重要事項
Microsoft Purview 內部風險管理會相互關聯各種訊號,以識別潛在的惡意或不小心的內部風險,例如 IP 竊取、數據外洩和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據隱私設計構建,默認情況下用戶是假名的,並且基於角色的訪問控制和審計日誌已到位,以幫助確保用戶級別的隱私。
開始使用測試人員風險管理原則之前,請先瞭解並選擇最符合組織合規性需求的測試人員風險管理設定。 測試人員風險管理設定會套用至所有測試人員風險管理原則,無論您在建立原則時選擇的範本為何。
注意事項
使用任何測試人員風險管理頁面頂端的 [ 設定 ] 來進行設定變更。
下表說明每個測試人員風險管理設定,並提供連結以深入瞭解設定。
| 設定 | 描述 |
|---|---|
| 管理員通知 | 使用 [管理員通知] 設定,自動將電子郵件通知傳送至可選取的測試人員風險管理角色群組。 您可以: - 在產生新原則的第一個警示時傳送通知電子郵件 - 產生新的高嚴重性警示時,傳送每日電子郵件 - 每週傳送電子郵件,摘要包含未解決警告的原則 |
| Analytics | 內部風險分析可讓您對組織中潛在的內部風險進行評估,而不需要設定任何內部風險原則。 此評估可協助您的組織識別使用者風險較高的潛在區域,並協助判斷您可能考慮設定的測試人員風險管理原則類型和範圍。 |
| 資料共用 | 使用 [數據共用] 設定來執行下列其中一項作業:1) 使用 Office 365 管理活動 API 架構,將測試人員風險管理警示資訊匯出至 SIEM 解決方案;2) 使用 Microsoft Defender 和 DLP 警示共用測試人員風險管理使用者風險層級。 |
| 偵測群組 | 如果您想要為不同的使用者集量身打造偵測,請使用 [偵測群組] 設定來建立內建指標的變體。 建立偵測群組有助於減少誤判。 |
| 匯出警示 | 測試人員風險管理警示資訊可匯出至安全性資訊和事件管理, (SIEM) 和安全性協調流程自動化回應, (使用 SOAR) 解決方案,方法是使用 Office 365 管理活動 API 架構。 您可以使用 Office 365 管理活動 API,將警示資訊匯出至組織可能用來管理或彙總內部風險資訊的其他應用程式。 |
| 全域排除項目 | 使用 [ 全域排除 ] 設定來指定測試人員風險管理原則不會評分的全域排除專案。 |
| 內嵌警示自訂 | 內嵌警示自定義可讓您在檢閱警示時,直接從 [警示] 儀錶板 快速調整測試人員風險管理原則。 當風險管理活動符合相關原則中設定的臨界值時,會產生警示。 若要減少從此類活動取得的警示數目,您可以變更臨界值,或從原則中完全移除風險管理活動。 |
| 智慧型偵測 | 使用 [智慧型偵測] 設定來提升異常下載活動的分數、控制警示數量、匯入和篩選適用於端點的 Microsoft Defender 警示,以及指定不允許的第三方網域進行風險評分。 |
| Microsoft Teams (預覽) | 您可以啟用 Microsoft Teams 支援,讓合規性分析師和調查人員可以使用 Teams 來共同作業測試人員風險管理案例。 使用 Teams 可以: - 協調和檢閱私人 Teams 頻道中案例的回應活動 - 安全地共享和存儲與個別案件相關的文件和證據 - 偵測和檢閱分析師和調查人員的回應活動 |
| 政策指標 | 每個測試人員風險管理原則範本都是以對應至特定觸發程式和風險活動的特定指標為基礎。 預設情況下,所有全域指標都處於停用狀態; 您必須選取一或多個指標,才能設定測試人員風險管理原則。 指標層次設定可協助您控制組織中風險事件的發生次數如何影響風險評分。 |
| 原則時間範圍 | [ 原則時間範圍 ] 設定可讓您根據測試人員風險管理原則範本的事件和活動,定義原則相符之後觸發的過去和未來檢閱期間。 |
| Power Automate 流程 (預覽) | Microsoft Power Automate 是一種工作流程服務,可跨應用程式和服務自動執行動作。 透過使用範本中的流程或手動建立的流程,您可以自動執行與這些應用程式和服務相關聯的常見任務。 當您啟用測試人員風險管理的 Power Automate 流程時,您可以將案例和使用者的重要工作自動化。 您可以設定 Power Automate 流程來擷取使用者、警示和案例資訊,並與專案關係人和其他應用程式共用此資訊,以及將測試人員風險管理中的動作自動化,例如張貼至案例附註。 Power Automate 流程適用於案例和原則範圍內的任何使用者。 |
| 預覽) (優先實體資產 | 識別優先實體資產的存取權,並將存取活動與使用者事件相關聯,是合規性基礎架構的重要組成部分。 這些實體資產代表組織中的優先位置,例如公司大樓、資料中心或伺服器機房。 測試人員風險活動可能與使用者在異常時間工作、嘗試存取這些未經授權的敏感性或安全區域,以及要求存取高階區域而沒有合法需求相關聯。 |
| 優先使用者群組 | 組織中的使用者可能會有不同的風險層級,視其位置、敏感性資訊的存取層級或風險歷程記錄而定。 排定這些使用者活動的檢查和評分優先順序,有助於提醒您可能對組織造成更高後果的潛在風險。 使用 [優先順序使用者群組] 設定來定義組織中需要更仔細檢查和更敏感風險評分的使用者。 |
| 隱私權 | 選擇是否要顯示警示和案例的所有目前和過去原則相符專案的使用者名稱或使用者名稱的匿名版本。 |