通过

调查内部风险管理活动

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 预览体验成员风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

调查潜在风险的用户活动是最大程度地降低组织内部风险的重要一步。 这些风险可能是从内部风险管理策略生成警报的活动。 它们也可能是策略检测到的合规性相关活动的风险,但不会立即为用户创建内部风险管理警报。

显示如何生成内部风险管理警报的图形。

可以通过使用用户活动报告预览体验成员风险管理中的会审代理Standard警报仪表板来调查这些类型的活动。

会审警报

调查和处理内部风险管理中的警报包括以下步骤:

  1. 查看仪表板以获取警报。 在Standard 仪表板,按警报状态进行筛选,找到“需要”查看警报。 还可以对仪表板使用聚焦警报来快速查看已确定优先级的警报。 在“警报会审代理”仪表板,选择“需要注意”筛选器以查看优先级最高的警报。
  2. 从严重性最高的警报开始。 根据需要按警报严重性进行筛选,以帮助查找这些类型的警报。
  3. 选择警报以发现详细信息并查看警报详细信息。 查看与警报关联的详细信息和连接:
    1. 使用“活动资源管理器”选项卡可以查看关联潜在风险行为的时间线,并确定警报的所有风险活动。
    2. 使用 数据风险图 查看有关警报的用户和文件的连接和详细信息。
  4. 对警报进行作。 可以确认并 创建警报案例 ,也可以消除并解决警报。

可以通过转到任一仪表板中的警报的警报详细信息页来对警报进行会审。 在 “警报详细信息 ”页上,可以查看有关警报的信息。 可以确认警报并创建新案例、确认警报并添加到现有案例或消除警报。

此页还包括警报的当前状态和警报风险严重性级别(列为 “高”、“ 中”“低”)。 如果未对警报进行会审,则严重性级别可能会随着时间的推移而增加或降低。 对于误报,可以选择多个警报,并通过选择“ 消除警报”批量消除它们

使用 Copilot 汇总警报

选择“ 使用 Copilot 汇总 ”或“Copilot”图标可快速汇总警报,并确定需要进一步调查的警报的优先级。 无需打开警报或在查看警报详细信息后,即可汇总所选警报。 在 Microsoft Purview 中汇总包含Microsoft Copilot的警报时,屏幕右侧会显示一个 Copilot 窗格,其中包含警报摘要。

警报摘要包括有关警报的所有基本详细信息,例如触发警报的策略、生成警报的活动、触发事件、涉及的用户、其上一个工作日期 ((如果适用)) 、任何关键用户属性以及用户的主要风险因素。 Microsoft Purview 中的 Copilot 整合了所有警报和范围内策略中有关用户的信息,并强调用户的首要风险因素。

建议的提示会自动显示,以帮助进一步优化摘要,并提供有关与警报关联的活动的其他见解。 从以下建议的提示中进行选择:

  • 列出涉及此用户的所有数据外泄活动
  • 列出涉及此用户的所有顺序活动
  • 用户是否参与任何异常行为?
  • 显示用户在过去 10 天内执行的关键作
  • 汇总用户过去 30 天的活动

提示

还可以使用独立版本的 智能 Microsoft Security Copilot 副驾驶® 来调查 Insider Risk Management、Microsoft Purview 数据丢失防护 (DLP) ,以及Microsoft Defender XDR警报

聚焦 (预览)

警报仪表板上的警报聚焦可帮助你确定要会审的警报的优先级。 每个生成的警报都有风险评分、执行的活动列表、标记和触发器。 警报聚焦使用此信息来确定警报是否已聚焦。

如果警报的风险分数为 85 或更高,并且至少满足以下三个条件,则会自动聚焦警报:

  • 下表中的一个见解与警报的最高见解相匹配。
  • 警报包含优先级内容,或者用户被检测为 潜在的高影响用户
  • 手动将用户 引入范围
  • 警报活动包含下表中的两个或多个高置信度见解。
类别 指示器 (高置信度见解)
设备指示器 - 创建文件或将文件传输到网络共享
- 创建文件或将文件复制到 USB
- 使用浏览器将文件上传到 Web
Office 指示器 - 与组织外部人员共享 SharePoint 文件
- 与组织外部人员共享 SharePoint 文件夹
- 在 Teams 聊天中与组织外部的人员共享文件链接
策略 - 要确定优先级的内容
- 为用户启动评分活动
风险分数提升器 - 用户被检测为潜在的高影响用户
序列检测 - 从 Microsoft 365 位置下载,然后外泄
- 从 Microsoft 365 位置下载,外泄,然后删除
- 从 Microsoft 365 位置下载,模糊处理,然后外泄

Insider Risk Management 仪表板 中的会审代理

在组织中的 Insider Risk Management 中启用会审代理时,代理将评审警报,并在会审代理仪表板上显示警报。 此仪表板自动包括优先级警报和筛选器,以帮助预览体验成员风险管理分析师快速调查和解决问题。

可以自定义仪表板列,并按优先级、日期、警报状态或警报范围筛选代理会审的警报。 若要查看会审代理仪表板,请选择“仪表板”页顶部的“会审代理”。

选择警报以显示警报的代理摘要和概述详细信息。 选择“ 查看详细信息 ”可查看警报的详细信息,以及访问风险因素、活动资源管理器等详细信息部分。

如果不同意 代理分类,请选择“ 分类反馈 (预览) ,提供有关分类不正确的原因的反馈。

重要

已弃用会审代理的文件风险部分。

查看 内部风险管理警报会审体验视频 ,大致了解警报如何为风险活动提供详细信息、上下文和相关内容,以及如何使调查过程更加有效。

Standard警报仪表板

内部风险管理警报由内部风险管理策略中定义的风险指示器自动生成,并显示在Standard警报仪表板上。 这些警报为合规性分析师和调查人员提供了当前风险状态的全方位视图,并允许组织对发现的潜在风险进行会审和采取作。 默认情况下,策略会生成一定数量的低、中和高严重性警报,但你可以 根据需要增加或减少警报量 。 此外,在使用策略创建工具创建新策略时,可以为策略 指示器配置警报阈值 。 若要查看Standard 仪表板,请选择仪表板页面顶部的“Standard”。

注意

对于任何生成的警报,预览体验成员风险管理会为每个用户生成一个聚合警报。 系统将该用户的任何新见解添加到同一警报。

重要

如果 按一个或多个管理单元来限定策略范围,则只能看到所针对用户的警报。 例如,如果管理范围仅适用于德国的用户,则只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有警报。

受限管理员无法访问通过管理单元中添加的安全组或通讯组分配给他们的用户的警报。 此类用户警报仅对不受限制的管理员可见。 Microsoft建议将用户直接添加到管理单元,以确保其警报也对分配了管理单元的受限管理员可见。

筛选警报、保存筛选器集的视图、自定义列或搜索警报

根据组织中活动预览体验成员风险管理策略的数量和类型,查看大型警报队列可能具有挑战性。 为了帮助你跟踪警报,可以:

  • 按各种属性筛选警报。
  • 保存筛选器集的视图,以便稍后重复使用。
  • 显示或隐藏列。
  • 搜索警报。
  • 查看警报报告。

筛选警报

  1. 选择“ 添加筛选器”。

  2. 选择以下一个或多个属性:

    属性 说明
    生成警报的活动 显示导致警报的活动评估期间最潜在风险的活动和策略匹配项。 此值可能会随着时间推移而更新。
    警报消除原因 消除警报的原因。
    分配到 警报分配到的管理员(如果已分配) (进行会审)。
    策略 策略的名称。
    风险因素 有助于确定用户活动风险的风险因素。 可能的值包括 累积外泄活动活动包括优先级内容序列活动活动包括未启用的域优先级用户组的成员潜在高影响用户
    严重性 用户的风险严重性级别。 这些选项包括
    状态 警报的状态。 这些选项包括关闭需求审阅以及解决方案
    检测到的时间 (UTC) 创建警报的开始和结束日期。 筛选器在开始日期的 UTC 00:00 和结束日期的 UTC 00:00 之间搜索警报。
    触发事件 将用户引入策略范围的事件。 触发事件可能会随着时间的推移而更改。

    所选属性将添加到筛选器栏。

  3. 在筛选器栏中选择一个属性,然后选择要筛选依据的值。 例如,选择“ 检测到的时间 (UTC) 属性,在 ”开始日期 “和”结束日期“字段中输入或选择 日期 ,然后选择” 应用”。

    提示

    若要随时重新开始,请在筛选器栏上选择“ 全部重置 ”。

保存筛选器集的视图,以便稍后重复使用

  1. 应用上述过程中所述的筛选器后,选择“ 保存”,输入筛选器集的名称,然后选择“ 保存”。

    筛选器集将添加为卡。 它包含一个数字,显示满足筛选器集中条件的警报计数。

    注意

    最多可以保存五个筛选器集。 若要删除筛选器集,请选择卡右上角的省略号 (三点) ,然后选择“删除”。

  2. 若要重新应用已保存的筛选器集,请选择筛选器集的卡。

显示或隐藏列

  1. 在页面右侧,选择“ 自定义列”。
  2. 选中或清除要显示或隐藏的列的复选框。

列设置跨会话和跨浏览器保存。

搜索警报

使用 “搜索” 控件可搜索 UPN) (用户主体名称、分配的管理员名称或警报 ID。

查看警报报告

转到“预览体验计划风险管理>报告>警报”,查看生成的警报、按区域发出的警报、通过触发事件发出的警报等。

“警报详细信息”页的“标头/摘要”部分

只有在从Standard 仪表板选择警报时,“警报详细信息”页中的此部分才可用,并包含有关用户和警报的一般信息。 可以在查看有关用户警报中包含的检测到的风险管理活动的详细信息时,将此信息用于上下文:

  • 生成此警报的活动:显示导致生成警报的活动评估期间最潜在风险的活动和策略匹配项。
  • 触发事件:显示最新的触发事件,该事件提示策略开始为用户的活动分配风险分数。 如果配置了与通信合规性的集成,以便针对有风险的用户泄露或风险用户策略违反安全策略,则这些警报的触发事件的范围限定为通信合规性活动。
  • 用户详细信息:显示有关分配给警报的用户的常规信息。 如果启用了匿名化,则用户名、电子邮件地址、别名和组织字段将匿名。
  • 用户警报历史记录:显示过去 30 天内用户的警报列表。 包含一个链接,用于查看用户的完整警报历史记录。

注意

当用户被检测为潜在的高影响用户时,此信息将突出显示在 “用户详细信息 ”页的警报标头中。 用户详细信息还包括一个摘要,其中包含检测到用户的原因。 若要详细了解如何为潜在高影响力用户设置策略指标,请参阅 Insider Risk Management 设置

从范围限定为仅包含 优先级内容的 活动的策略生成的警报包括本部分中 针对此警报通知仅评分具有优先级内容的活动

提示

若要快速了解警报,请在警报详细信息页上选择“ 汇总 ”。 选择“ 汇总”时,页面右侧会显示一个 Copilot 窗格,其中包含警报摘要。 警报摘要包括有关警报的所有基本详细信息,例如触发的策略、生成警报的活动、触发事件、涉及的用户、其上一个工作日期 ((如果适用)) 、任何关键用户属性以及用户的主要风险因素。 Microsoft Purview 中的 Copilot 整合了所有警报和范围内策略中有关用户的信息,并强调用户的首要风险因素。 还可以汇总警报队列中的警报,而无需使用 Copilot 打开警报。 或者,使用独立版本的 智能 Microsoft Security Copilot 副驾驶® 调查 Insider Risk Management、Microsoft Purview 数据丢失防护 (DLP) 和Microsoft Defender XDR警报

“代理摘要”选项卡

只有在从 Insider Risk Management 仪表板的会审代理中选择警报时,“警报详细信息”页中的此部分才可用。 代理摘要信息包括有关警报分类的详细信息,以及有关会审过程中使用的相关风险的详细信息。

“所有风险因素”选项卡

“警报详细信息”页中的此选项卡可用于两仪表板视图中的警报。 它将打开用户警报活动的风险因素摘要。 风险因素可帮助你确定审查期间用户风险管理活动的风险程度。 风险因素包括以下内容的摘要:

  • 累积外泄活动:与累积外泄活动关联的事件。
  • 运行状况记录访问:与访问运行状况记录相关的事件的潜在风险活动。
  • 优先级内容:与优先级内容关联的潜在风险活动。
  • 有风险的浏览器使用:与浏览到可能不适当的网站相关的事件的潜在风险活动。
  • 活动序列:检测到与风险序列关联的潜在风险活动。
  • 顶级外泄活动:警报事件数最多的外泄活动。
  • 未关联的域:与未关联的域关联的事件的潜在风险活动。
  • 此用户的异常活动:被视为有潜在风险的用户的特定活动,因为它们不寻常,并且不同于其典型活动。

使用这些筛选器时,只会看到具有这些风险因素的警报,但生成警报的活动可能不属于上述任何类别。 例如,可能只是因为用户将文件复制到 USB 设备而生成包含序列活动的警报。

检测到的内容

所有风险因素 ”选项卡上的此部分包括与警报的风险活动关联的内容,并按关键区域汇总活动事件。 选择活动链接将打开活动资源管理器,并显示有关该活动的更多详细信息。

“活动资源管理器”选项卡

注意

在组织中提供此功能后,活动资源管理器在警报管理区域中可供具有触发事件的用户使用。

活动资源管理器”选项卡可用于两仪表板视图中的警报。 它为风险调查人员和分析师提供了一个全面的分析工具,该工具提供有关警报的详细信息。 使用活动资源管理器,审阅者可以快速查看检测到的潜在风险活动的时间线,并识别和筛选与警报关联的所有风险活动。

使用活动资源管理器

在活动资源管理器中查看活动时,调查人员和分析师可以选择特定活动并打开活动详细信息窗格。 窗格显示有关调查人员和分析师在警报会审过程中可以使用的活动的详细信息。 详细信息可能会提供警报的上下文,并有助于识别触发警报的风险活动的全部范围。

从活动时间线选择活动的事件时,资源管理器中显示的活动数可能与时间线中列出的活动事件数不匹配。 出现此差异的原因示例包括:

  • 累积外泄检测:累积外泄检测会分析事件日志,但应用一个模型,该模型包括对类似活动进行重复数据删除以计算累积外泄风险。 此外,如果对现有策略或设置进行更改,则活动资源管理器中显示的潜在风险活动数量可能会有所不同。 例如,如果在创建策略后修改允许/不允许的域或添加新的文件类型排除项,并发生潜在风险活动匹配,则累积外泄检测活动与策略或设置更改之前的结果不同。 累积外泄检测活动总数基于计算时的策略和设置配置,不包括策略和设置更改之前的活动。
  • 发送给外部收件人的电子邮件:发送给外部收件人的电子邮件的潜在风险活动根据发送的电子邮件数量分配风险分数,这可能与活动事件日志不匹配。

内部风险管理活动资源管理器详细信息。

包含从风险评分中排除的事件的序列

序列可能包含一个或多个事件,这些事件根据设置配置从风险评分中排除。 例如,组织可以使用 全局排除 设置 从风险评分中排除 .png 文件,因为 .png 文件通常没有风险。 但是,.png 文件可用于模糊处理恶意活动。 因此,如果由于混淆活动而从风险评分中排除的事件是序列的一部分,则该事件将包含在序列中,因为它在序列的上下文中可能很有趣。

活动资源管理器显示序列中排除事件的以下信息:

  • 如果序列包含排除 所有 事件的步骤,则见解仅包括活动名称和日期。 选择“ 查看排除的事件” 链接,在活动资源管理器中筛选排除的事件。 如果排除所有事件,则用户活动散点图图标的风险分数为 0。
  • 如果序列具有排除 某些 事件的见解,则会显示非排除事件的事件信息,但事件计数不包括排除的事件。 选择“ 查看排除的事件” 链接,在活动资源管理器中筛选排除的事件。
  • 如果选择 序列链接 以获取见解,则可以在活动详细信息窗格中向下钻取事件序列,包括从评分中排除的任何事件。 从评分中排除的事件标记为 “已排除”。

在活动资源管理器中筛选警报

若要在活动资源管理器中筛选列信息的警报,请选择“ 筛选器”。 可以按警报的详细信息窗格中列出的一个或多个属性筛选警报。 活动资源管理器还支持可自定义的列,以帮助调查人员和分析师将仪表板集中在对他们最重要的信息上。

使用 “活动范围”、“ 风险因素”和“ 查看状态 ”筛选器可显示和排序以下领域的活动和见解。

  • 活动范围:筛选用户的所有评分活动。

    • 此用户的所有评分活动
    • 此警报中仅对活动评分

  • 风险因素:适用于分配风险分数的所有策略的风险因素活动的筛选器 这包括范围内用户的所有策略的所有活动。

    • 异常活动
    • 包括具有优先级内容的事件
    • 包括具有未注册域的事件
    • 序列活动
    • 累积外泄活动
    • 运行状况记录访问活动
    • 有风险的浏览器使用

  • 评审状态:筛选器活动评审状态。

    • 全部
    • 尚未查看 (筛选掉已消除或已解决警报)

预览体验计划风险管理活动资源管理器概述

“用户活动”选项卡

用户活动”选项卡可用于两仪表板视图中的警报。 它是内部风险管理解决方案中针对警报和案例进行内部风险分析和调查的最强大的工具之一。 此选项卡的结构用于快速查看用户的所有活动,包括所有警报的历史时间线、警报详细信息、用户的当前风险评分和风险事件序列。

Insider Risk Management 用户活动

  1. 案例作:事例作工具栏提供用于解决事例的选项。 查看案例时,可以解决案例、向用户发送电子邮件通知,或升级案例进行数据或用户调查。

  2. 风险活动年表:与案例关联的所有风险警报的完整年表,包括相应警报气泡中提供的所有详细信息。

  3. 筛选和排序 (预览)

    • 风险类别:按以下风险类别筛选活动: 风险评分为 > 15 (除非按顺序) 序列活动
    • 活动类型:按以下类型筛选活动: 访问删除集合外泄渗透模糊处理安全性自定义指示器防御规避特权提升通信风险用户泄露风险AI 使用情况
    • 排序依据:按发生日期风险分数列出潜在风险活动的时间线。

  4. 时间筛选器:默认情况下,“用户活动”图表显示过去三个月的潜在风险活动。 通过选择气泡图上的“ 6 个月”、“ 3 个月”或“ 1 个月 ”选项卡,可以轻松筛选图表视图。

  5. 风险顺序:潜在风险活动的时间顺序是风险调查的一个重要方面。 识别这些相关活动是评估组织整体风险的重要部分。 相关的警报活动会显示连接线,以突出显示这些活动与更大的风险区域相关联。 在此视图中,序列还通过相对于序列的风险评分位于序列活动的图标来标识序列。 将鼠标悬停在图标上可查看与此序列关联的风险活动的日期和时间。 这种活动视图可帮助调查人员对可能被视为独立事件或一次性事件的风险活动“连接点”。 选择序列中的图标或任何气泡,以显示所有关联风险活动的详细信息。 详细信息包括:

    • 序列的名称
    • 序列的日期日期范围
    • 序列的风险评分。 此分数是序列中每个相关活动的组合警报风险严重性级别序列的数字分数。
    • 与序列中每个警报关联的事件数。 还提供了指向与每个潜在风险活动关联的每个文件或电子邮件的链接。
    • 按顺序显示活动。 将序列显示为气泡图上的突出显示线,并展开警报详细信息以显示序列中的所有相关警报。

  6. 风险警报活动和详细信息:潜在风险活动在“用户活动”图表中以彩色气泡的形式直观显示。 为不同类别的风险创建气泡。 选择气泡以显示每个潜在风险活动的详细信息。 详细信息包括:

    • 风险活动的日期
    • 风险活动类别。 例如,Email () ,其中包含在组织外部发送的附件从 SharePoint Online 下载 ()
    • 警报的风险分数。 此分数是警报风险严重性级别的数字分数。
    • 与警报相关联的事件数。 还提供了指向与风险活动关联的每个文件或电子邮件的链接。

  7. 累积外泄活动:选择此选项可查看用户活动随时间推移的生成方式的可视化图表。

  8. 风险活动图例:在用户活动图表底部,颜色编码的图例可帮助你快速确定每个警报的风险类别。

“数据风险图”选项卡

重要

无法在启用 匿名用户名隐私设置 的情况下使用此功能。

数据风险图”选项卡可用于两仪表板视图中的警报。 数据风险图通过与 Microsoft Sentinel 集成提供支持,可在交互式图形体验中查看受影响资产、用户及其活动之间的连接。

内部风险管理数据风险图示例。

有关数据风险图的详细信息,请参阅 Insider Risk Management 中的数据风险图

保存筛选器视图以供以后重复使用

如果创建筛选器并自定义筛选器的列,则可以保存更改的视图,以便你或其他人稍后可以再次快速筛选相同的更改。 保存视图时,将同时保存筛选器和列。 加载视图时,它将加载保存的筛选器和列。

  1. 创建筛选器并自定义列。

    提示

    若要随时重新开始,请选择“ 重置”。 若要更改自定义的列,请选择“ 重置列”。

  2. 如果按所需方式进行筛选,请选择“ 保存此视图”,输入视图的名称,然后选择“ 保存”。

    注意

    视图名称的最大长度为 40 个字符,不能使用任何特殊字符。

  3. 若要稍后重用筛选器的视图,请选择“ 视图”,然后从“ 推荐视图 ”选项卡选择要打开的视图, (显示最常用的视图) 或 “自定义视图 ”选项卡, (最常用的筛选器显示在列表顶部) 。

以这种方式选择视图时,它会重置所有现有筛选器,并将其替换为所选视图。

警报状态和严重性

注意

内部风险管理限制触发处理,以帮助保护和优化风险调查和评审体验。 此限制可防止可能导致策略警报过载的问题,例如错误配置的数据连接器或数据丢失防护策略。 内部风险管理不会处理超出限制限制的信号。 详细了解内部风险管理中的限制

可以将警报会审为以下状态之一:

  • 已确认:已确认并分配给新案例或现有案例的警报。
  • 已消除:在会审过程中作为良性消除的警报。 你可以提供警报消除的原因,并包括用户警报历史记录中可用的注释,以便为将来的参考或其他审阅者提供其他上下文。 原因可能涉及预期活动、非实际事件、仅减少用户的警报活动数或与警报说明相关的原因。 原因分类选项包括 预期对此用户的活动活动的影响足以让我进一步调查,以及 此用户的警报包含过多活动
  • 需要评审:尚未执行会审作的新警报。
  • 已解决:属于已关闭和已解决事例的警报。

警报风险分数会自动根据多个风险活动指标进行计算。 这些指标包括风险活动类型、活动发生次数和活动频率、用户风险活动的历史记录,以及可能提高潜在风险活动的严重性的活动风险的添加。 警报风险评分驱动每个警报的风险严重性级别的编程分配,无法自定义。 如果不对警报进行会审,并且风险活动继续累积到警报中,则风险严重性级别可能会增加。 风险分析师和调查人员可以使用警报风险严重性来帮助根据组织的风险策略和标准对警报进行会审。

警报风险严重性级别为:

  • 严重性高:警报的潜在风险活动和指示器构成重大风险。 关联的风险活动严重、重复,并强烈建议其他重大风险因素。
  • 中等严重性:警报的潜在风险活动和指示器构成中等风险。 关联的风险活动适中、频繁,且与其他风险因素具有一些相关性。
  • 低严重性:警报的潜在风险活动和指示器构成小风险。 相关风险活动较小,比较少见,并且与其他重大风险因素无关。

消除多个警报 (预览)

为了节省会审时间,分析师和调查人员可以同时消除多个警报。 使用“消除警报”命令栏选项,可以选择仪表板上具有“需要评审”状态的一个或多个警报,并快速将这些警报作为良性警报消除。 一次最多可以选择 400 个要消除的警报。

消除内部风险警报

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择具有”需要评审“状态的警报。
  5. 在“警报”命令栏上,选择“ 消除警报”。
  6. “消除警报 详细信息”窗格中,查看与所选警报关联的用户和策略详细信息。
  7. 选择“ 消除警报 ”,将警报解析为良性警报。

警报报告

若要查看警报报表,请转到 “报告” 页。 “ 报表 ”页上的每个报表小组件都显示过去 30 天的信息:

  • 需要评审的警报总数:需要评审和会审的警报总数,包括按警报严重性划分的警报总数。
  • 过去 30 天的打开警报:策略创建的警报总数与过去 30 天匹配,按高、中和低警报严重性级别排序。
  • 解决警报的平均时间:有用警报统计信息的摘要:
    • 解决高严重性警报的平均时间,以小时、天或月列出。
    • 解决中等严重性警报的平均时间,以小时、天或月列出。
    • 解决低严重性警报的平均时间,以小时、天或月列出。

分配警报

如果你是管理员,并且是 Insider Risk ManagementInsider Risk Management 分析师Insider Risk Management 调查人员 角色组的成员,则可以将警报的所有权分配给自己或具有相同角色之一的 Insider Risk Management 用户。 分配警报后,可以将其重新分配给具有任何相同角色的用户。 一次只能将警报分配给一个管理员。

注意

如果将 策略范围限定为一个或多个管理单元,则只能将警报的所有权授予具有相应角色组权限的 Insider Risk Management 用户。 警报中突出显示的用户必须位于管理单元的范围内。 例如,如果管理范围仅适用于德国的用户,则 Insider Risk Management 用户只能看到德国用户的警报。 不受限制的管理员可以查看组织中所有用户的所有警报。

分配管理员后,可以按管理员进行搜索。

注意

警报分配不支持Microsoft Entra安全组中包含的管理员。 必须将管理员直接分配到所需的角色之一。

如果使用自定义组,请确保自定义组包含 案例管理 角色Insider Risk Management 分析师Insider Risk Management 调查员角色组都包含案例管理角色,但如果使用的是自定义组,则必须将案例管理角色显式添加到该组。

从警报仪表板分配警报

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要分配的警报。
  5. 在警报队列的命令栏中,选择“ 分配”。
  6. 在屏幕右侧的“ 分配所有者 ”窗格中,搜索具有相应权限的管理员,然后选中该管理员的复选框。
  7. 选择“分配”。

从“警报详细信息”页分配警报

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. 选择警报。
  5. 在警报的详细信息窗格中,选择页面右上角的“ 分配”。
  6. “建议的联系人 ”列表中,选择相应的管理员。

为警报创建案例

创建警报案例,以调查潜在风险活动。

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 警报 ”。
  4. “警报仪表板,选择要确认的警报并为其创建新案例。
  5. “警报详细信息”窗格中,选择“ >”“确认警报 & 创建案例”。
  6. “确认警报并创建内部风险案例 ”对话框中,输入案例的名称,选择要添加为参与者的用户,并添加注释(如果适用)。 批注自动添加到案例中作为事例说明。
  7. 选择“ 创建案例 ”以创建新案例。

创建案例后,调查人员和分析师可以管理和处理该案例。 有关详细信息,请参阅 Insider Risk Management 案例 一文。

保留期和项限制

随着内部风险管理警报的过期,它们对将潜在风险活动降到最低的价值将降低。 相反,活动案例和关联的项目 (警报、见解、活动) 始终提供值,并且没有自动到期日期。 此保留策略包括与活动案例关联的任何用户处于活动状态的所有未来警报和项目。

为了尽量减少提供有限当前值的旧项目数,以下保留期和限制适用于预览体验成员风险管理警报、案例和用户报告:

项目 保留/限制
活动案例 (和关联的项目) 无限期保留,永不过期
具有“需要”评审状态的警报 创建警报后 120 天,然后自动删除
活动事例的最大数目 100
已解决 (和关联的项目) 事例 从案例解决起 120 天,然后自动删除
用户活动报告 创建报表后 120 天,然后自动删除

管理警报数量的最佳做法

查看、调查潜在有风险的预览体验成员警报并采取行动是最大程度地减少组织中内部成员风险的重要部分。 快速采取措施以最大程度地降低这些风险的影响,可能会为组织节省时间、金钱和法规或法律影响。 了解管理内部风险管理警报队列的最佳做法

另请参阅

  • Last updated on