共用方式為

資料安全性調查 (預覽) 中的Data risk graph

預覽資料安全性調查 (中的資料風險圖提供結合資產與活動資料於單一視圖中的視覺化調查體驗) 。 它由 Microsoft Sentinel 整合驅動,會彙整您調查範圍內任何檔案過去 30 天的活動。 它幫助您識別與感興趣內容互動的風險用戶帳號,並分析導致近期事件的事件順序。 透過豐富分析,加入活動洞察,資料風險圖表能幫助你更快且更有信心地解決資料安全事件。

欲了解更多關於 Microsoft Sentinel 整合的資訊,請參閱「了解 Microsoft Sentinel」在 Microsoft Purview 中的應用。

注意事項

管理員單位不在資料風險圖中被支援。 如果你被指定在管理單位,資料不會出現在資料風險圖中。

資料風險圖中支援的活動

目前資料風險圖支援以下外洩活動:

  • 在 SharePoint 或 OneDrive 中建立的匿名連結
  • 匿名連結可透過 SharePoint 或 OneDrive 使用
  • 在 SharePoint 或 OneDrive 建立的公司連結
  • 從 SharePoint 和 OneDrive 下載檔案
  • SharePoint 與 OneDrive 中的檔案重新命名

開始之前

在你能在預覽) 中使用資料風險圖資料安全性調查 (,請完成以下步驟:

設定資料風險圖

重要事項

Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。

完成前置步驟後,請依照以下步驟在預覽) 中配置資料風險圖資料安全性調查 (:

  1. 請使用指定為全域管理員安全管理員角色的帳號,前往 Microsoft Purview 入口網站

  2. 選擇資料安全性調查 (預覽) 解答卡,然後在左側導覽中選擇「概覽」。

  3. 設定任務 區塊中,選擇 設定資料湖與資料風險圖表

    如果你沒有正確的權限來設定資料湖,系統會顯示通知,要聯絡組織內的全域或帳單管理員。

  4. 設定資料湖 & 風險圖 (預覽) 設定標籤中,設定以下設定:

    1. 訂閱:輸入你想使用的 Azure 訂閱。 您所選的訂閱必須有效且可取得。 你必須是訂閱擁有者。
    2. 資源群組:輸入你想使用的資源群組。 你選擇的資源群必須有效且易於取得。

    重要事項

    資料湖在為特定 Azure 訂閱和資源群組設定後,無法將其遷移到其他訂閱或資源群組。

  5. 選取 [設定]

重要事項

當資料風險圖首次建立時,會包含最近七天的資料。 隨著資料風險圖隨時間刷新,回顧視窗可擴展至最多30天。 數據風險圖可能還需要一段時間才能達到完整的30天窗口,因此初期設定後可預期會逐漸成長。

設定流程開始,入職可能需要長達60分鐘完成。 你可以在程序執行時關閉設定面板。 導入流程完成後,你會看到「 完成 」, & 風險圖 (預覽) 。 資料風險圖顯示在 Microsoft Sentinel 資料湖建立或啟用後發生的事件。

調查資料及資料風險圖的初步處理可能需要24至48小時。

重要事項

你永遠只有一個資料湖。 如果你已經用其他 Microsoft 服務導入資料湖,你現有的資料湖也會被使用。 如果你從未正式導入資料湖,資料安全性調查 (預覽) 啟動時,Defender 入口網站Microsoft Sentinel資料湖和圖表。

使用資料風險圖

資料安全性調查 (預覽) 中的數據風險圖獨特地視覺化受影響資料、使用者與其活動之間的相關性。 它提供關鍵背景,指導緩解措施及後續步驟。 例如,當發現一份高度敏感的文件時,資料風險圖表能讓你看到哪些使用者下載了該文件,或是他們是否從高風險的 IP 位址存取。 這種可見性讓你能發現資料安全事件的新節點,例如新增使用者或需要調查的新內容。

要查看調查的資料風險圖,您必須至少被指派到一個內建的 資料安全性調查 (預覽) 角色群組:

  • 資料安全性調查管理員
  • 資料安全性調查調查人員
  • 資料安全性調查審查員

欲了解更多關於角色群組的資訊,請參閱資料安全性調查中的權限分配

資料安全性調查資料風險圖範例。

要使用預覽) 中資料安全性調查 (資料風險圖,請完成以下步驟:

  1. 前往 Microsoft Purview 入口網站,並設定一個 資料安全性調查 (預覽) 角色群組的帳號。

  2. 選擇資料安全性調查 (預覽) 解決方案卡,然後在左側導覽中選擇案例

  3. 選擇一項調查進行審查,然後選擇以下選項之一:

    1. 摘要中,請在調查範圍卡上選擇「管理範圍」。
    2. 選擇 「分析 」標籤以列出調查 範圍中的項目。

  4. 選擇範圍中包含最多 100) (項目,然後選擇 探索洞察

    注意事項

    除非你為資料湖和圖表設定預覽) 資料安全性調查 (,否則無法使用 Explore Insights Microsoft Sentinel。

  5. 依適用時間篩選,並選擇個別資料風險圖節點,以獲得分流時每個連線的更多資訊。

  6. 在圖中選擇使用者或資產上的 + 圖示來展開關係。

資料風險圖包含多個節點。 選擇節點可顯示該節點的詳細資訊:

  • 使用者資料:顯示與調查相關的使用者資訊。 這些資訊包含每位使用者的組織資訊,如使用者主體名稱 (UPN) 、標籤、地點、職稱等。
  • 關係:顯示節點間起始與結束連接的資訊。 這些資訊包括開始與最後交往日期、關係類型等。
  • IP 位址:顯示每個 IP 位址節點的資訊。
  • 資料細節:顯示檔案與地點的資訊。 這些資訊包括物件位置、類型、標籤等。

您可以根據過去 30 天的活動查看用戶的數據風險圖資訊。 這個期限是固定的,不能延長。

  • Last updated on