Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Судебно-медицинские доказательства — это надстройка, включенная в Управление внутренними рисками Microsoft Purview, которая предоставляет командам по безопасности визуальную информацию о потенциальных инцидентах безопасности внутренних данных с встроенной конфиденциальностью пользователей. Судебно-медицинские доказательства включают настраиваемые триггеры событий и встроенные элементы управления конфиденциальностью пользователей, что позволяет группам безопасности лучше исследовать, понимать и реагировать на потенциальные риски инсайдерских данных, такие как несанкционированный кража конфиденциальных данных.
Организации устанавливают правильные политики для себя, включая то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств и какие данные являются наиболее конфиденциальными. Судебно-медицинские доказательства по умолчанию отключены, для создания политики требуется двойная авторизация, а имена пользователей можно маскировать с помощью псевдонимизации (которая включена по умолчанию для управления внутренними рисками). При настройке политик и проверке оповещений системы безопасности в управлении внутренними рисками используются надежные средства управления доступом на основе ролей (RBAC), гарантирующие, что назначенные сотрудники в организации принимают правильные меры с дополнительными возможностями аудита.
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Визуальный контекст имеет решающее значение для групп безопасности во время судебно-медицинских расследований, чтобы получить более подробные сведения о потенциально рискованных действиях пользователей, связанных с безопасностью. Благодаря настраиваемым триггерам событий и встроенным средствам защиты конфиденциальности пользователей судебно-медицинские доказательства позволяют настраивать визуальные действия, регистрируемые на разных устройствах, чтобы помочь вашей организации лучше устранять, понимать и реагировать на потенциальные риски данных, такие как несанкционированный кража конфиденциальных данных. Вы задаете правильные политики для своей организации, в том числе то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств, какие данные являются наиболее конфиденциальными, а также уведомляются ли пользователи при активации судебной записи. Запись судебно-медицинских доказательств по умолчанию отключена, а для создания политики требуется двойная авторизация.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Возможности функций
- Визуальный захват позволяет вашей организации записывать клипы ключевых действий пользователей, связанных с безопасностью, чтобы обеспечить более безопасную или соответствующую видимость, которая соответствует потребностям вашей организации.
- Включите или исключите классические приложения и веб-сайты , чтобы настроить политику записи, которая фокусируется на приложениях и веб-сайтах, которые представляют наибольший риск. Такой подход обеспечивает сохранение дискового пространства и конфиденциальности пользователей. Например, можно исключить личную электронную почту и учетные записи социальных сетей.
- Улучшенная защита от фишинга (предварительная версия) позволяет вашей организации записывать клипы, связанные с расширенной защитой от фишинга, в Microsoft Defender SmartScreen. Например, можно записать, когда пользователь вводит пароль Майкрософт, который использовался для входа на свое Windows 11 устройство на фишинговом сайте или в приложении, подключаемом к фишинговом сайту. Дополнительные сведения о расширенной защите от фишинга в Microsoft Defender SmartScreen
- Защита конфиденциальности пользователей с помощью нескольких уровней утверждения активации функции записи.
- Настраиваемые триггеры и параметры записи означают, что команды безопасности могут настроить судебно-медицинские доказательства в соответствии со своими потребностями, будь то на основе инцидентов (например, запись за 5 минут до и 10 минут после загрузки пользователем SecretResearchPlans.docx) или на основе потребностей непрерывной записи.
- Ориентированное на пользователя назначение политик означает, что группы безопасности и соответствия требованиям могут сосредоточиться на действиях пользователей, а не устройств, чтобы улучшить контекстную аналитику.
- Надежные средства управления доступом на основе ролей (RBAC) означают, что возможность настройки и просмотра криминалистических клипов жестко контролируется и доступна только сотрудникам организации с соответствующими разрешениями.
- Глубокая интеграция с текущими функциями управления внутренними рисками, что упрощает адаптацию и более привычные рабочие процессы для администраторов управления внутренними рисками и надежный одноплатформенный подход.
- Пробная емкость (до 20 ГБ) для захваченных клипов с быстрым доступом к использованию емкости и возможностью приобретения дополнительной емкости.
Требования к устройству и конфигурации
В следующих таблицах приведены поддерживаемые минимальные требования для использования судебно-медицинских доказательств управления внутренними рисками.
Поддерживаемые платформы
| Операционная система | SKU | Процессор |
|---|---|---|
| Windows 10 (включая Windows 365) | Корпоративная | 64-разрядная версия (Intel или AMD) |
| Windows 11 (включая Windows 365) | Корпоративная | 64-разрядная версия (Intel или AMD) |
Физические устройства
| Оборудование | Минимальное требование |
|---|---|
| ОЗУ | Не менее 8 ГБ (не менее 2 ГБ должно быть доступно для использования клиентом) |
| Процессор ЦП | Intel i5 или более поздней версии и AMD Ryzen 5 или более поздней версии |
| Карта графики | Совместимость с DirectX 11 или более поздней версии, с драйвером WDDM 1.0 или более поздней версии (в настоящее время поддерживаются только интегрированные графические карты) |
| Дисковое пространство | Не менее 10 ГБ дискового хранилища |
| Display | Минимальное разрешение экрана: 1920 x 1080 |
Hyper-V и виртуальные машины
| Оборудование | Минимальное требование |
|---|---|
| ОЗУ | Не менее 16 ГБ (не менее 2 ГБ должно быть доступно для использования клиентом) |
| Процессор ЦП | Не менее восьми виртуальных ЦП или эквивалентных процессоров |
| Дисковое пространство | Не менее 10 ГБ дискового хранилища |
| Display | Минимальное разрешение экрана: 1920 x 1080 |
Важно!
Если вы не соответствуете минимальным требованиям, вы можете столкнуться с проблемами с клиентом Microsoft Purview и качество судебно-медицинской экспертизы может быть ненадежным.
Параметры записи
События активации, глобальные индикаторы и индикаторы политики играют важную роль во всех политиках управления внутренними рисками, включая политики судебно-медицинских доказательств. События запуска — это действия пользователей, которые определяют, были ли пользователи привлечены к область для оценки в политиках управления внутренними рисками. Индикаторы глобальных параметров определяют, какие действия собирает управление внутренними рисками. Индикаторы политики определяют оценку риска для пользователя в область.
В зависимости от того, как ваша организация решает настроить судебно-медицинские доказательства, вы можете выбрать один из двух вариантов записи:
- Конкретные действия. Этот параметр политики фиксирует действия только в том случае, если событие активации приводит утвержденного пользователя в область политики судебно-медицинской экспертизы и когда для пользователя обнаруживаются условия для индикатора политики. Например, пользователь, утвержденный для сбора судебно-медицинских доказательств, переносится область в политику судебно-медицинских доказательств, и пользователь копирует данные в личные облачные службы хранилища или переносные запоминающие устройства. Запись ограничена только настроенным интервалом времени, когда пользователь копирует данные в личную облачную службу хранилища или переносное запоминающее устройство. Вы можете просмотреть записи для этого параметра на вкладке Судебно-медицинские доказательства на панели мониторинга Оповещений .
- Все действия. Этот параметр политики фиксирует все действия, выполняемые пользователями. Например, ваша организация нуждается в отслеживании действий утвержденного пользователя, активно участвующего в потенциально рискованных действиях, которые могут привести к инциденту безопасности. Возможно, индикаторы политики не достигли порогового значения для оповещения, создаваемого политикой, и потенциально опасное действие может не быть задокументировано. Непрерывная запись помогает предотвратить потенциально рискованное действие от пропущенных или незамеченных. Вы можете просмотреть записи для этого параметра на вкладке Судебно-медицинские доказательства на панели мониторинга Пользовательские отчеты о действиях (предварительная версия).
Важно!
Клипы с криминалистическим доказательством удаляются через 120 дней после их захвата или в конце периода предварительного просмотра, в зависимости от того, какое из этих случаев наступит раньше. Вы можете скачать или передать клипы судебно-медицинских доказательств, прежде чем они будут удалены.
Рабочий процесс
Общий рабочий процесс обнаружения, исследования и исправления оповещений, содержащих запись клипов, выполняет те же основные действия , что и другие политики управления внутренними рисками. Однако при настройке в организации существуют некоторые заметные различия в отношении судебно-медицинских доказательств:
- Пользователи, подлежащие записи, должны иметь явные запросы записи и утверждения. Этот дополнительный процесс не включается в настройку других политик управления внутренними рисками. Пользователи, назначенные группам ролей "Управление внутренними рисками " или "Администраторы управления внутренними рисками ", должны отправить запрос пользователям, назначенным группе ролей Утверждающие управление внутренними рисками , прежде чем любой пользователь в вашей организации будет иметь право на любые варианты записи клипов. Например, это требование помогает поддерживать организационные сценарии, в которых администраторы управления внутренними рисками должны получить явное одобрение от вашего назначенного юридического или кадрового персонала перед включением записи для любого пользователя.
- Устройства должны быть подключены и установлен клиент Microsoft Purview. Прежде чем судебно-медицинские доказательства смогут собирать и хранить клипы, собранные для соответствующих пользователей, их устройства должны быть подключены к порталу Microsoft Purview. Кроме того, на каждом устройстве должен быть установлен клиент Microsoft Purview. Эти предварительные требования обеспечивают поддержку записи устройств как в сети, так и в автономном режиме.
Готовы приступить к работе?
- Пошаговые инструкции по настройке сбора судебно-медицинских доказательств в организации см. в статье Начало работы с судебно-медицинскими доказательствами управления внутренними рисками.
- Сведения о настройке предварительных требований, создании политик и начале получения оповещений см. в статье Начало работы с управлением внутренними рисками.