Purview 会审代理。
开始之前
如果你不熟悉在 Insider Risk Management 中Microsoft Purview 会审代理,则应阅读本文。
SKU/订阅许可
Insider Risk Management 中的会审代理需要 标准的按席位许可模型和即用即付计费模型。 你的组织必须获得以下许可:
- Microsoft Purview 内部风险管理使用内部风险管理会审代理。
Microsoft Purview 会审代理在执行任务时使用安全计算单元 (SCU) 。 必须预配 SCU,才能使会审代理正常工作。 使用的 SCU 数取决于所处理的警报的数量和类型。 有关 SCU 的详细信息,请参阅 安全计算单元 (SCU) 。 可以在 使用情况监视工具中跟踪 SCU 使用情况。 有关加入智能 Microsoft Security Copilot 副驾驶®的详细信息,请参阅智能 Microsoft Security Copilot 副驾驶®入门。
有关 E5 中的Security Copilot许可的信息,请参阅了解 Microsoft 365 E5 中的Security Copilot
有关许可的信息,请参阅
权限和角色
执行不同功能需要不同的权限和角色。 有关详细信息,请参阅 Microsoft Purview 门户中的权限和 Microsoft Purview 门户中的角色和角色组。
重要
代理在保存代理配置的最后一个用户的安全上下文中运行。 此身份验证适用于 90 天。 90 天后,代理将停止运行,直到再次手动保存配置。
在 Insider Risk Management 中启用会审代理的权限
用于在 Insider Risk Management 代理中启用和管理会审代理的帐户必须具有以下所有角色:
内部风险管理分析或内部风险管理调查 (角色组:数据安全管理或内部风险管理或内部风险管理分析师或内部风险管理调查员)
Purview 内容分析师 (角色组:Purview 代理管理)
Security Copilot参与者 (在 Security Copilot) 中托管
在 Insider Risk Management 中自定义和配置会审代理的权限
用于自定义和配置 Insider Risk Management 代理的帐户必须具有以下所有角色:
Purview 代理分析 (角色组:数据安全管理或内部风险管理或内部风险管理分析师或内部风险管理调查员)
Security Copilot参与者 (在 Security Copilot) 中托管
用于查看会审的内部风险管理警报的权限
用于查看 Insider Risk Management 会审代理警报活动的帐户必须位于:
Purview 代理分析 (角色组:数据安全管理或内部风险管理或内部风险管理分析师或内部风险管理调查员)
可选 - Security Copilot参与者 (在 Security Copilot) 中托管
部署和配置路线图
实现 Microsoft Purview 代理涉及几个阶段:
基础结构先决条件
Microsoft Purview 会审代理在 智能 Microsoft Security Copilot 副驾驶® 上运行。
- 租户必须载入到智能 Microsoft Security Copilot 副驾驶®。 有关如何载入的详细信息,请参阅智能 Microsoft Security Copilot 副驾驶®入门。
- 必须在 Security Copilot 中启用 Microsoft 365 数据共享。 有关详细信息,请参阅 从 Microsoft 365 服务访问数据 。
- 必须在 智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 插件。 有关详细信息,请参阅在 智能 Microsoft Security Copilot 副驾驶® 中启用 Microsoft Purview 源。
启用代理
此过程适用于尚未启用任何 Microsoft Purview 代理或 已删除代理 的组织,并且你希望再次启用它们。 启用代理后,它们可在 Microsoft Purview 中使用。 租户中每个代理只能有一个实例。 此过程适用于 Purview DLP 会审代理和 Insider Risk Management 会审代理。
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 在左侧导航窗格中,选择“ 代理”。
- 选择“ 浏览代理”。
- 选择要启用的代理,然后选择“ 添加”。 这会打开一个页面,其中显示了启用代理的要求。
- 选择 “设置”,这会打开 “部署代理 全局配置”页。 可以执行下列操作:
- 选择 根据设置的计划自动运行。 如果不选择此选项,则必须一次手动运行一个代理。 计划由 Microsoft 设置,组织无法配置。 稍后可以在编辑代理时更改此设置。
- 选择警报时间范围,即代理查找要会审的警报的时间范围。 分析人员可以在编辑代理时缩短时间范围,但不能延长时间范围。 有关详细信息,请参阅 选择警报时间范围。
- 选择“部署”。 成功部署代理时,会看到解决方案>中的<警报会审代理已部署消息。
安装代理
启用代理后,需要为代理设置特定的触发器。 触发器用于确定代理会审的警报。 可以在 “代理 ”页中执行此作,也可以在解决方案的 “警报 ”页上首次运行体验中执行此作。 对于此过程,我们将使用第一个运行体验 警报 页方法。 此过程假定你仍Microsoft Purview 门户打开到上一过程中的 “浏览代理 ”页。
重要
始终使用最新的代理配置。
- 选择“ 转到 <解决方案>”。 这会打开解决方案的 “警报 ”页。
- 由于处于第一次运行体验中,因此会看到带有 “自定义 ”按钮的对话框,选中该按钮后,该对话框将打开 “自定义警报会审代理 ”浮出控件。
- 在这里,选择接受 “选择警报时间范围” 的默认全局设置,或者将其更改为比代理部署期间配置的要短。
- 输入代理 的自定义说明 。 代理解释自然语言输入,并使用它来更好地识别对你而言最重要的警报类型。 这有助于更快地识别和响应最相关的警报。
- 选择 “选择策略 ”以选择代理将对其警报进行会审的策略。 在预览版中,所有策略默认处于选中状态,可在此处进行更改。
- 选择“审阅”。
- 选择“ 启动代理”。 最多允许代理 2 小时完成对范围中的警报的会审,并从此初始设置启用手动运行。
暂停代理
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 在左侧导航窗格中,选择“ 代理”。
- 选择“ 浏览代理”。
- 为要暂停的 代理选择“查看 代理”。 这会打开代理概述页。
- 在代理概述页最右上角,选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
- 选择 “停用代理”。 暂停代理会阻止代理对警报进行会审。 它不会删除代理,也不会重置 “选择警报时间范围 ”引用时间点。
删除代理
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 在左侧导航窗格中,选择“ 代理”。
- 选择“ 浏览代理”。
- 为要暂停的 代理选择“查看 代理”。 这会打开代理概述页。
- 在代理概述页最右上角,选择位于“编辑代理”按钮旁边的省略号 (三个点) 。
- 选择 “删除代理”。 删除代理会将其从 Purview Microsoft 中删除。 如果想要再次使用它,则必须再次完成 “启用代理”和 “设置代理” 过程。 删除代理会重置 选择警报时间范围 引用时间点。
编辑代理
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 在左侧导航窗格中,选择“ 代理”。
- 选择“ 浏览代理”。
- 选择要编辑的代理的 “查看 代理”。 这会打开代理概述页。
- 选择 “编辑代理”。 这会打开 “编辑代理 ”页。
- 选择 “触发器”。
- 在这里,可以更改代理运行的时间, 代理将在一次一个警报上手动运行 ,或者 代理将根据设置的计划自动运行。
- 选择 “编辑 ”以更改 “选择警报时间范围 ”值以及代理将从中会审警报的策略。
- 如果选择“ 代理将在一次对一个警报手动运行”,则可以在解决方案的 “警报 ”页中选择一个警报。 将开关设置为 “警报会审代理 ”,然后选择“ 运行代理”。
- 还可以根据需要更改 意向 。
监视 SCU 使用情况
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 在左侧导航窗格中,选择“ 代理”。
- 选择“ 浏览代理”。
- 选择要编辑的代理的 “查看 代理”。 这会打开代理概述页。
- 选择 “编辑代理”。 这会打开 “编辑代理 ”页。
- 选择“使用情况监视”。
- 可以在 使用情况监视工具中跟踪 SCU 使用情况。
警报页概述
- 使用具有所需权限的帐户登录到 Microsoft Purview 门户。
- 打开要查看其会审警报的解决方案。
- 打开解决方案的 “警报 ”页。
- 在页面的右上角,有一个新的切换开关,允许你在警报页面的Standard视图和警报页面的会审代理视图之间进行选择。 将切换设置为“ 会审代理” 视图。 此视图显示代理已会审的警报。 警报按代理分组为四个类别:
- 全部
- 需要注意
- 不太紧急
- 未分类
后续步骤
有关查看会审警报的信息,请参阅特定于解决方案的文章。