Начало работы с управлением внутренними рисками

Используйте политики управления внутренними рисками для выявления рискованных действий и средств управления для работы с оповещениями о рисках в вашей организации. Выполните следующие действия, чтобы настроить предварительные требования и настроить политику управления внутренними рисками.

Дополнительные сведения о том, как политики внутренних рисков могут помочь вам управлять рисками в организации, см. в статье Сведения об управлении внутренними рисками.

Подписки и лицензирование

Прежде чем приступить к работе с управлением внутренними рисками, подтвердите подписку на Microsoft 365 и все надстройки. Чтобы получить доступ к управлению внутренними рисками и использовать их, администраторы должны убедиться, что у организации есть поддерживаемая подписка и назначить пользователям соответствующие лицензии. Дополнительные сведения о подписках и лицензировании см. в разделе Требования к подпискам для управления внутренними рисками.

Если у вас нет плана Microsoft 365 корпоративный E5 и вы хотите попробовать управление внутренними рисками, вы можете добавить Microsoft 365 в существующую подписку или зарегистрироваться для получения пробной версии Microsoft 365 корпоративный E5.

Выставление счетов с оплатой по мере использования

Некоторые индикаторы, включенные в управление внутренними рисками, доступны только при включении модели выставления счетов с оплатой по мере использования для организации. Дополнительные сведения см . в разделе Настройка индикаторов политики в управлении внутренними рисками.

Эта функция использует выставление счетов с оплатой по мере использования или лицензирование на пользователя для возможностей Microsoft Purview или и того, и другого. Чтобы помочь вам понять использование и управлять ими, Microsoft Purview предоставляет центр использования на портале Microsoft Purview. Дополнительные сведения см. в статье Управление использованием лицензий с оплатой по мере использования и лицензированием на пользователя.

Рекомендуемые действия

Рекомендуемые действия помогут вашей организации быстро приступить к работе с управлением внутренними рисками. Рекомендуемые действия, которые включены на странице Обзор , помогут вам выполнить действия по настройке и развертыванию политик.

Следующие рекомендации помогут вам приступить к работе с конфигурацией управления внутренними рисками или максимально увеличить ее.

• Включить аудит. Если этот параметр включен, Microsoft 365 записывает действия пользователей и администраторов в организации в журнал аудита. Политики внутренних рисков и аналитические проверки используют этот журнал для обнаружения действий с рисками.
• Получение разрешений на использование управления внутренними рисками. Уровень доступа к функциям управления внутренними рисками зависит от назначенной группы ролей. Чтобы получить доступ и настроить рекомендуемые действия, пользователи должны быть назначены группам ролей Управление внутренними рисками или Администраторы управления внутренними рисками .
• Выберите индикаторы политики. Индикаторы по сути являются действиями по управлению рисками, которые необходимо обнаружить и исследовать. Вы можете выбрать индикаторы для обнаружения действий в нескольких расположениях и службах Microsoft 365.
• Проверка на наличие потенциальных внутренних рисков. Выполните проверку аналитики, чтобы обнаружить потенциальные внутренние риски, возникающие в вашей организации. После оценки результатов просмотрите рекомендуемые политики для настройки.
• Назначение разрешений другим пользователям. Если есть дополнительные участники команды, отвечающие за управление функциями внутренних рисков, назначьте их соответствующим группам ролей.
• Создайте первую политику. Чтобы получать оповещения о потенциально рискованных действиях, настройте политики на основе предопределенных шаблонов, определяющих действия пользователей, которые нужно обнаружить и исследовать.
• Настройка графа рисков данных. Используйте граф риска данных для просмотра связей между ресурсами, пользователями и их действиями с помощью интерактивного интерфейса графа.

Каждое рекомендуемое действие, включенное в этот интерфейс, имеет четыре атрибута:

• Действие: имя и описание рекомендуемого действия.
• Состояние: состояние рекомендуемого действия. Значения не запускаются, выполняются, сохраняются для более поздних версий или завершены.
• Обязательный или необязательный: является ли рекомендуемое действие обязательным или необязательным, чтобы функции управления внутренними рисками работали должным образом.
• Предполагаемое время выполнения: предполагаемое время выполнения рекомендуемого действия в минутах.

Выберите рекомендацию из списка, чтобы приступить к настройке управления внутренними рисками. Каждое рекомендуемое действие поможет вам выполнить необходимые действия для рекомендации, включая любые требования, ожидаемые действия и влияние настройки функции в организации. Каждое рекомендуемое действие автоматически помечается как завершенное при настройке или вы можете вручную выбрать действие как завершенное при настройке.

Шаг 1 (обязательно). Назначение разрешений для управления внутренними рисками

Чтобы использовать любые средства, связанные с управлением внутренними рисками, на портале Microsoft Purview пользователям требуются соответствующие разрешения. Самый простой способ назначить роли — добавить пользователя в соответствующую группу ролей на странице Группы ролей на портале Microsoft Purview.

Пошаговые инструкции см. в разделе Назначение разрешений в управлении внутренними рисками.

Шаг 2 (обязательно). Включение журнала аудита Microsoft 365

Управление внутренними рисками использует журналы аудита Microsoft 365 для аналитики пользователей и действий по управлению рисками, определенных в политиках и аналитике. Журналы аудита Microsoft 365 представляют собой сводку всех действий в организации, и политики управления внутренними рисками могут использовать эти действия для формирования аналитических сведений о политике.

По умолчанию аудит для организаций Microsoft 365 включен. Некоторые организации могут отключить аудит по определенным причинам. Если аудит для вашей организации отключен, возможно, его отключил другой администратор. При выполнении этого этапа рекомендуем удостовериться, что включать аудит безопасно.

Пошаговые инструкции по включению аудита см. в статье Включение и отключение поиска в журнале аудита. После включения ведения аудита появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск. Это действие потребуется выполнить только один раз. Подробнее об использовании журнала аудита Microsoft 365 см. в статье Поиск в журнале аудита.

Шаг 3 (необязательно). Включение и просмотр аналитики внутренних рисков

Если включить аналитику управления внутренними рисками, вы можете:

• Проверьте наличие потенциальных внутренних рисков перед созданием политик. Вы можете провести оценку потенциальных внутренних рисков в организации без настройки политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области с более высоким риском для пользователей, а также определить тип и область политик управления внутренними рисками, которые вы можете настроить. Эта оценка также может помочь определить потребности в дополнительном лицензировании или будущей оптимизации существующих политик. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для просмотра. Дополнительные сведения об аналитике см. в разделе Параметры управления внутренними рисками: Аналитика и проверка видео аналитики управления внутренними рисками, чтобы понять, как аналитика может помочь ускорить выявление потенциальных внутренних рисков и помочь вам быстро принять меры.
• Получайте рекомендации в режиме реального времени для параметров пороговых значений индикаторов. Настройка политик вручную для снижения "шума" может занять очень много времени, и вам потребуется много проб и ошибок, чтобы определить нужную конфигурацию для политик. Если аналитика включена, управление внутренними рисками может предоставлять рекомендации по пороговым значениям индикаторов в режиме реального времени. Вы также можете вручную настроить предоставленные рекомендации и в режиме реального времени увидеть, сколько пользователей включено в область политики на основе внесенных изменений. Дополнительные сведения о рекомендациях по пороговым значениям индикаторов в режиме реального времени

Включение аналитики внутренних рисков

1. Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. На вкладке Обзор на карта Проверка внутренних рисков в организации выберите Запустить проверку. Это действие включает проверку аналитики для вашей организации. Вы также можете включить сканирование, перейдя в раздел Параметры >предварительной оценки рисковАналитика и включив сканирование действий пользователей клиента для выявления потенциальных внутренних рисков.
4. В области Сведения об аналитике выберите Запустить сканирование, чтобы начать проверку для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для просмотра.

Изучив аналитические сведения об аналитике, выберите политики внутренних рисков и настройте соответствующие предварительные требования, которые наилучшим образом соответствуют стратегии снижения внутренних рисков вашей организации.

Шаг 4 (рекомендуется): настройка необходимых компонентов для политик

Большинство политик управления внутренними рисками имеют предварительные требования, которые необходимо настроить для индикаторов политики для создания соответствующих оповещений о действиях. Настройте соответствующие предварительные требования в зависимости от политик, которые вы планируете настроить для своей организации.

Подключение к облачным приложениям в Microsoft Defender

Управление внутренними рисками включает следующие облачные индикаторы (предварительная версия):

• Индикаторы облачного хранилища, включая Google Диск, Box и Dropbox
• Индикаторы облачных служб, включая Amazon S3 и Azure (хранилище и SQL Server)

Индикаторы облачного хранилища

Используйте индикаторы облачного хранилища для обнаружения следующих действий в Google Drive, Box и Dropbox:

• Обнаружения: Методы, используемые для определения среды
• Коллекции: Методы, используемые для сбора интересующих данных
• Фильтрации: Методы, используемые для кражи данных, таких как конфиденциальные документы
• Удаление (влияние): Методы, используемые для нарушения доступности или нарушения целостности системы

Индикаторы облачной службы

Используйте индикаторы облачных служб для обнаружения следующих действий в Amazon S3 и Azure:

• Уклонение от обороны: Методы, используемые для предотвращения обнаружения рискованных действий путем отключения журналов трассировки или путем обновления или удаления правил брандмауэра SQL Server
• Фильтрации: Методы, используемые для кражи данных, таких как конфиденциальные документы
• Удаление (влияние): Методы, используемые для нарушения доступности или нарушения целостности системы
• Повышение привилегий: Методы, используемые для получения разрешений более высокого уровня для систем и данных

Предварительные требования для доступа к облачным индикаторам

Чтобы выбрать один из облачных индикаторов в параметрах и политиках управления внутренними рисками, необходимо сначала подключиться к соответствующим облачным приложениям в Microsoft Defender, если вы еще этого не сделали.

После подключения к приложениям индикаторы можно найти на странице Параметры индикаторов политики и в отдельных политиках .

Настройка соединителя индикатора внутренних рисков (предварительная версия)

Вы можете расширить управление внутренними рисками, импортировав обнаружения для рабочих нагрузок сторонних производителей (сторонних разработчиков). Например, вы можете расширить возможности обнаружения, чтобы включить действия Salesforce и Dropbox и использовать их вместе со встроенными обнаружениями, предоставляемыми решением для управления внутренними рисками, которое фокусируется на службах Майкрософт, таких как SharePoint Online и Exchange Online.

Чтобы перенести собственные обнаружения в решение управления внутренними рисками, импортируйте предварительно обработанные агрегированные обнаружения из решений для управления информационной безопасностью и событиями безопасности (SIEM), таких как Microsoft Sentinel или Splunk. Импортируйте пример файла в рабочий процесс соединителя индикаторов внутренних рисков. Рабочий процесс соединителя анализирует пример файла и настраивает требуемую схему.

Настраиваемый индикатор можно использовать как:

• Триггер для привлечения пользователя к область политики.
• Индикатор политики для оценки риска пользователя.

Пошаговые инструкции по настройке соединителя Индикаторов внутренних рисков для организации см. в статье Соединитель индикаторов внутренних рисков . После настройки соединителя вернитесь к этим шагам по настройке.

Настройка соединителя отдела кадров Microsoft 365

Управление внутренними рисками поддерживает импорт данных пользователей и журналов, импортированных из сторонних платформ управления рисками и управления персоналом. Соединитель данных Microsoft 365 Human Resources (HR) позволяет извлекать данные о персонале из CSV-файлов, включая даты увольнения пользователей, даты последнего трудоустройства, уведомления о плане повышения производительности, действия по проверке производительности и состояние изменения уровня задания. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками и являются важной частью настройки полного охвата управления рисками в организации. Если для организации настроено несколько соединителей отдела кадров, управление внутренними рисками автоматически извлекает индикаторы из всех соединителей отдела кадров.

Соединитель Отдела кадров Microsoft 365 требуется при использовании следующих шаблонов политик:

• Утечка данных рискованными пользователями
• Кража данных уходящего пользователя
• Неправильное использование данных пациента
• Нарушения политики безопасности уходящими пользователями
• Нарушения политики безопасности пользователями, которые рискуют

Пошаговые инструкции по настройке соединителя отдела кадров Microsoft 365 для вашей организации см. в статье Настройка соединителя для импорта данных отдела кадров . После настройки соединителя отдела кадров вернитесь к этим шагам настройки.

Настройка соединителя Microsoft Healthcare

Управление внутренними рисками поддерживает импорт данных пользователей и журналов из сторонних систем электронных медицинских записей (EMR). Соединитель Microsoft Healthcare позволяет переносить данные о действиях из системы EMR через CSV-файлы, включая неправильный доступ к записям пациентов, подозрительные действия тома, а также действия по редактированию и экспорту. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками и играют важную роль в настройке полного охвата управления рисками в организации.

Если для организации настроено несколько соединителей здравоохранения, управление внутренними рисками автоматически поддерживает сигналы событий и действий из всех соединителей здравоохранения. Соединитель Microsoft 365 Healthcare требуется при использовании следующего шаблона политики:

• Неправильное использование данных пациента

Пошаговые инструкции по настройке соединителя для конкретного здравоохранения для вашей организации см. в статье Настройка соединителя для импорта медицинских данных. После настройки соединителя вернитесь к этим шагам по настройке.

Настройка политик защиты от потери данных (DLP)

Управление внутренними рисками поддерживает использование политик защиты от потери данных для выявления намеренного или случайного раскрытия конфиденциальной информации нежелательным сторонам для оповещений DLP с высоким уровнем серьезности. При настройке политики управления внутренними рисками с помощью любого из шаблонов утечек данных можно назначить политике определенную политику защиты от потери данных для таких типов оповещений.

Политики потери данных помогают выявлять пользователей для активации оценки рисков в управлении внутренними рисками для оповещений DLP с высоким уровнем серьезности для конфиденциальной информации. Они важны для настройки полного покрытия рисков в организации. Дополнительные сведения об управлении внутренними рисками и политике защиты от потери данных и рекомендации по планированию см. в разделе Политики управления внутренними рисками.

Политика защиты от потери данных необязательна при использовании следующих шаблонов политик:

• Утечки данных
• Утечки данных приоритетными пользователями

Пошаговые инструкции по настройке политик защиты от потери данных для организации см. в статье Создание и развертывание политик защиты от потери данных. После настройки политики защиты от потери данных вернитесь к этим шагам по настройке.

Настройка совместного использования уровней внутренних рисков с Microsoft Defender и оповещениями защиты от потери данных

Вы можете предоставить общий доступ к уровням внутренних рисков из управления внутренними рисками (предварительная версия), чтобы перенести уникальный контекст пользователя в оповещения Microsoft Defender и DLP. Управление внутренними рисками анализирует действия пользователей за период от 90 до 120 дней и ищет аномальное поведение за этот период. Добавление этих данных в оповещения Microsoft Defender и DLP улучшает данные, доступные в этих решениях, чтобы помочь аналитикам определить приоритеты оповещений. Узнайте больше о совместном использовании уровней серьезности риска для пользователей с Microsoft Defender и оповещениями защиты от потери данных.

Совместное использование уровней серьезности риска для пользователей управления внутренними рисками также повышает Microsoft Security Copilot. Например, в Security Copilot вы можете начать с запроса Copilot для подведения итогов оповещений о защите от потери данных, а затем попросить Copilot показать уровень риска, связанный с пользователем, помеченным в оповещении. Или вы можете спросить, почему пользователь считается пользователем с высоким риском. Сведения о рисках пользователя в этом случае поступают из управления внутренними рисками. Security Copilot легко интегрирует управление внутренними рисками с DLP, чтобы помочь в проведении расследований. Узнайте больше об использовании автономной версии Copilot для комбинированных расследований DLP/Insider Risk Management.

Настройка групп пользователей с приоритетом

Управление внутренними рисками поддерживает назначение приоритетных групп пользователей политикам для выявления уникальных действий риска для пользователей с критическими позициями, высоким уровнем доступа к данным и сети или прошлым журналом рисков. Создание группы пользователей с приоритетом и назначение пользователей этой группе помогает область политики для уникальных обстоятельств, представленных этими пользователями.

Чтобы включить повышатель оценки риска для групп пользователей с приоритетом , перейдите на страницу Параметры управления внутренними рисками , а затем выберите Индикаторы политики и Бустеры оценки риска. Аналитики и следователи могут просматривать и определять приоритеты серьезности рисков этих пользователей, чтобы помочь в рассмотрении оповещений в соответствии с политиками и стандартами риска вашей организации.

Группа пользователей с приоритетом требуется при использовании следующих шаблонов политик:

• Нарушения политики безопасности приоритетными пользователями
• Утечки данных приоритетными пользователями

Пошаговое руководство по настройке см. в статье Приступая к работе с параметрами управления внутренними рисками .

Настройка соединителя физического badяного

Управление внутренними рисками поддерживает импорт данных пользователей и журналов с физических платформ управления и доступа. Соединитель physical badging позволяет извлекать данные доступа из JSON-файлов, включая идентификаторы пользователей, идентификаторы точек доступа, время и даты доступа, а также состояние доступа. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками и являются важной частью настройки полного охвата управления рисками в организации. Если вы настроите несколько соединителей физического нарушения для организации, управление внутренними рисками автоматически извлекает индикаторы из всех соединителей физического badging. Сведения из соединителя физического нарушения дополняют другие сигналы инсайдерского риска при использовании всех шаблонов политик внутренних рисков.

Пошаговые инструкции по настройке физического соединителя для импорта данных о неисправных данных см. в статье Настройка соединителя для импорта данных о физическом вреде. После настройки соединителя вернитесь к этим шагам по настройке.

Настройка Microsoft Defender для конечной точки

Microsoft Defender для конечной точки — это платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы корпоративных сетей. Чтобы улучшить видимость нарушений безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов политик нарушений безопасности управления внутренними рисками.

При создании политик нарушений безопасности необходимо настроить Microsoft Defender для конечной точки в организации и включить интеграцию Defender для конечной точки для управления внутренними рисками в Центре безопасности Defender для импорта оповещений о нарушениях безопасности. Дополнительные сведения о требованиях см. в статье Минимальные требования для Microsoft Defender для конечной точки.

Пошаговые инструкции по настройке интеграции Defender для конечной точки для управления внутренними рисками см. в статье Настройка дополнительных функций в Defender для конечной точки . После настройки Microsoft Defender для конечной точки вернитесь к этим шагам по настройке.

Настройка судебно-медицинских доказательств

Наличие визуального контекста имеет решающее значение для групп безопасности во время судебно-медицинских расследований, чтобы получить более подробные сведения о рискованных действиях пользователей, которые могут привести к инциденту безопасности. Благодаря настраиваемым триггерам событий и встроенным элементам управления защитой конфиденциальности пользователей, судебно-медицинские доказательства позволяют настраивать запись на разных устройствах, чтобы помочь вашей организации лучше устранять, понимать и реагировать на потенциальные риски, такие как несанкционированная кража конфиденциальных данных.

Пошаговые инструкции по настройке судебно-медицинских доказательств для организации см. в статье Начало работы с судебно-медицинскими доказательствами по управлению внутренними рисками .

Настройка оптического распознавания символов

Microsoft Purview может проверять наличие конфиденциального содержимого в документах, чтобы защитить эти документы от нежелательного воздействия. При включении оптического распознавания символов (OCR) в Microsoft Purview классификаторы данных, такие как типы конфиденциальной информации и обучаемые классификаторы, также могут обнаруживать символы в автономных изображениях. После настройки параметров OCR (предварительная версия) существующие политики внутренних рисков применяются как к изображениям, так и к документам.

Для предварительной версии OCR управление внутренними рисками поддерживает сканирование в следующих расположениях: устройства конечных точек Windows, SharePoint Online и Teams. Exchange Online и OneDrive не поддерживаются для предварительной версии.

Параметры OCR не применяются к клипам судебно-медицинских доказательств в управлении внутренними рисками.

Узнайте больше о настройке проверки OCR и выставлении счетов с оплатой по мере использования.

Шаг 5 (обязательно). Настройка параметров внутренних рисков

Параметры внутренних рисков применяются ко всем политикам управления внутренними рисками независимо от шаблона, выбранного при создании политики. Параметры настраивается с помощью параметров, расположенных в верхней части страниц Управление внутренними рисками. Эти параметры управляют конфиденциальностью, индикаторами, глобальными исключениями, группами обнаружения, интеллектуальными обнаружениями и т. д. Дополнительные сведения о параметрах, которые следует учитывать перед созданием политики.

Шаг 6 (обязательно). Создание политики управления внутренними рисками

Политики управления внутренними рисками включают назначенных пользователей и определяют, какие типы индикаторов риска настроены для оповещений. Прежде чем потенциально рискованные действия могут активировать оповещения, необходимо настроить политику. Используйте рабочий процесс политики для создания новых политик управления внутренними рисками.

Создание политики

1. Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.

2. Перейдите к решению для управления внутренними рисками .

3. Выберите Политики в области навигации слева.

4. Выберите Создать политику , чтобы открыть рабочий процесс политики.

5. На странице Политики выберите категорию политики, а затем выберите шаблон для новой политики. Эти шаблоны состоят из условий и индикаторов, определяющих действия, связанные с рисками, которые необходимо обнаружить и исследовать. Просмотрите необходимые условия для шаблона, инициирующие события и обнаруженные действия, чтобы убедиться, что этот шаблон политики соответствует вашим потребностям.

   Важно!

   Некоторые шаблоны политик имеют предварительные требования, которые необходимо настроить для создания соответствующих оповещений. Если вы не настроите необходимые компоненты для соответствующей политики, см. шаг 4.

   Нажмите кнопку Далее, чтобы продолжить.

6. На странице Название и описание заполните следующие поля:

   • Название (обязательно). Введите понятное название политики. Это имя нельзя изменить после создания политики.
   • Описание (необязательно). Введите описание политики.

   Нажмите кнопку Далее, чтобы продолжить.

7. Если для вашего клиента существуют единицы администрирования, вы увидите страницу Администратор единиц. В противном случае вы увидите страницу Пользователи и группы и можете перейти к следующему шагу.

   Если вы хотите область политику в одну или несколько единиц администрирования, выберите Добавить единицы администрирования, а затем выберите единицы администрирования, которые вы хотите применить к политике.

   Примечание.

   Вы можете увидеть только те подразделения администрирования, которые ограничены вашей ролью. Если вы являетесь неограниченным администратором, вы можете увидеть все подразделения администрирования для клиента. Чтобы просмотреть сводку по группам ролей и подразделениям администрирования, которым вы назначены, выберите Просмотреть мои разрешения.

   Нажмите кнопку Далее, чтобы продолжить.

8. На странице Пользователи и группы выберите один из следующих параметров:

   • Включите всех пользователей и группы. При выборе этого параметра управление внутренними рисками ищет события активации для всех пользователей и групп в вашей организации, чтобы начать назначать оценки риска для политики.

     Если ваша политика ограничена одной или несколькими единицами администрирования, этот параметр выбирает всех пользователей и группы в административных единицах.

     Примечание.

     Чтобы воспользоваться преимуществами аналитики в режиме реального времени (предварительная версия) для параметров пороговых значений индикаторов, необходимо область политику включить всех пользователей и группы. Аналитика в режиме реального времени позволяет просматривать оценки количества пользователей, которые потенциально могут соответствовать заданному набору условий политики, в режиме реального времени. Эта функция помогает эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не было слишком мало или слишком много оповещений политики. Определение политики включением всех пользователей и групп также обеспечивает более эффективную защиту в клиенте. Дополнительные сведения об аналитике в режиме реального времени для параметров пороговых значений индикаторов см. в разделе Параметры уровня индикатора.

     Примечание.

     Управление внутренними рисками поддерживает выбор следующих типов групп в политиках: группы Microsoft 365, группы рассылки и группы безопасности (как с поддержкой почты, так и с поддержкой почты) с ограничением, что группы безопасности, не поддерживающие почту, не могут быть выбраны, если ваша политика ограничена одним или несколькими подразделениями администрирования. Дополнительные сведения о различных типах групп см. в разделе Сравнение групп.

   • Включите определенных пользователей и группы. Выберите этот параметр, чтобы определить, какие пользователи или группы включены в политику.

     Если ваша политика ограничена одним или несколькими единицами администрирования, вы можете выбрать только пользователей в группе администрирования область.

     Примечание.

     Гостевые учетные записи не поддерживаются.

   • Адаптивные область. Этот параметр появляется при выборе параметра Включить определенных пользователей и группы . Выберите Добавить или изменить адаптивные области, чтобы применить адаптивный область к политике. Перед созданием или изменением политики необходимо создать адаптивный область. Если политика также ограничена одной или несколькими единицами администрирования, доступные адаптивные области ограничены единицами администрирования. Узнайте, как адаптивные области работают вместе с подразделениями администрирования.

   • Добавление или изменение групп пользователей с приоритетом. Этот параметр отображается только в том случае, если выбран шаблон Утечки данных по приоритетным пользователям . Выберите этот параметр, а затем добавьте или измените приоритетные группы пользователей.

     Примечание.

     Если шаблон политики основан на приоритетных группах пользователей, вы не можете выбрать группу администрирования для область политики. Группы приоритетных пользователей в настоящее время не поддерживаются для использования с единицами администрирования.

   Нажмите кнопку Далее, чтобы продолжить.

9. Используйте страницу Исключить пользователей и группы (необязательно) (предварительная версия), если вы хотите исключить определенных пользователей или группы из политики область. Например, может потребоваться создать политику, которая обнаруживает потенциально рискованные действия для сотрудников всей организации, но исключает менеджеров по продажам на уровне руководителей. Выберите Добавить пользователей для исключения или Добавить группы для исключения , чтобы выбрать пользователей или группы, которые нужно исключить. Если политика ограничена одним или несколькими подразделениями администрирования, можно исключить только пользователей или группы, которые находятся в группе администрирования область.

   Нажмите кнопку Далее, чтобы продолжить.

10. При необходимости на странице Содержимое для приоритета назначьте источники для определения приоритетов. Приоритизация этих источников повышает вероятность создания оповещений с высоким уровнем серьезности для этих источников. Выберите один из указанных вариантов:

    • Я хочу приоритизировать содержимое. Выберите этот параметр, чтобы определить приоритет сайтов SharePoint, меток конфиденциальности, типов конфиденциальности и расширений файлов . При выборе этого параметра необходимо выбрать по крайней мере один тип контента с приоритетом.

    • Я не хочу указывать содержимое с приоритетом прямо сейчас. Выберите этот параметр, чтобы пропустить страницы сведений о приоритетном содержимом в рабочем процессе.

    Нажмите кнопку Далее, чтобы продолжить.

11. Если на предыдущем шаге выбран вариант Я хочу приоритизировать содержимое , вы увидите страницы с подробными сведениями о сайтах SharePoint, метками конфиденциальности, типами конфиденциальной информации, расширениями файлов и оценкой. Используйте эти страницы сведений, чтобы определить SharePoint, типы конфиденциальной информации, метки конфиденциальности, обучаемые классификаторы и расширения файлов для определения приоритетов в политике. Страница Сведений о оценке позволяет область политику, чтобы назначать только оценки риска и создавать оповещения для указанных действий, включающих приоритетный контент.

    • Сайты SharePoint. Выберите Добавить сайт SharePoint и выберите сайты SharePoint, к которым у вас есть доступ и к которым вы хотите назначить приоритеты. Например, "[email protected]/sites/group1".

      Примечание.

      Если ваша политика ограничена одной или несколькими единицами администрирования, вы по-прежнему увидите все сайты SharePoint, а не только сайты SharePoint, ограниченные вашими подразделениями администрирования, так как подразделения администрирования не поддерживают сайты SharePoint.

    • Тип конфиденциальной информации. Выберите Добавить тип конфиденциальной информации и выберите типы конфиденциальности, к которым вы хотите назначить приоритеты. Например, "Номер банковского счета США" и "Номер кредитной карты".

    • Метки конфиденциальности. Выберите Добавить метку конфиденциальности и выберите метки, к которым вы хотите назначить приоритеты. Например, "Конфиденциально" и "Секретно".

    • Обучаемые классификаторы. Выберите Добавить обучаемый классификатор и выберите обучаемые классификаторы, для определения приоритетов. Например, Исходный код.

    • Расширения файлов: добавьте до 50 расширений файлов. Вы можете включить или опустить значение "." с расширением файла. Например, .py или py будут определять приоритеты для файлов Python.

    • Оценка. Определите, следует ли назначать оценки риска всем действиям по управлению рисками, обнаруженным данной политикой, или только для действий, включающих приоритетный контент. Выберите Получение оповещений для всех действий или Получение оповещений только для действий, включающего содержимое с приоритетом.

    Нажмите кнопку Далее, чтобы продолжить.

12. Если выбрать шаблоны Утечки данных или Утечки данных по приоритетным пользователям , на странице Триггеры для этой политики отображаются параметры для настраиваемых событий и индикаторов политики. Вы можете выбрать политику защиты от потери данных или индикаторы для активации событий, которые приводят пользователей, назначенных политике в область для оценки действий. Если выбран параметр Пользователь соответствует политике защиты от потери данных (DLP), активируя событие , необходимо выбрать политику защиты от потери данных из раскрывающегося списка Политики защиты от потери данных, чтобы включить индикаторы активации для политики защиты от потери данных для этой политики управления внутренними рисками. Если выбран параметр Пользователь выполняет действие кражи, инициирующее событие , необходимо выбрать один или несколько перечисленных индикаторов для события, активировающего политику.

    Примечание.

    Группы пользователей с приоритетом в настоящее время не поддерживаются для подразделений администрирования. Если вы создаете политику на основе шаблона "Утечки данных по приоритетным пользователям " или шаблона "Нарушения политики безопасности по приоритетным пользователям ", вы не сможете выбрать единицы администрирования для определения области политики. Неограниченные администраторы могут выбирать приоритетные группы пользователей без выбора единиц администрирования, но ограниченные администраторы не могут создавать эти политики вообще.

    Важно!

    Если вам не удается выбрать указанный индикатор или последовательность, это связано с тем, что они в настоящее время не включены для вашей организации. Чтобы сделать их доступными для выбора и назначения политики, выберите запрос Включить индикаторы .

    Если выбрать другие шаблоны политик, пользовательские события активации не поддерживаются. Применяются встроенные события, запускающие политику. Перейдите к шагу 15 без определения атрибутов политики.

13. Если выбрать шаблоны Утечки данных пользователями, подверженными риску , или Нарушения политики безопасности пользователями, которые рискуют , на странице Триггеры этой политики отображаются параметры для интеграции с событиями соединителя связи и кадровых данных. Вы можете назначать оценки риска, когда пользователи отправляют сообщения, содержащие потенциально угрожающие, оскорбительные или дискриминаторные формулировки, или привлечь пользователей к политике область после сообщения о рискованных событиях пользователей в вашей системе управления персоналом. Если выбрать триггеры риска в разделе Соответствие требованиям к обмену данными (предварительная версия), можно принять политику соответствия требованиям к обмену данными по умолчанию (создается автоматически), выбрать ранее созданную политику область для этого триггера или создать другую политику с заданной областью действия. Если выбраны события соединителя данных отдела кадров, необходимо настроить соединитель данных отдела кадров для организации.

    Нажмите кнопку Далее, чтобы продолжить.

14. Если выбрать шаблоны Утечки данных или Утечки данных по приоритетным пользователям и выбрать пользователь выполняет действие кражи и связанные индикаторы, можно выбрать настраиваемые или стандартные пороговые значения для выбранного индикатора, активировающего события. Выберите параметр Использовать пороговые значения по умолчанию (рекомендуется) или Использовать настраиваемые пороговые значения для событий активации.

    Нажмите кнопку Далее, чтобы продолжить.

15. Если выбран параметр Использовать настраиваемые пороговые значения для событий активации, для каждого индикатора событий триггера, выбранного на шаге 10, выберите соответствующий уровень для создания требуемого уровня оповещений о действиях. Вы можете использовать рекомендуемые пороговые значения, пользовательские пороговые значения или пороговые значения на основе аномальных действий (для определенных показателей) над ежедневной нормой для пользователей.

    Нажмите кнопку Далее, чтобы продолжить.

16. На странице Индикаторы политики отображаются индикаторы , которые вы определяете как доступные на странице Параметры внутренних рисков Индикаторы>,которые включают варианты индикаторов, если вы определили их. Выберите индикаторы, которые вы хотите применить к политике.

    Важно!

    Если не удается выбрать индикаторы на этой странице, выберите индикаторы, которые нужно включить для всех политик. Можно использовать включить индикаторы в рабочем процессе или выбрать индикаторы на страницеИндикаторы политики управлениявнутренними>рисками>.

    При выборе хотя бы одного индикатора Office или устройства выберите соответствующие ускорители оценки риска . Бустеры оценки риска применяются только к выбранным индикаторам. При выборе шаблона политики кражи данных или утечки данных выберите один или несколько методов обнаружения последовательности и метод обнаружения накопительного хищения для применения к политике. Если выбран шаблон политики использования браузера с рисками , выберите один или несколько индикаторов просмотра.

    Нажмите кнопку Далее, чтобы продолжить.

17. На странице Решить, следует ли использовать пороговые значения индикаторов по умолчанию или пороговые значения по умолчанию, выберите пользовательские или пороговые значения по умолчанию для выбранного индикатора политики. Выберите параметр Использовать пороговые значения по умолчанию для всех индикаторов или Укажите настраиваемые пороговые значения для выбранных индикаторов политики. Если выбран параметр Указать пользовательские пороговые значения, выберите соответствующий уровень, чтобы создать требуемый уровень оповещений о действиях для каждого индикатора политики.

    Совет

    Чтобы просмотреть диаграмму, которая помогает определить соответствующие пороговые параметры, выберите ссылку Просмотреть влияние в аналитических сведениях для каждого набора пороговых параметров. Дополнительные сведения о настройке пороговых значений вручную.

    Нажмите кнопку Далее, чтобы продолжить.

18. На странице Рецензирование просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Выберите Изменить, чтобы изменить какие-либо значения политики, или выберите Отправить для создания и активации политики.

Дальнейшие действия

После выполнения этих действий по созданию первой политики управления внутренними рисками вы начнете получать оповещения от индикаторов активности примерно через 24 часа. При необходимости настройте дополнительные политики с помощью инструкций, описанных в шаге 4 этой статьи или в разделе Создание политики внутренних рисков.

Дополнительные сведения об исследовании оповещений о внутренних рисках и панели мониторинга оповещений или агента рассмотрения см. в статье Действия по управлению внутренними рисками.