重要事項
Microsoft Purview 內部風險管理會相互關聯各種訊號,以識別潛在的惡意或不小心的內部風險,例如 IP 竊取、數據外洩和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據隱私設計構建,默認情況下用戶是假名的,並且基於角色的訪問控制和審計日誌已到位,以幫助確保用戶級別的隱私。
當您啟用 Microsoft Purview 內部風險管理分析時,您會獲得數個重要的好處。 您可以:
- 評估組織中的潛在內部風險,而不設定任何內部風險原則。
- 取得有關配置指標閾值設定的即時指導。
- 為不屬於原則的使用者產生內部風險嚴重性和使用者活動摘要。 與資料外洩防護、通訊合規性和 Microsoft Defender 共用此摘要資訊。
評估組織中的內部風險
Microsoft Purview 內部風險管理分析可讓您評估組織中的潛在內部風險,而不需要設定任何內部風險原則。 此評估可協助您的組織識別使用者風險較高的潛在區域,並協助判斷您想要設定的測試人員風險管理原則類型和範圍。 分析掃描為您的組織提供下列優勢:
- 易於設定:在分析建議提示時選取 [執行掃描] ,或移至 [測試人員風險設定>分析 ]並啟用分析。
- 隱私設計:掃描結果和見解會以彙總和匿名的使用者活動形式傳回。 審核者無法識別個別使用者名稱。 由於測試人員風險管理不會分類組織中的任何身分識別以進行分析,因此解決方案會考慮離開組織界限之數據可能涉及的所有 UPN/身分識別。 此程式可能涉及使用者帳戶、系統帳戶、來賓帳戶等。
- 透過整合的深入解析瞭解潛在風險:掃描結果可協助您快速識別使用者的潛在風險區域,以及哪種原則最能協助降低這些風險。
若要瞭解分析如何協助加速識別潛在的內部風險,請參閱 測試人員風險管理分析影片。
掃描區域
分析會掃描數個來源以尋找風險管理活動,以協助您識別潛在風險區域的深入解析。 視您目前的設定而定,分析會在下列區域中尋找合格的風險活動:
- Microsoft 365 稽核記錄:此主要來源包含在所有掃描中,可協助您識別大部分潛在風險的活動。
- Exchange Online:Exchange Online 活動包含在所有掃描中,可協助您識別附件中資料透過電子郵件傳送給外部連絡人或服務的活動。
- Microsoft Entra ID:Microsoft Entra 歷程記錄包含在所有掃描中,可協助您識別與已刪除使用者帳戶之使用者相關聯的風險活動。
- Microsoft 365 HR 數據連接器:如果已設定, HR 連接器 事件可協助您識別與辭職或即將終止日期的使用者相關聯的風險活動。
掃描的分析深入解析會使用與測試人員風險管理原則相同的風險管理活動訊號。 它們會根據單一和序列使用者活動來報告結果。 不過,分析的風險評分會使用最多 10 天的活動,而內部風險原則會使用每日活動來取得深入解析。 當您第一次在組織中啟用並執行分析時,您會看到一天的掃描結果。 如果您啟用分析,您會看到每次每日掃描的結果新增至洞察報告,以達到過去 10 天活動的最大範圍。
接收有關配置指標閾值設置的實時指導
手動調整原則以減少「雜訊」可能是一項耗時的體驗,需要進行大量試錯測試,才能判斷原則所需的組態。 如果您開啟分析,您可以取得即時深入解析,以協助您有效率地調整活動發生的指標和臨界值的選取範圍,以免收到太少或太多的原則警示。 深入瞭解如何使用即時分析來協助管理警示量。
啟用分析並開始掃描組織中的潛在內部風險
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
若要啟用測試人員風險分析,您必須是 測試人員風險管理、 測試人員風險管理系統管理員或 Microsoft 365 全域系統管理員 角色群組的成員。
- 使用 Microsoft 365 組織中的系統管理員帳戶登入 Microsoft Purview 入口網站 。
- 移至 測試人員風險管理 解決方案。
- 在 [概觀] 索引標籤上,向下捲動至 [測試人員風險分析] 卡片,然後在 [掃描組織中的測試人員風險] 底下,選取 [執行掃描]。 此動作會開啟貴組織的分析掃描。 Analytics 掃描結果最多可能需要 48 小時才能以報告的形式提供見解以供審查。
提示
您也可以透過任何測試人員風險管理頁面頂端的 [ 設定 ] 在組織中開啟掃描。 選取 [分析],然後開啟設定。
在第一次分析掃描後檢視分析見解
若要檢視組織中分析掃描的結果,請移至 測試人員風險管理>報表>分析。 如需報表的詳細資訊,請參閱 在 測試人員風險管理中使用報表。
關閉分析
若要關閉測試人員風險分析,您必須是 測試人員風險管理、 測試人員風險管理系統管理員或 Microsoft 365 全域系統管理員 角色群組的成員。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
- 使用 Microsoft 365 組織中的系統管理員帳戶登入 Microsoft Purview 入口網站 。
- 選取頁面右上角的 [ 設定 ]。
- 選取 [測試人員風險管理] 以移至 [測試人員風險管理] 設定。
- 在 [測試人員風險設定] 底下,選取 [分析],然後關閉設定。
當您停用分析時:
- Analytics 深入分析報告會停止更新,且不會顯示新風險。
- 當您 自訂原則的指標臨界值設定時,您無法看到即時分析。
在組織中啟用使用者層級分析
測試人員風險管理會產生使用者活動摘要和測試人員風險嚴重性深入解析,以取得使用者層級的潛在風險行為。 您可以在下列體驗中檢視這些深入解析:
- 資料外洩防護 (DLP) 警示
- 通訊合規性原則
- Microsoft Defender 使用者實體頁面和警示
使用者分析涵蓋組織中所有符合資格的使用者,包括不在任何測試人員風險管理原則範圍內的使用者。 在 Microsoft Defender、DLP 或通訊合規性中調查警示時,分析師會自動存取有助於改善風險評量的使用者資訊。 分析師還可以使用內部風險嚴重性來快速識別最嚴重和時間敏感的警報,並排定這些警報的優先順序以進行調查和補救。
若要啟用測試人員風險使用者層級分析,您必須是 測試人員風險管理、 測試人員風險管理系統管理員或 Microsoft 365 全域系統管理員 角色群組的成員。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
- 使用 Microsoft 365 組織中的系統管理員帳戶登入 Microsoft Purview 入口網站 。
- 選取頁面右上角的 [ 設定 ]。
- 選取 [測試人員風險管理] 以移至 [測試人員風險管理] 設定。
- 在 [測試人員風險管理設定] 底下,選取 [ 分析 ],然後開啟 [在 使用者層級顯示深入解析 ] 設定。
- 在 [測試人員風險管理設定] 底下,選取 [ 數據共用 ],然後開啟 [與其他安全性解決方案共用使用者風險詳細數據] 設定。