重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 预览体验成员风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
启用Microsoft Purview 内部风险管理分析后,可以获得一些重要优势。 可以执行下列操作:
- 评估组织中潜在的内部成员风险,而无需配置任何内部风险策略。
- 获取有关配置指示器阈值设置的实时指导。
- 为不属于策略的用户生成内部风险严重性和用户活动摘要。 与数据丢失防护、通信合规性和Microsoft Defender共享此摘要信息。
评估组织中的内部成员风险
Microsoft Purview 内部风险管理分析使你无需配置任何内部风险策略即可评估组织中潜在的内部成员风险。 此评估可帮助组织识别用户风险较高的潜在区域,并帮助确定要配置的预览体验成员风险管理策略的类型和范围。 分析扫描为组织提供以下优势:
- 易于配置:在分析建议提示时选择 “运行扫描 ”,或转到 “预览体验成员风险设置>分析 ”并启用分析。
- 隐私设计:扫描的结果和见解作为聚合和匿名的用户活动返回。 审阅者无法识别单个用户名。 由于预览体验成员风险管理不会对组织中的任何标识进行分类以便进行分析,因此解决方案会考虑离开组织边界的数据中可能涉及的所有 UPN/标识。 此过程可能涉及用户帐户、系统帐户、来宾帐户等。
- 通过整合的见解了解潜在风险:扫描结果可帮助你快速确定用户的潜在风险领域,以及哪些策略最有助于缓解这些风险。
若要了解分析如何帮助加速识别潜在内部风险,请参阅 预览体验计划风险管理分析视频。
扫描的区域
Analytics 扫描多个源的风险管理活动,以帮助你识别潜在风险领域的见解。 根据当前配置,分析在以下方面查找符合条件的风险活动:
- Microsoft 365 个审核日志:此主要源包含在所有扫描中,可帮助你识别大多数潜在风险活动。
- Exchange Online:Exchange Online活动包含在所有扫描中,可帮助你识别附件中的数据通过电子邮件发送给外部联系人或服务的活动。
- Microsoft Entra ID:包含在所有扫描中,Microsoft Entra历史记录有助于识别与已删除用户帐户的用户关联的风险活动。
- Microsoft 365 HR 数据连接器:如果已配置, HR 连接器 事件可帮助你识别与具有辞职或即将终止日期的用户关联的风险活动。
来自扫描的分析见解使用与内部风险管理策略相同的风险管理活动信号。 它们基于单个和序列用户活动报告结果。 但是,分析的风险评分最多使用 10 天的活动,而内部风险策略使用每日活动获取见解。 首次在组织中启用和运行分析时,会看到一天的扫描结果。 如果保持启用分析功能,将看到每日扫描的结果添加到见解报表,了解前 10 天活动的最大范围。
接收有关配置指示器阈值设置的实时指南
手动优化策略以减少“干扰”可能是一种耗时的体验,需要大量的试错测试来确定策略的所需配置。 如果启用分析,则可以获取实时见解,帮助你有效地调整活动发生的指标和阈值选择,这样就不会收到太少或过多的策略警报。 详细了解如何使用实时分析来帮助管理警报量。
启用分析并开始扫描组织中的潜在内部风险
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
若要启用内部风险分析,你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。
- 使用 Microsoft 365 组织中的管理员帐户登录到 Microsoft Purview 门户 。
- 转到 预览体验成员风险管理 解决方案。
- 在“概述”选项卡上,向下滚动到“预览体验成员风险分析”卡,然后在“扫描组织中的内部成员风险”下,选择“运行扫描”。 此作为组织启用分析扫描。 分析扫描结果可能需要长达 48 小时才能将见解作为报表提供以供审阅。
提示
还可以通过任何预览体验成员风险管理页面顶部的 “设置” 在组织中启用扫描。 选择“ 分析”,然后打开设置。
在第一次分析扫描后查看分析见解
若要查看组织中分析扫描的结果,请转到 Insider Risk Management>Reports>Analytics。 有关报表的详细信息,请参阅 在 Insider Risk Management 中使用报表。
关闭分析
若要关闭内部风险分析,你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
- 使用 Microsoft 365 组织中的管理员帐户登录到 Microsoft Purview 门户 。
- 选择页面右上角的“设置”。
- 选择“ 预览体验成员风险管理 ”,转到“预览体验成员风险管理”设置。
- 在 “预览体验成员风险设置”下,选择“ 分析”,然后关闭设置。
禁用分析时:
- 分析见解报告停止更新,不会显示新风险。
- 自定义 策略的指示器阈值设置时,看不到实时分析。
在组织中启用用户级分析
内部风险管理为用户级别的潜在风险行为生成用户活动摘要和内部风险严重性见解。 可以在以下体验中查看这些见解:
- 数据丢失防护 (DLP) 警报
- 通信合规性策略
- Microsoft Defender用户实体页和警报
用户分析涵盖组织中所有符合条件的用户,包括不在任何内部风险管理策略范围内的用户。 在调查Microsoft Defender、DLP 或通信合规性中的警报时,分析师会自动访问有助于改进风险评估的用户信息。 分析师还可以使用内部风险严重性来快速识别最严重和最时间敏感的警报,并确定这些警报的优先级,以便进行调查和修正。
若要启用内部风险用户级分析,你必须是 Insider Risk Management、 Insider Risk Management 管理员或 Microsoft 365 全局管理员 角色组的成员。
重要
Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。
- 使用 Microsoft 365 组织中的管理员帐户登录到 Microsoft Purview 门户 。
- 选择页面右上角的“设置”。
- 选择“ 预览体验成员风险管理 ”,转到“预览体验成员风险管理”设置。
- 在 “预览体验成员风险管理设置”下,选择“ 分析 ”并打开“ 在用户级别显示见解” 设置。
- 在 “预览体验成员风险管理设置”下,选择“ 数据共享 ”,并打开“ 与其他安全解决方案共享用户风险详细信息 ”设置。