Начало работы с судебно-медицинскими доказательствами управления внутренними рисками

Важно!

Судебно-медицинские доказательства — это надстройка, включенная в Управление внутренними рисками Microsoft Purview, которая предоставляет командам по безопасности визуальную информацию о потенциальных инцидентах безопасности внутренних данных с встроенной конфиденциальностью пользователей. Судебно-медицинские доказательства включают настраиваемые триггеры событий и встроенные элементы управления конфиденциальностью пользователей, что позволяет группам безопасности лучше исследовать, понимать и реагировать на потенциальные риски инсайдерских данных, такие как несанкционированный кража конфиденциальных данных.

Организации устанавливают правильные политики для себя, включая то, какие рискованные события являются наивысшим приоритетом для сбора судебно-медицинских доказательств и какие данные являются наиболее конфиденциальными. Судебно-медицинские доказательства по умолчанию отключены, для создания политики требуется двойная авторизация, а имена пользователей можно маскировать с помощью псевдонимизации (которая включена по умолчанию для управления внутренними рисками). При настройке политик и проверке оповещений системы безопасности в управлении внутренними рисками используются надежные средства управления доступом на основе ролей (RBAC), гарантирующие, что назначенные сотрудники в организации принимают правильные меры с дополнительными возможностями аудита.

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Настройка судебно-медицинских доказательств в организации аналогична настройке других политик из шаблонов политик управления внутренними рисками. Как правило, вы выполняете те же основные действия по настройке, чтобы настроить судебно-медицинские доказательства, но в некоторых областях требуются действия по настройке для конкретных компонентов, прежде чем приступить к работе с базовыми шагами по настройке.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Шаг 1. Подтверждение подписки и настройка доступа к хранилищу данных

Прежде чем приступить к работе с судебно-медицинскими доказательствами, подтвердите подписку На управление внутренними рисками и все надстройки.

Кроме того, добавьте следующие домены в список разрешенных брандмауэра и прокси-сервера для поддержки хранилища судебно-медицинских доказательств для вашей организации:

По всему миру — домен

- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

GCC/GCC High — домен

- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

DOD — домен

- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

Дополнительные сведения об этих конечных точках см. в статье Конечные точки Microsoft 365.

Примечание.

Сбор и сбор данных хранятся в этих доменах и назначаются только вашей организации. Никакая другая организация Microsoft 365 не имеет доступа к записи судебно-медицинских доказательств для вашей организации.

Данные судебно-медицинских доказательств хранятся в одном регионе, где установлен Exchange Online регион.

Шаг 2. Настройка поддерживаемых устройств

Для сбора судебно-медицинских доказательств соответствующие пользовательские устройства должны быть подключены к порталу Microsoft Purview и иметь установленный клиент Microsoft Purview.

Важно!

Клиент Microsoft Purview автоматически собирает общие диагностические данные, связанные с конфигурацией устройства и метриками производительности. Эти данные включают сведения о критических ошибках, потреблении ОЗУ, сбоях процесса и других данных. Эти данные помогают нам оценить работоспособность клиента и выявить любые проблемы. Дополнительные сведения об использовании диагностических данных см. в разделе Использование программного обеспечения с веб-службами в условиях использования продуктов Майкрософт.

Список требований к устройству и конфигурации см. в статье Сведения о судебно-медицинских доказательствах. Чтобы подключить поддерживаемые устройства, выполните действия, описанные в статье Общие сведения о подключении Windows 10 и Windows 11 устройств в Microsoft 365.

Установка клиента Microsoft Purview

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Установка клиента.

  4. Выберите Скачать пакет установщика (версия x64), чтобы скачать пакет установки для Windows.

  5. После скачивания пакета установки используйте предпочитаемый метод, чтобы установить клиент на устройствах пользователей. Эти параметры могут включать установку клиента вручную на устройствах или использование средств для автоматизации установки клиента:

    • Microsoft Intune. Microsoft Intune — это интегрированное решение для управления всеми вашими устройствами. Корпорация Майкрософт объединяет Configuration Manager и Intune без сложной миграции и упрощенного лицензирования.
    • Сторонние решения по управлению устройствами. Если ваша организация использует сторонние решения для управления устройствами, см. документацию по этим средствам для установки клиента.

Шаг 3. Настройка параметров

У судебно-медицинских доказательств есть несколько параметров конфигурации, которые обеспечивают гибкость для типов отслеживаемых действий пользователей, связанных с безопасностью, параметров записи, ограничений пропускной способности и параметров записи в автономном режиме. Настроив запись судебно-медицинских доказательств, вы можете создавать политики на основе ваших требований. Для добавления пользователей в политику требуется двойная авторизация.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Параметры судебно-медицинских доказательств.

  4. Выберите Запись судебно-медицинских доказательств, чтобы включить поддержку записи в политиках судебно-медицинских доказательств. Если этот параметр отключен, он удаляет всех ранее добавленных пользователей для политик судебно-медицинских доказательств.

    Важно!

    Клиент Microsoft Purview, используемый для отслеживания действий на устройствах пользователей, лицензируется в соответствии с условиями использования программного обеспечения с веб-службами. Клиенты несут полную ответственность за использование решения для управления внутренними рисками, включая клиента Microsoft Purview, в соответствии со всеми применимыми законами.

  5. В окне захвата укажите, когда следует начать и остановить запись действий. Доступные значения: 10 секунд, 30 секунд, 1 минута, 3 минуты или 5 минут.

  6. В разделе Ограничение пропускной способности передачи определите объем данных сбора для отправки в учетную запись хранения данных на пользователя в день. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  7. В разделе Ограничение кэша автономной записи определите максимальный размер кэша для хранения на устройствах пользователей при включении автономной записи. Доступные значения: 100 МБ, 250 МБ, 500 МБ, 1 ГБ или 2 ГБ.

  8. Выберите Сохранить.

Шаг 4. Создание политики

Политики судебно-медицинских доказательств определяют область действий пользователей, связанных с безопасностью, для отслеживания настроенных устройств. У вас есть два варианта захвата судебно-медицинских доказательств:

  • Запись только определенных действий (например, печати или эксфильтрации файлов). С помощью этого параметра вы выбираете действия устройства для записи. Вы также можете записывать действия для определенных классических приложений и веб-сайтов. Этот параметр позволяет сосредоточиться только на действиях, приложениях и веб-сайтах, которые представляют риск.
  • Запишите все действия, которые утвержденные пользователи выполняют на своих устройствах. Этот параметр обычно охватывает определенный период времени, например, когда конкретный пользователь потенциально участвует в рискованных действиях, которые могут привести к инциденту безопасности. Все индикаторы судебно-медицинских доказательств включаются автоматически, например индикаторы устройств и индикаторы расширенной защиты от фишинга. Чтобы сохранить емкость и конфиденциальность пользователей, можно исключить из записи определенные классические приложения и веб-сайты.

После создания политики включите ее в запросы на судебно-медицинские доказательства, чтобы контролировать, какие действия следует записывать для пользователей, запросы которых утверждены.

Примечание.

Политики непрерывной судебной экспертизы (фиксация всех действий) имеют приоритет над выборочными политиками судебно-медицинских доказательств (запись только определенных действий).

Запись только определенных действий

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Политики судебно-медицинских доказательств.

  4. Выберите Создать политику судебно-медицинских доказательств.

  5. На странице Область выберите Конкретные действия. Этот параметр фиксирует только действия, обнаруженные политиками, в которые включены пользователи. Эти действия определяются индикаторами, выбранными в политиках судебно-медицинских доказательств. Вы можете просмотреть записи для этого параметра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Оповещений или Случаев .

  6. Нажмите кнопку Далее.

  7. На странице Название и описание заполните следующие поля:

    • Имя (обязательно): введите понятное имя для политики судебно-медицинских доказательств. Это имя нельзя изменить после создания политики.
    • Описание (необязательно): введите описание политики судебно-медицинских доказательств.
  8. Нажмите кнопку Далее.

  9. На странице Выбор действий устройства для записи :

    1. Выберите все действия устройства, которые требуется записать. Политика фиксирует только выбранные действия.

    Примечание.

    Если индикаторы недоступны для выбора, вам будет предложено включить их.

  10. Чтобы записать действия для определенных классических приложений и веб-сайтов в политике, выберите поле Открытие определенного приложения или веб-сайта проверка в разделе Действия по просмотру приложений и веб-сайтов для записи.

    Важно!

    Чтобы записать действия браузера (для включения или исключения определенных URL-адресов в политики судебно-медицинской экспертизы), обязательно установите необходимые расширения браузера. Кроме того, необходимо включить хотя бы один индикатор просмотра. Если вы еще не включили один или несколько индикаторов браузера, вам будет предложено сделать это, если вы решили включить или исключить классические приложения или веб-сайты. Событием активации для записи действий браузера является обновление URL-адреса в строке URL-адресов, содержащей указанный URL-адрес.

    Нажмите кнопку Далее.

  11. (Необязательно) Если вы решили записать действия для определенных классических приложений и веб-сайтов, на странице Добавление приложений и веб-сайтов, для которого требуется записать действия :

    1. Чтобы добавить классическое приложение, выберите Добавить классические приложения, введите имя исполняемого файла (например, teams.exe), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого классического приложения, которое вы хотите добавить (до 25 приложений). Чтобы найти имя исполняемого файла для приложения, откройте диспетчер задач, а затем просмотрите свойства приложения. Ниже приведен список имен exe для некоторых распространенных приложений: Microsoft Edge (msedge.exe), Microsoft Excel (Excel.exe), ножницы (SnippingTool.exe), Microsoft Teams (Teams.exe), Microsoft Word (WinWord.exe) и Удаленный рабочий стол (Майкрософт) Connection (mstsc.exe).

    Примечание.

    Иногда имена exe для приложения могут отличаться в зависимости от устройства и разрешений, с помощью которых было открыто приложение. Например, на Windows 11 корпоративном устройстве при открытии Windows PowerShell без разрешений администратора имя exe-файла WindowsTerminal.exe но при открытии с разрешениями администратора имя исполняемого файла изменяется на powershell.exe. Обязательно включите или исключите оба имени exe в таких сценариях.

    1. Чтобы добавить веб-приложение или веб-сайт, выберите Добавить веб-приложения и веб-сайты, введите URL-адрес (например, https://teams.microsoft.com), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого веб-приложения или веб-сайта, которые вы хотите добавить. Вы можете добавить до 25 URL-адресов с длиной символа 100 для каждого URL-адреса.

    Совет

    Если приложение имеет классическую и веб-версию, добавьте исполняемый файл и URL-адрес рабочего стола, чтобы убедиться, что вы записываете действия для обоих приложений.

    1. Нажмите кнопку Далее.
  12. На странице Проверка параметров и завершения просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Измените любое из значений политики или нажмите кнопку Отправить , чтобы создать и активировать политику.

  13. После завершения действий по настройке политики перейдите к шагу 5.

Запись всех действий

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Судебно-медицинские доказательства в области навигации слева, а затем выберите Политики судебно-медицинских доказательств.

  4. Выберите Создать политику судебно-медицинских доказательств.

  5. На странице Область выберите Все действия. Этот параметр фиксирует все действия, выполняемые пользователями. Вы можете просмотреть записи для этого параметра на вкладке Судебно-медицинские доказательства (предварительная версия) на панели мониторинга Отчеты о действиях пользователей (предварительная версия).

  6. Нажмите кнопку Далее.

  7. На странице Название и описание заполните следующие поля:

    • Имя (обязательно): введите понятное имя для политики судебно-медицинских доказательств. Это имя нельзя изменить после создания политики.
    • Описание (необязательно): введите описание политики судебно-медицинских доказательств.
  8. Нажмите кнопку Далее.

  9. Если вы хотите исключить определенные классические приложения и (или) веб-приложения или веб-сайты из записи, на странице Выберите действия устройства для записи, в разделе Действия по просмотру приложений и веб-сайтов для записи установите флажок Исключить определенные приложения или веб-сайты проверка.

  10. Нажмите кнопку Далее.

  11. Если вы решили исключить определенные классические приложения и веб-сайты из записи, на странице Исключить приложения и URL-адреса :

    • Чтобы исключить классическое приложение из записи, выберите Исключить классические приложения, введите имя исполняемого файла (например, teams.exe), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого классического приложения, которое вы хотите исключить (до 25 приложений). Чтобы найти имя исполняемого файла для приложения, откройте диспетчер задач, а затем просмотрите свойства приложения.
    • Чтобы исключить веб-приложение или веб-сайт, выберите Исключить веб-приложения и веб-сайты, введите URL-адрес (например, https://teams.microsoft.com), а затем нажмите кнопку Добавить. Повторите этот процесс для каждого веб-приложения или веб-сайта, которые необходимо исключить. Вы можете исключить до 25 URL-адресов с длиной символа 100 для каждого URL-адреса.

    Совет

    Если приложение имеет классическую и веб-версию, добавьте исполняемый файл рабочего стола и веб-URL-адрес, чтобы исключить и то, и другое.

  12. На странице Проверка параметров и завершения просмотрите параметры, выбранные для политики, а также все предложения или предупреждения для выбранных вариантов. Измените любое из значений политики или нажмите кнопку Отправить , чтобы создать и активировать политику.

  13. После завершения действий по настройке политики перейдите к шагу 5.

Шаг 5. Определение и утверждение пользователей для записи

Прежде чем записывать действия пользователей, связанные с безопасностью, администраторы должны следовать процедуре двойной авторизации в судебно-медицинских доказательствах. Этот процесс требует, чтобы соответствующие люди в вашей организации определяли и одобряли включение визуальной записи для конкретных пользователей.

Необходимо запросить включение записи судебно-медицинских доказательств для конкретных пользователей. Когда вы отправляете запрос, утверждающие в вашей организации получают уведомление по электронной почте и могут утвердить или отклонить запрос. В случае утверждения пользователь отображается на вкладке Утвержденные пользователи и имеет право на запись. Дополнительные сведения см. по следующим ссылкам:

Дальнейшие действия

После настройки политики судебной экспертизы может потребоваться до двух часов для применения политики, учитывая, что клиенты судебно-медицинских доказательств (установленные на устройствах конечных точек) находятся в сети. Когда клиент захватывает клип, может потребоваться до одного часа, прежде чем он будет доступен для просмотра. Дополнительные сведения об управлении судебно-медицинскими доказательствами и просмотре видеозаписей см. в статье Управление судебно-медицинскими доказательствами управления информационными рисками .