Настройка индикаторов политики в управлении внутренними рисками
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
Шаблоны политик внутренних рисков в Управление внутренними рисками Microsoft Purview определяют тип действий с рисками, которые необходимо обнаружить и исследовать. Каждый шаблон политики основан на конкретных индикаторах, соответствующих определенным триггерам и действиям по рискам. Все глобальные индикаторы отключены по умолчанию; Для настройки политики управления внутренними рисками необходимо выбрать один или несколько индикаторов.
Сигналы собираются, а оповещения активируются политиками, когда пользователи выполняют действия, связанные с индикаторами.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Типы событий и индикаторов
Управление внутренними рисками использует различные типы событий и индикаторов для сбора сигналов и создания оповещений:
События активации. События, определяющие, активен ли пользователь в политике управления внутренними рисками. Если пользователь добавляется в политику управления внутренними рисками, которая не имеет события активации, он не оценивается политикой как потенциальный риск. Например, пользователь A добавляется в политику, созданную на основе шаблона политики кражи данных, а политика и соединитель отдела кадров Microsoft 365 настроены должным образом. До тех пор, пока у пользователя A не будет указана дата прекращения работы, указанная соединителем управления персоналом, пользователь А не оценивается этой политикой управления внутренними рисками на предмет потенциального риска. Другим примером события активации является оповещение политики защиты от потери данных с высоким уровнем серьезности при использовании политик утечки данных .
Индикаторы глобальных параметров. Индикаторы, включенные в глобальные параметры для управления внутренними рисками, определяют как индикаторы, доступные для настройки в политиках, так и типы сигналов событий, собираемых управлением внутренними рисками. Например, если пользователь копирует данные в личные облачные службы хранилища или переносные устройства хранения и эти индикаторы выбраны только в глобальных параметрах, потенциально рискованные действия пользователя доступны для просмотра в обозревателе действий. Если этот пользователь не определен в политике управления внутренними рисками, он не оценивается политикой как потенциальный риск и, следовательно, ему не назначается оценка риска или не создается оповещение.
Индикаторы политики. Индикаторы, включенные в политики управления внутренними рисками, используются для определения оценки риска для пользователя в область. Индикаторы политики включаются из индикаторов, определенных в глобальных параметрах, и активируются только после возникновения события активации для пользователя. Примеры индикаторов политики:
- Пользователь копирует данные в личные облачные службы хранилища или переносные устройства хранения.
- Учетная запись пользователя удаляется из Microsoft Entra ID.
- Пользователь предоставляет доступ к внутренним файлам и папкам с неавторизованными внешними сторонами.
Некоторые индикаторы и последовательности политик также можно использовать для настройки событий активации для определенных шаблонов политик. При настройке в мастере политик для шаблонов общих утечек данных или утечек данных приоритетными пользователями эти индикаторы или последовательности обеспечивают большую гибкость и настройку политик, а также когда пользователи область политики. Кроме того, можно определить пороговые значения действий управления рисками для этих индикаторов активации для более точного контроля в политике.
Определение индикаторов политики внутренних рисков, которые включены во всех политиках внутренних рисков
Выберите Параметры, а затем — Индикаторы политики.
Выберите один или несколько индикаторов политики. Индикаторы, выбранные на странице Параметры индикаторов политики , не могут быть индивидуально настроены при создании или изменении политики внутренних рисков в мастере политик.
Примечание.
Для отображения новых пользователей, добавленных вручную, на панели мониторинга пользователей может потребоваться несколько часов. Отображение действий этих пользователей за предыдущие 90 дней может занять до 24 часов. Чтобы просмотреть действия для пользователей, добавленных вручную, выберите пользователя на панели мониторинга Пользователи и откройте вкладку Действия пользователя в области сведений.## Индикаторы политики двух типов: встроенные индикаторы и пользовательские индикаторы
Индикаторы и выставление счетов с оплатой по мере использования
Для некоторых индикаторов, включенных в управление внутренними рисками, необходимо включить модель выставления счетов с оплатой по мере использования для организации. В зависимости от настроенной модели выставления счетов может отображаться уведомление с предложением настроить выставление счетов с оплатой по мере использования этих индикаторов.
Встроенные индикаторы и пользовательские индикаторы
Индикаторы политики организованы на две вкладки:
- Встроенные индикаторы. Управление внутренними рисками включает множество встроенных индикаторов для различных сценариев, которые можно использовать сразу в политиках. Выберите индикаторы, которые нужно активировать, а затем настройте пороговые значения индикаторов для каждого уровня индикатора при создании политики внутренних рисков. Встроенные индикаторы описаны более подробно в этой статье.
- Пользовательские индикаторы. Используйте настраиваемые индикаторы вместе с соединителем Индикаторы внутренних рисков (предварительная версия) для привлечения сторонних пользователей к управлению внутренними рисками. Например, вы можете расширить возможности обнаружения, включив Salesforce и Dropbox, и использовать их вместе со встроенными обнаружениями, предоставляемыми решением для управления внутренними рисками, которое ориентировано на рабочие нагрузки Майкрософт (например, SharePoint Online и Exchange Online). Дополнительные сведения о создании настраиваемого индикатора
Встроенные индикаторы
Управление внутренними рисками включает следующие встроенные индикаторы.
Индикаторы Office
К ним относятся индикаторы политики для сайтов SharePoint, Microsoft Teams и сообщений электронной почты.
Индикаторы облачного хранилища (предварительная версия)
Важно!
Для этого индикатора необходимо включить модель выставления счетов с оплатой по мере использования для этой функции в вашей организации.
К ним относятся индикаторы политики для Google Drive, Box и Dropbox, которые можно использовать для обнаружения методов, используемых для определения среды, сбора и кражи данных, а также нарушения доступности или нарушения целостности системы. Чтобы выбрать один из индикаторов облачного хранилища, необходимо сначала подключиться к соответствующим приложениям облачного хранилища в Microsoft Defender.
После настройки можно отключить индикаторы для приложений, которые вы не хотите использовать в параметрах. Например, можно выбрать индикатор загрузки содержимого для Box и Google Drive, но не Dropbox.
Индикаторы облачной службы (предварительная версия)
Важно!
Для этого индикатора необходимо включить модель выставления счетов с оплатой по мере использования для этой функции в вашей организации.
К ним относятся индикаторы политик для Amazon S3 и Azure (SQL Server и хранилища), которые можно использовать для обнаружения методов, используемых для предотвращения обнаружения или рискованных действий. Это может включать:
- Отключение журналов трассировки
- Обновление или удаление правил брандмауэра SQL Server
- Методы, используемые для кражи данных, таких как конфиденциальные документы
- Методы, используемые для нарушения доступности или нарушения целостности системы
- Методы, используемые для получения разрешений более высокого уровня для систем и данных.
Чтобы выбрать один из индикаторов облачных служб, необходимо сначала подключиться к соответствующим исходным приложениям службы в Microsoft Defender.
Индикаторы Microsoft Fabric (предварительная версия)
Важно!
Для этого индикатора необходимо включить модель выставления счетов с оплатой по мере использования для этой функции в вашей организации.
К ним относятся индикаторы политики для Microsoft Power BI, которые можно использовать для обнаружения методов, используемых для определения среды (например, просмотр отчетов и панелей мониторинга Power BI), а также методов сбора интересующих данных (например, скачивания отчетов Power BI).
Индикаторы соответствия требованиям к обмену данными
К ним относятся показатели политики, которые обнаруживают стрессорные события, такие как эмоциональные вспышки, издевательства, неспособность принять критику, неспособность работать или общаться с командой или группой, дискриминация, насильственные угрозы, экстремистское поведение и т. д. Управление внутренними рисками работает вместе с решением Соответствие требованиям к обмену данными Microsoft Purview для обнаружения таких стрессоров, которые указывают на неработоспособную рабочую среду. События стрессора занятости могут влиять на поведение пользователей для рискованных лиц (инициаторов или целевых объектов плохого поведения) несколькими способами, которые связаны с внутренними рисками. Контрпродуктивное поведение на работе может быть предварительным курсором на более серьезные нарушения, такие как саботаж активов компании или утечка конфиденциальной информации.
Примечание.
Вы также можете использовать политику соответствия требованиям к обмену данными в качестве триггера.
Принципы действия
Вы можете выбрать один из трех индикаторов соответствия требованиям к обмену данными:
- Отправка текста финансового регулирования, который может быть рискованным
- Отправка недопустимых изображений
- Отправка неприемлемого содержимого
При выборе пункта Создать политику в разделе Индикаторы соответствия требованиям к обмену данными :
Создается единая политика соответствия требованиям к обмену данными, которая обнаруживает сообщения в Microsoft Exchange Online, Microsoft Teams, Microsoft Viva Engage, а также Microsoft 365 Copilot и Microsoft Copilot. Политика соответствия требованиям к обмену данными основана на выбранном индикаторе. Каждый индикатор связан с определенными обучаемыми классификаторами, используемыми для соответствия требованиям к обмену данными. В следующей таблице показаны обучаемые классификаторы, связанные с каждым индикатором.
Индикатор управления внутренними рисками Связанные обучаемые классификаторы Отправка текста финансового регулирования, который может быть рискованным Жалобы клиентов; Нормативный сговор; Манипуляция с запасами; Подарки & развлечения; Несанкционированное раскрытие информации; Отмывание денег Отправка недопустимых изображений Изображения для взрослых; Непристойные изображения Отправка неприемлемого содержимого Половой; Насилие; Ненавидеть; Самоповреждение Совет
Вы можете щелкнуть значок сведений рядом с каждым индикатором, чтобы увидеть обучаемые классификаторы, используемые индикатором.
В соответствии с данными обучаемые классификаторы перечислены в качестве условий для политики.
Политика соответствия требованиям к обмену данными называется "Индикатор внутренних рисков" и метка времени, например" Индикатор внутренних рисков 24-05-01T09.27.17Z".
Любой пользователь с ролью следователей внутренних рисков в управлении внутренними рисками автоматически добавляется в качестве рецензента для политики соответствия требованиям к обмену данными.
Примечание.
После создания политики соответствия требованиям к обмену данными, чтобы добавить проверяющего в политику, необходимо вручную добавить рецензента в группу ролей Следователей соответствия требованиям к коммуникациям.
Если отключить все индикаторы в параметре Индикаторы политики , политика соответствия требованиям к обмену данными будет приостановлена. Политика будет повторно включена, если снова включить какой-либо из индикаторов.
Индикаторы соответствия требованиям к обмену данными предоставляются для новых и существующих политик управления внутренними рисками, основанных на шаблонах кражи данных или утечки данных .
Если содержимое, отправленное в сообщении, соответствует любому из обучаемых классификаторов, это приводит к соответствию политик в соответствии с данными, которое можно исправить на странице Политики.
Индикаторы, включенные в политики управления внутренними рисками, используются для определения оценки риска для пользователя в область. Они активируются только после того, как для пользователя возникает событие активации.
Аналитические сведения о рисках для связи отображаются на вкладках Обозреватель действий и Действия пользователей в управлении внутренними рисками. Если вы подробно изучите соответствие политики в обозревателе действий или на вкладке Действия пользователя , вы можете узнать больше о действии и получить доступ к ссылке, которая открывает политику соответствия требованиям к обмену данными. В политике соответствия требованиям к обмену данными можно просмотреть содержимое отправленных сообщений.
Примечание.
Чтобы получить доступ к каналу соответствия требованиям к обмену данными, необходимо иметь роль " Соответствие требованиям к обмену данными" или " Следователей по соответствию требованиям к обмену данными".
Включение индикаторов соответствия требованиям к обмену данными в управлении внутренними рисками
В разделе Управление внутренними рисками перейдите в разделПараметры Индикаторы политики, а затем прокрутите страницу до раздела Индикаторы>соответствия требованиям к обмену данными (предварительная версия).
В разделе Обнаружение сообщений, соответствующих определенным обучаемым классификаторам (предварительная версия) выберите Создать политику.
Политика создается в соответствии с данными, а индикаторы соответствия требованиям к обмену данными становятся доступными в параметре Индикаторы политики .
Примечание.
Если вы уже создали политику соответствия требованиям к обмену данными таким образом, но по какой-либо причине ее приостановили, то при выборе пункта Создать политику политика соответствия требованиям к обмену данными будет возобновлена. В этом случае в столбце Состояние в списке "Политики соответствия требованиям к обмену данными" отображается сообщение "Возобновление".
Выберите один или несколько индикаторов соответствия требованиям к обмену данными в параметре Индикаторы политики .
Примечание.
Если вы уже создали политику соответствия требованиям к обмену данными, если выбраны другие индикаторы, политика соответствия требованиям к обмену данными будет изменена, чтобы она отражала соответствующие обучаемые классификаторы. Отключение всех индикаторов приостанавливает политику соответствия требованиям к обмену данными.
Выберите Сохранить.
Чтобы использовать индикаторы, создайте новую политику внутренних рисков или измените существующую политику. Индикаторы отображаются на странице Индикаторы мастера политик. Пороговые значения для индикаторов можно настроить так же, как и для любых других индикаторов в политике управления внутренними рисками.
Примечание.
В настоящее время аналитика в режиме реального времени для параметров пороговых значений индикаторов не доступна для индикаторов соответствия требованиям к обмену данными.
Индикаторы устройств
К ним относятся индикаторы политики для таких действий, как общий доступ к файлам по сети или с устройств. Индикаторы включают действия, включающие все типы файлов, за исключением исполняемых файлов (.exe) и активности файлов динамической библиотеки ссылок (.dll). Если выбрать индикаторы устройств, действия обрабатываются для устройств с Windows 10 сборкой 1809 или более поздней версии и устройствами macOS (три последние версии). Для устройств с Windows и macOS необходимо сначала подключить устройства. Индикаторы устройств также включают обнаружение сигналов браузера, чтобы помочь вашей организации обнаруживать сигналы кражи для неисключаемых файлов, которые просматриваются, копируются, передаются к ним или печатаются в Microsoft Edge и Google Chrome. Дополнительные сведения о настройке устройств Windows для интеграции с внутренними рисками см. в статье Включение индикаторов устройств и подключение устройств Windows в этой статье. Дополнительные сведения о настройке устройств macOS для интеграции с внутренними рисками см. в статье Включение индикаторов устройств и подключение устройств macOS в этой статье. Дополнительные сведения об обнаружении сигналов браузера см. в статье Сведения об обнаружении сигналов для управления внутренними рисками в браузере.
индикаторы Microsoft Defender для конечной точки (предварительная версия)
К ним относятся индикаторы из Microsoft Defender для конечной точки, связанных с неутвержденной или вредоносной установкой программного обеспечения или обходом элементов управления безопасностью. Для получения оповещений в управлении внутренними рисками необходимо включить активную лицензию Defender для конечной точки и интеграцию внутренних рисков. Дополнительные сведения о настройке Defender для конечной точки для интеграции управления внутренними рисками см. в статье Настройка дополнительных функций в Microsoft Defender для конечной точки.
Индикаторы доступа к записям работоспособности
К ним относятся показатели политики для доступа к медицинской записи пациентов. Например, попытки доступа к медицинским записям пациентов в журналах системы электронных медицинских записей (EMR) могут быть переданы политикам здравоохранения управления внутренними рисками. Чтобы получать эти типы оповещений в управлении внутренними рисками, необходимо настроить соединитель данных для конкретных медицинских учреждений и соединитель данных отдела кадров .
Индикаторы физического доступа
К ним относятся индикаторы политики для физического доступа к конфиденциальным ресурсам. Например, попытка доступа к ограниченной области в журналах системы физического нарушения может быть предоставлена политикам управления внутренними рисками. Чтобы получать эти типы оповещений в управлении внутренними рисками, необходимо включить приоритетные физические ресурсы в управлении внутренними рисками и настроить соединитель данных физического нарушения . Дополнительные сведения о настройке физического доступа см. в разделе Приоритет физического доступа этой статьи.
индикаторы Microsoft Defender for Cloud Apps
К ним относятся индикаторы политики из общих оповещений от Defender for Cloud Apps. Автоматическое обнаружение аномалий в Defender for Cloud Apps немедленно начинает обнаруживать и сопоставлять результаты, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Чтобы включить эти действия в оповещения политики управления внутренними рисками, выберите один или несколько индикаторов в этом разделе. Дополнительные сведения об аналитике Defender for Cloud Apps и обнаружении аномалий см. в статье Получение аналитики поведения и обнаружения аномалий.
Индикаторы рискованного просмотра (предварительная версия)
К ним относятся индикаторы политики для действий браузера, связанных с веб-сайтами, которые считаются вредоносными или рискованными, и представляют собой потенциальный риск для внутренних пользователей, который может привести к инциденту безопасности или соответствия требованиям. Рискованные действия в браузере относятся к пользователям, которые посещают потенциально рискованные веб-сайты, такие как связанные с вредоносными программами, порнографией, насилием и другими запрещенными действиями. Чтобы включить эти действия по управлению рисками в оповещения политики, выберите один или несколько индикаторов в этом разделе. Сведения о настройке сигналов кражи в браузере см. в статье Обнаружение сигналов браузера для управления внутренними рисками.
Накопительное обнаружение кражи
Обнаруживает, что действия пользователя по краже по всем каналам кражи за последние 30 дней превышают нормы организации или одноранговых групп. Например, если пользователь находится в роли продаж и регулярно общается с клиентами и партнерами за пределами организации, его внешние действия по электронной почте, скорее всего, будут выше среднего показателя организации. Однако действия пользователя не могут быть необычными по сравнению с коллегами пользователя или другими сотрудниками с похожими названиями должностей. Оценка риска назначается, если совокупная деятельность пользователя по краже является необычной и превышает нормы организации или группы одноранговых узлов.
Примечание.
Группы одноранговых узлов определяются на основе иерархии организации, доступа к общим ресурсам SharePoint и названий заданий в Microsoft Entra ID. Если включить накопительное обнаружение кражи, ваша организация соглашается предоставить общий доступ к Microsoft Entra данным на портале соответствия требованиям, включая иерархию организации и названия должностей. Если ваша организация не использует Microsoft Entra ID для хранения этой информации, обнаружение может быть менее точным.
Бустеры оценки риска
К ним относятся повышение оценки риска для активности по следующим причинам:
Действие, превышающее обычное действие пользователя в этот день. Оценки повышаются, если обнаруженное действие отличается от типичного поведения пользователя.
У пользователя был предыдущий случай, разрешенный как нарушение политики: оценки повышаются, если у пользователя было предыдущее дело в управлении внутренними рисками, которое было разрешено как нарушение политики.
Пользователь является членом группы пользователей с приоритетом. Оценки повышаются, если пользователь является членом группы пользователей с приоритетом.
Пользователь обнаруживается как пользователь, который может оказать большое влияние. Если это включено, пользователи автоматически помечаются как пользователи с высоким уровнем влияния на основе следующих критериев:
- Пользователь взаимодействует с более конфиденциальным содержимым по сравнению с другими пользователями в организации.
- Уровень пользователя в иерархии Microsoft Entra организации.
- Общее число пользователей, отчитывавшихся перед пользователем на основе Microsoft Entra иерархии.
- Пользователь является членом Microsoft Entra встроенной роли с повышенными разрешениями.
Примечание.
При включении потенциального повышения оценки риска пользователей с высоким влиянием вы соглашаетесь предоставить общий доступ к данным Microsoft Entra на портале соответствия требованиям. Если ваша организация не использует метки конфиденциальности или не настроила иерархию организации в Microsoft Entra ID, это обнаружение может быть менее точным. Если пользователь обнаружен как член группы пользователей с приоритетом, а также как пользователь с высоким уровнем влияния, его оценка риска будет повышаться только один раз.
В некоторых случаях может потребоваться ограничить индикаторы политики внутренних рисков, применяемые к политикам внутренних рисков в организации. Индикаторы политики для определенных областей можно отключить, отключив их из всех политик внутренних рисков в глобальных параметрах. События активации можно изменить только для политик, созданных из шаблонов утечки данных или утечки данных приоритетными пользователями . Политики, созданные из всех других шаблонов, не имеют настраиваемых индикаторов или событий активации.
Пользовательские индикаторы
Используйте вкладку Пользовательские индикаторы , чтобы создать пользовательский индикатор, который будет использоваться в качестве триггера или индикатора политики в политиках.
Примечание.
Перед созданием настраиваемого индикатора для импорта данных сторонних индикаторов необходимо создать соединитель Индикаторы внутренних рисков (предварительная версия).
В параметрах управления внутренними рисками выберите Индикаторы политики , а затем перейдите на вкладку Пользовательские индикаторы .
Выберите Добавить пользовательский индикатор.
Введите имя индикатора и описание (необязательно).
В списке Соединитель данных выберите созданный ранее соединитель Индикатор внутренних рисков.
При выборе соединителя данных:
- Имя исходного столбца, выбранного при создании соединителя, отображается в поле Исходный столбец из файла сопоставления . Если вы не выбрали исходный столбец при создании соединителя, в этом поле появится значение None , и вам не нужно делать выбор.
- В списке Значения в исходном столбце выберите значение, которое нужно присвоить пользовательскому индикатору. Эти значения относятся к исходному столбцу, указанному при создании соединителя. Например, если вы создали один соединитель, включающий данные для двух индикаторов (Salesforce и Dropbox), эти значения будут отображаться в списке.
Если вы хотите использовать столбец для задания пороговых значений, в списке Файл сопоставления данных выберите столбец, который будет использоваться для параметра порогового значения. В противном случае выберите параметр Использовать только в качестве события активации без пороговых значений .
Примечание.
Только поля с типом данных Number отображаются в списке Данные из файла сопоставления , так как тип данных Number требуется для установки порогового значения. Тип данных указывается при настройке соединителя.
Выберите Добавить индикатор. Индикатор добавляется в список Пользовательские индикаторы .
Теперь настраиваемый индикатор можно использовать в любых политиках кражи или утечки данных , которые вы создаете или редактируете.
- Если вы используете пользовательский индикатор в качестве триггера, выберите настраиваемый триггер на странице Триггеры при создании или изменении политики.
- Если вы используете пользовательский индикатор в качестве индикатора политики, выберите пользовательский индикатор на странице Индикаторы при создании или изменении политики.
Примечание.
После выбора настраиваемого триггера или индикатора обязательно установите пользовательское пороговое значение (не рекомендуется использовать пороговые значения по умолчанию). Нельзя задать пороговые значения триггера для настраиваемого индикатора, если выбран параметр Использовать только в качестве события триггера без пороговых значений .
После добавления настраиваемого индикатора в политики триггеры и аналитические сведения, созданные на основе настраиваемых индикаторов, отображаются на панели мониторинга оповещений, в обозревателе действий и в временная шкала пользователей.
Важно!
- Обязательно подождите 24 часа перед отправкой данных после обновления пользовательских индикаторов и связанных политик. Это связано с тем, что синхронизация всех компонентов может занять несколько часов. Если вы сразу же отправите данные во время синхронизации обновлений, некоторые данные могут быть не оценены на риск.
Создание варианта встроенного индикатора
Вы можете создавать группы обнаружения (предварительная версия) и использовать их вместе с вариантами встроенных индикаторов (предварительная версия) для адаптации обнаружения для различных наборов пользователей. Например, чтобы уменьшить количество ложных срабатываний для действий электронной почты, можно создать вариант встроенного индикатора Отправки сообщений электронной почты с вложениями получателям за пределами организации , чтобы обнаруживать только сообщения электронной почты, отправленные в личные домены. Вариант наследует все свойства встроенного индикатора. Затем можно изменить вариант с помощью исключений или включений.
В параметрах управления внутренними рисками выберите Индикаторы политики.
Выберите Новый вариант индикатора (предварительная версия). Откроется панель Новый вариант индикатора (предварительная версия) в правой части экрана.
В списке Базовый индикатор выберите индикатор, для которого нужно создать вариант.
Примечание.
Для каждого встроенного индикатора можно создать до трех вариантов. Если вы уже создали три варианта для определенного встроенного индикатора, встроенный индикатор будет неактивен в списке. Существуют также некоторые встроенные индикаторы (например, Microsoft Defender для конечной точки индикаторы), которые не поддерживают варианты.
Добавьте имя для варианта (или примите предложенное имя). Имя варианта не может содержать более 110 символов.
Добавьте описание варианта (необязательно). В политике отображается описание, помогающее отличить ее от других индикаторов или вариантов индикаторов. Описание варианта не может содержать более 256 символов.
В разделе Группа обнаружения выберите один из следующих параметров:
Игнорировать действия, связанные с элементами в выбранных группах. Выберите этот параметр, если вы хотите записать все, кроме нескольких исключений. Например, вы можете использовать этот параметр для записи всех исходящих сообщений электронной почты, за исключением сообщений, отправленных в определенные домены.
Обнаруживайте только действия, связанные с элементами в выбранных группах. Выберите этот параметр, если требуется указать включения для записи. Например, выберите этот параметр, если вы хотите записывать только сообщения электронной почты, отправленные в определенные домены.
Примечание.
Если вы еще не создали группу обнаружения, вы не сможете выбрать параметр в разделе Группа обнаружения .
В списке Выберите одну или несколько групп обнаружения выберите группы обнаружения, которые нужно применить к варианту. Группы обнаружения перечислены в соответствующем заголовке типа обнаружения, чтобы помочь вам найти соответствующую группу. Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить до пяти групп доменов, пяти групп типов файлов и т. д.
Примечание.
В списке отображаются только группы обнаружения, применимые к варианту. Например, группа обнаружения типов файлов не будет отображаться для общего доступа к папкам SharePoint с людьми за пределами индикатора организации , так как она неприменима.
Выберите Сохранить.
Если вы хотите применить новый вариант к определенной политике в диалоговом окне Дальнейшие действия , выберите ссылку На страницу Политики .
Совет
Чтобы убедиться, что вариант фиксирует все важные действия, которые требуется обнаружить, можно применить встроенный индикатор и вариант встроенного индикатора в той же политике. Затем вы можете наблюдать за действиями, которые каждый индикатор фиксирует в оповещениях, а затем использовать только индикатор variant после обнаружения всех элементов.
Использование варианта в политике
Перейдите на страницу Индикаторы мастера политик.
Найдите встроенный индикатор, включающий один или несколько вариантов. Встроенные индикаторы с вариантами помечаются небольшим синим полем в флажке вариант, а в конце текста дескриптора индикатора отображается список, указывающий количество выбранных вариантов. Откройте список, чтобы просмотреть варианты.
Примечание.
Если установить один или все флажки в списке вариантов, флажок первого уровня для встроенного индикатора станет сплошным синим флажком. Если ни один из полей в списке вариантов не выбран, флажок первого уровня будет пустым.
Нажмите кнопку Далее.
На странице Настройка пороговых значений можно настроить пороговые значения для вариантов по отдельности.
Анализ аналитических сведений, предоставляемых вариантами
После добавления вариантов в политики на панели мониторинга создаются оповещения, и исследователь может просмотреть дополнительные сведения на вкладках Обозреватель действий и Действия пользователей .
Изменение варианта
Выделите синий текст в конце текста описания индикатора. Например, выберите +2 варианта, как показано на следующем снимке экрана.
На странице Просмотр и изменение индикаторов выберите Изменить.
Внесите изменения.
Ограничения вариантов
- Для каждого встроенного индикатора можно создать до трех вариантов.
- Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить не более пяти групп доменов, пять групп типов файлов и т. д.
- Для предварительной версии группы обнаружения варианты не поддерживают последовательности, действия совокупного кражи, усилитель оценки риска или аналитику в режиме реального времени.
Определение приоритета вариантов по отношению к глобальным исключениям и содержимому с приоритетом
Область действий происходит в нескольких местах управления внутренними рисками. Определение области выполняется в следующем порядке приоритета:
Глобальные исключения
Исключение или включение области variant
Содержимое приоритета
Включение индикаторов устройств и подключение устройств Windows
Чтобы включить обнаружение действий с рисками на устройствах Windows и включить индикаторы политики для этих действий, устройства Windows должны соответствовать следующим требованиям и выполнить следующие действия по подключению. Дополнительные сведения о требованиях к подключению устройств
Шаг 1. Подготовка конечных точек
Убедитесь, что Windows 10 устройства, которые вы планируете отчеты в управлении внутренними рисками, соответствуют этим требованиям.
- Устройство должно работать Windows 10 64-разрядной сборки 1809 или более поздней версии, а также установить обновление Windows 10 (сборка ОС 17763.1075) от 20 февраля 2020 г.
- Учетная запись пользователя, используемая для входа в устройство Windows 10, должна быть активной учетной записью Microsoft Entra. Устройство Windows 10 может быть Microsoft Entra ID, Microsoft Entra гибридным, присоединенным или зарегистрированным.
- Установите браузер Microsoft Edge на устройстве конечной точки, чтобы обнаружить действия для действия отправки в облако. См. статью Скачивание нового Microsoft Edge на основе Chromium.
Примечание.
Конечная точка защиты от потери данных теперь поддерживает виртуализированные среды, что означает, что решение для управления внутренними рисками поддерживает виртуализированные среды через DLP конечной точки. Дополнительные сведения о поддержке виртуализированных сред в конечной точке DLP
Шаг 2. Подключение устройств
Прежде чем обнаруживать действия по управлению внутренними рисками на устройстве, необходимо включить проверку устройств и подключить конечные точки. Оба действия выполняются в Microsoft Purview.
Если вы хотите включить устройства, которые еще не были подключены, необходимо скачать соответствующий сценарий и развернуть его, как описано в этой статье.
Если у вас уже есть устройства, подключенные к Microsoft Defender для конечной точки, они отображаются в списке управляемых устройств.
Подключение устройств
В этом сценарии развертывания вы включаете устройства, которые еще не были подключены, и просто хотите обнаруживать действия, связанные с внутренними рисками на устройствах Windows.
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
Выберите Параметры в правом верхнем углу страницы.
В разделе Подключение устройств выберите Устройства. Список пуст до тех пор, пока устройства не будут подключены.
Выберите Включить подключение устройства.
Примечание.
Обычно подключение устройств занимает около 60 секунд, подождите около 30 минут, прежде чем обращаться в службу поддержки Microsoft.
Выберите способ развертывания на этих устройствах в списке Метод развертывания , а затем выберите Скачать пакет.
Выполните действия, описанные в разделе Средства и методы подключения для компьютеров с Windows. Эта ссылка открывает начальную страницу доступа к процедурам Microsoft Defender для конечной точки, соответствующим пакету развертывания, который вы выбрали на этапе 5:
- Подключение компьютеров с Windows с помощью групповой политики
- Подключение компьютеров с Windows с помощью Microsoft Endpoint Configuration Manager
- Подключение компьютеров с Windows с помощью инструментов управления мобильными устройствами
- Подключение компьютеров с Windows с помощью локального сценария
- Подключение компьютеров инфраструктуры виртуальных рабочих столов (VDI)
Когда все будет готово и устройство конечной точки будет подключено, оно должно отображаться в списке устройств, и устройство конечной точки начнет сообщать журналы действий аудита для управления внутренними рисками.
Примечание.
Эта возможность включает принудительное применение лицензий. Без необходимой лицензии данные не будут видимы или доступны.
Если устройства уже подключены к Microsoft Defender для конечной точки
Если Microsoft Defender для конечной точки уже развернута и устройства конечных точек предоставляют отчеты, устройства конечных точек отображаются в списке управляемых устройств. Вы можете продолжить подключение новых устройств к управлению внутренними рисками, чтобы расширить охват, перейдя к шагу 2. Подключение устройств.
Включение индикаторов устройств и подключение устройств macOS
Устройства macOS (Catalina 10.15 или более поздней версии) можно подключить к Microsoft 365 для поддержки политик управления внутренними рисками с помощью Intune или JAMF Pro. Дополнительные сведения и рекомендации по настройке см. в статье Подключение устройств macOS к Microsoft 365 overview (предварительная версия).
Параметры уровня индикатора
При создании политики с помощью мастера политик можно настроить, как ежедневное количество событий риска должно влиять на оценку риска для оповещений о внутренних рисках. Эти параметры индикатора помогают управлять тем, как количество вхождений событий риска в организации влияет на оценку риска (и связанную серьезность оповещения) для этих событий.
Например, предположим, что вы решили включить индикаторы SharePoint в параметрах политики внутренних рисков и выбрать настраиваемые пороговые значения для событий SharePoint при настройке индикаторов для новой политики утечки данных . В мастере политики внутренних рисков вы настроите три разных уровня ежедневных событий для каждого индикатора SharePoint, чтобы повлиять на оценку риска для оповещений, связанных с этими событиями.
Для первого ежедневного уровня событий задается пороговое значение:
- 10 или более событий в день для снижения влияния на оценку риска для событий
- 20 или более событий в день для среднего влияния на оценку риска для событий
- 30 или более событий в день для более высокого влияния на оценку риска для событий
Фактически эти параметры означают следующее:
- Если есть 1–9 событий SharePoint, которые происходят после события триггера, оценки риска оказывают минимальное влияние и, как правило, не создают оповещение.
- Если после события триггера происходит от 10 до 19 событий SharePoint, оценка риска по своей сути ниже, а уровни серьезности оповещений, как правило, будут находиться на низком уровне.
- Если после запуска события происходит от 20 до 29 событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, будут находиться на среднем уровне.
- Если после события активации происходит 30 или более событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, будут находиться на высоком уровне.
Другой вариант пороговых значений политики — назначить событие, инициирующее политику, действиям по управлению рисками, превышающим обычное ежедневное число пользователей. Вместо того, чтобы определяться определенными параметрами порога, каждое пороговое значение динамически настраивается для аномальных действий, обнаруженных для пользователей политики область. Если для отдельного индикатора поддерживается пороговое действие для аномальных действий, в мастере политик для этого индикатора можно выбрать Действие выше обычного действия пользователя в течение дня . Если этот параметр отсутствует в списке, активация аномальных действий для индикатора недоступна. Если параметр Действие выше обычного действия пользователя в течение дня указан для индикатора , но его нельзя выбрать, необходимо включить этот параметр в параметрах>политики параметров предварительной оценки.
Использование рекомендаций аналитики в режиме реального времени для установки пороговых значений
Вы можете использовать аналитику в режиме реального времени (предварительная версия), чтобы воспользоваться преимуществами интерактивного (управляемого данными) порогового интерфейса, позволяющего быстро выбрать соответствующие пороговые значения для индикаторов политики. Этот интерактивный интерфейс поможет эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не было слишком мало или слишком много оповещений политики.
Если аналитика включена:
Параметр Применить пороговые значения для действий пользователей включен на странице Индикаторы мастера политик. Выберите этот параметр, если вы хотите, чтобы управление внутренними рисками предоставляли рекомендации по пороговым значениям индикаторов на основе предыдущих 10 дней активности пользователей в вашей организации.
Примечание.
Чтобы использовать этот параметр, необходимо выбрать по крайней мере один встроенный индикатор политики. Управление внутренними рисками не предоставляет рекомендуемые пороговые значения для пользовательских индикаторов или вариантов встроенных индикаторов.
Если выбрать параметр Выбрать собственные пороговые значения на странице Индикаторы мастера политик, значения по умолчанию для параметров пороговых значений будут основаны на рекомендуемых пороговых значениях (на основе действий в организации) вместо встроенных значений по умолчанию. Вы также увидите датчик, список пяти основных индикаторов и аналитические сведения для каждого индикатора.
О. Датчик показывает приблизительное число пользователей с заданной областью, действия которых за предыдущие 10 дней превысили минимальные ежедневные пороговые значения по крайней мере для одного из выбранных встроенных индикаторов для политики. Этот датчик может помочь оценить количество оповещений, которые могут быть созданы, если всем пользователям, включенным в политику, назначены оценки риска.
Б. Список первых пяти индикаторов сортируется по количеству пользователей, превышающих самые низкие пороговые значения в день. Если политики создают слишком много оповещений, это те индикаторы, на которые вы можете сосредоточиться, чтобы уменьшить "шум".
C. Аналитические сведения для каждого индикатора отображаются под набором параметров порогового значения для этого индикатора. Аналитика показывает приблизительное число пользователей, действия которых за предыдущие 10 дней превысили указанные низкие пороговые значения для индикатора. Например, если для параметра "Скачивать содержимое из SharePoint " задано значение 100, в аналитических сведениях показано количество пользователей в политике, которые в среднем за предыдущие 10 дней выполняли более 100 действий загрузки.
Примечание.
Глобальные исключения (интеллектуальные обнаружения) учитываются для аналитики в режиме реального времени.
Настройка пороговых параметров вручную
Если выбрать параметр Выбрать собственные пороговые значения и вручную настроить пороговое значение для определенного индикатора, аналитические сведения под индикатором обновится в режиме реального времени. Это помогает настроить соответствующие пороговые значения для каждого индикатора, чтобы достичь наивысшего уровня эффективности оповещений перед активацией политик.
Чтобы сэкономить время и упростить понимание влияния ручного изменения пороговых значений, выберите ссылку Просмотреть влияние в аналитических сведениях, чтобы отобразить диаграмму Пользователи, превышающие ежедневное пороговое значение для индикатора . Этот график предоставляет анализ конфиденциальности для каждого индикатора политики.
Важно!
Этот график недоступен, если при создании политики выбран параметр Включить определенных пользователей . Необходимо выбрать параметр Включить всех пользователей и группы .
Этот график можно использовать для анализа шаблонов действий пользователей в организации для выбранного индикатора. Например, на предыдущем рисунке пороговое значение для общего доступа к файлам SharePoint с людьми за пределами организации имеет значение 38. На графике показано, сколько пользователей выполнили действия, которые превысили это пороговое значение, а также распределение оповещений о низкой, средней и высокой серьезности для этих действий. Выберите панель, чтобы просмотреть аналитические сведения для каждого значения. Например, на приведенном выше рисунке выбрана панель для значения 50 , и аналитика показывает, что при этом пороговом значении примерно 22 пользователя выполнили по крайней мере 50 событий по крайней мере за один день за последние 10 дней.
Предварительные требования для использования аналитики в режиме реального времени
Чтобы использовать аналитику в режиме реального времени (предварительная версия), необходимо включить аналитику внутренних рисков. После включения аналитики может потребоваться от 24 до 48 часов для отображения аналитических сведений и рекомендаций.