內部風險管理中的資料風險圖

內部 風險管理 中的資料風險圖表提供一種視覺化的調查體驗，將資產與活動資料整合於單一視圖中。 它由 Microsoft Sentinel 整合驅動，能總結過去 30 天內潛在內部人員的警報相關活動，協助分析師透過揭示隱藏的上下文連結來分流警示。

欲了解更多關於 Microsoft Sentinel 整合的資訊，請參閱「了解 Microsoft Sentinel」在 Microsoft Purview 中的應用。

資料風險圖中支援的活動

目前資料風險圖支援以下外洩活動：

• 在 SharePoint 或 OneDrive 中建立的匿名連結
• 匿名連結可透過 SharePoint 或 OneDrive 使用
• 在 SharePoint 或 OneDrive 建立的公司連結
• 從 SharePoint 和 OneDrive 下載檔案
• SharePoint 與 OneDrive 中的檔案重新命名

欲了解更多關於外洩偵測指標的資訊，請參閱內部 風險管理中的「設定政策指標」。

開始之前

在您能在內部風險管理中使用資料風險圖表之前，請先完成以下步驟：

• 了解貴組織的 Microsoft Sentinel 中隨用即付計費。
• 配置 Microsoft Sentinel data lake 與 Microsoft Sentinel graph 的前置條件
• 檢視啟用 Microsoft Sentinel 資料湖與 Microsoft Sentinel 圖形時所做的變更
• 至少為支援的資料外洩活動設定一項內部 風險管理政策 。

設定資料風險圖

在完成前置條件並了解 Microsoft Sentinel 資料湖與圖表對組織所做的變更後，請在 Insider Risk Management 中完成以下步驟來設定資料風險圖：

1. 請使用指定為全域管理員或安全管理員角色的帳號，前往 Microsoft Purview 入口網站。

2. 選擇內部 風險管理 解決方案卡片，然後在左側導覽中選擇 「建議行動 」。

3. 在 「全面保護 」區塊中，選擇 「設定資料湖與資料風險圖表」。

   如果你沒有正確的權限來設定資料湖，系統會顯示通知，要聯絡組織內的全域或帳單管理員。

4. 在「設定資料湖 & 風險圖」的設定標籤中，設定以下設定：

   1. 訂閱：輸入你想使用的 Azure 訂閱。 您所選的訂閱必須有效且可存取，且您必須是訂閱擁有者。
   2. 資源群組：輸入你想使用的資源群組。 你選擇的資源群必須有效且易於取得。

   重要事項

   資料湖在為特定 Azure 訂閱和資源群組設定後，無法將其遷移到其他訂閱或資源群組。

5. 選取 [設定]。

設定流程開始，入職可能需要長達60分鐘完成。 你可以在程序執行時關閉設定面板。 導入流程完成後，你會看到「已完成於設定資料湖 & 風險圖。 資料風險圖顯示在 Microsoft Sentinel 資料湖建立或啟用後發生的事件。

調查資料及資料風險圖的初步處理可能需要24至48小時。

使用資料風險圖

內部風險管理中的資料風險圖能獨特地視覺化受影響資料、使用者與其活動之間的相關性。 它提供關鍵背景，指導緩解措施及後續步驟。 例如，當你發現與高度敏感文件相關的警示時，資料風險圖表能讓你看到哪些使用者下載了該文件，或是他們是否從高風險的 IP 位址存取。 這種可見性讓你能發現資料安全事件的新節點，例如新增用戶或與警示相關的新內容。

要查看警報的資料風險圖，您必須被指派為 內部風險管理圖譜閱讀 器角色。 此角色預設包含於多個內部風險管理內建的角色群組中。 欲了解更多資訊，請參閱 內部風險管理中的權限分配。

要在內部風險管理中使用資料風險圖，請完成以下步驟：

1. 請使用指定為內部風險管理圖表閱讀器角色的帳戶，前往 Microsoft Purview 入口網站。
2. 選擇「內部風險管理解決方案」卡片，然後在左側導航中選擇「警報」。
3. 選擇一個警示來檢視，然後選擇 「資料風險圖表 」標籤。
4. 依適用時間篩選，並選擇個別資料風險圖節點，以獲得分流時每個連線的更多資訊。
5. 在圖中選擇使用者或資產上的 + 圖示來展開關係。

資料風險圖包含多個節點。 選擇節點可顯示該節點的詳細資訊：

• 使用者資料：顯示與警示相關的使用者資訊。 這些資訊包含每位使用者的組織資訊，如使用者主體名稱 (UPN) 、標籤、地點、職稱等。
• 資料細節：顯示檔案與地點的資訊。 這些資訊包括物件位置、類型、標籤等。

您可以根據過去 30 天的活動查看用戶的數據風險圖資訊。 這種固定的持續時間無法延長。