Настройка индикаторов политики в управлении внутренними рисками

Шаблоны политик внутренних рисков в Управление внутренними рисками Microsoft Purview определяют тип действий с рисками, которые необходимо обнаружить и исследовать. Каждый шаблон политики основан на конкретных индикаторах, соответствующих определенным триггерам и действиям по рискам. Все глобальные индикаторы отключены по умолчанию; Для настройки политики управления внутренними рисками необходимо выбрать один или несколько индикаторов.

Сигналы собираются, а оповещения активируются политиками, когда пользователи выполняют действия, связанные с индикаторами.

Управление внутренними рисками использует различные типы событий и индикаторов для сбора сигналов и создания оповещений:

• События активации. События, определяющие, активен ли пользователь в политике управления внутренними рисками. Если пользователь добавляется в политику управления внутренними рисками, которая не имеет события активации, он не оценивается политикой как потенциальный риск. Например, пользователь A добавляется в политику, созданную на основе шаблона политики кражи данных, а политика и соединитель отдела кадров Microsoft 365 настроены должным образом. До тех пор, пока у пользователя A не будет указана дата прекращения работы, указанная соединителем управления персоналом, пользователь А не оценивается этой политикой управления внутренними рисками на предмет потенциального риска. Другим примером события активации является оповещение политики защиты от потери данных с высоким уровнем серьезности при использовании политик утечки данных .

• Индикаторы глобальных параметров. Индикаторы, включенные в глобальные параметры для управления внутренними рисками, определяют как индикаторы, доступные для настройки в политиках, так и типы сигналов событий, собираемых управлением внутренними рисками. Например, если пользователь копирует данные в личные облачные службы хранилища или переносные устройства хранения и эти индикаторы выбраны только в глобальных параметрах, потенциально рискованные действия пользователя доступны для просмотра в обозревателе действий. Если этот пользователь не определен в политике управления внутренними рисками, он не оценивается политикой как потенциальный риск и, следовательно, ему не назначается оценка риска или не создается оповещение.

• Индикаторы политики. Индикаторы, включенные в политики управления внутренними рисками, используются для определения оценки риска для пользователя в область. Индикаторы политики включаются из индикаторов, определенных в глобальных параметрах, и активируются только после возникновения события активации для пользователя. Примеры индикаторов политики:

  • Пользователь копирует данные в личные облачные службы хранилища или переносные устройства хранения.
  • Учетная запись пользователя удаляется из Microsoft Entra ID.
  • Пользователь предоставляет доступ к внутренним файлам и папкам с неавторизованными внешними сторонами.

Некоторые индикаторы и последовательности политик также могут использоваться для настройки событий активации для определенных шаблонов политик. При настройке в рабочем процессе политики для шаблонов общих утечек данных или утечек данных приоритетными пользователями эти индикаторы или последовательности обеспечивают большую гибкость и настройку политик, а также когда пользователи область политики. Кроме того, можно определить пороговые значения действий управления рисками для этих индикаторов активации для более точного контроля в политике.

1. Выберите Параметры, а затем — Индикаторы политики.

2. Выберите один или несколько индикаторов политики. Индикаторы, выбранные на странице Параметры индикаторов политики , не могут быть индивидуально настроены при создании или изменении политики внутренних рисков в рабочем процессе политики.

   Примечание

   Для отображения новых пользователей, добавленных вручную, на панели мониторинга пользователей может потребоваться несколько часов. Отображение действий за предыдущие 90 дней для этих пользователей может занять до 24 часов. Чтобы просмотреть действия для пользователей, добавленных вручную, выберите пользователя на панели мониторинга Пользователи и откройте вкладку Действия пользователя в области сведений.## Индикаторы политики двух типов: встроенные индикаторы и пользовательские индикаторы

Для некоторых индикаторов, включенных в управление внутренними рисками, необходимо включить модель выставления счетов с оплатой по мере использования для организации. В зависимости от настроенной модели выставления счетов может отображаться уведомление с предложением настроить выставление счетов с оплатой по мере использования этих индикаторов.

Индикаторы политики организованы на две вкладки:

• Встроенные индикаторы. Управление внутренними рисками включает множество встроенных индикаторов для различных сценариев, которые можно использовать сразу в политиках. Выберите индикаторы, которые нужно активировать, а затем настройте пороговые значения индикаторов для каждого уровня индикатора при создании политики внутренних рисков. Встроенные индикаторы описаны более подробно в этой статье.
• Пользовательские индикаторы. Используйте настраиваемые индикаторы вместе с соединителем Индикаторы внутренних рисков (предварительная версия) для привлечения сторонних пользователей к управлению внутренними рисками. Например, вы можете расширить возможности обнаружения, включив Salesforce и Dropbox, и использовать их вместе со встроенными обнаружениями, предоставляемыми решением для управления внутренними рисками, которое ориентировано на рабочие нагрузки Майкрософт (например, SharePoint Online и Exchange Online). Дополнительные сведения о создании настраиваемого индикатора

Управление внутренними рисками включает следующие встроенные индикаторы.

К ним относятся индикаторы политики для сайтов SharePoint, Microsoft Teams и сообщений электронной почты.

К ним относятся индикаторы политики для Google Drive, Box и Dropbox, которые можно использовать для обнаружения методов, используемых для определения среды, сбора и кражи данных, а также нарушения доступности или нарушения целостности системы. Чтобы выбрать один из индикаторов облачного хранилища, необходимо сначала подключиться к соответствующим приложениям облачного хранилища в Microsoft Defender.

После настройки можно отключить индикаторы для приложений, которые вы не хотите использовать в параметрах. Например, можно выбрать индикатор загрузки содержимого для Box и Google Drive, но не Dropbox.

К ним относятся индикаторы политик для Amazon S3 и Azure (SQL Server и хранилища), которые можно использовать для обнаружения методов, используемых для предотвращения обнаружения или рискованных действий. К ним относятся:

• Отключение журналов трассировки
• Обновление или удаление правил брандмауэра SQL Server
• Методы, используемые для кражи данных, таких как конфиденциальные документы
• Методы, используемые для нарушения доступности или нарушения целостности системы
• Методы, используемые для получения разрешений более высокого уровня для систем и данных.

Чтобы выбрать один из индикаторов облачных служб, необходимо сначала подключиться к соответствующим исходным приложениям службы в Microsoft Defender.

К ним относятся обнаружения рисков из Защита Microsoft Entra ID. Обнаружение рисков — это мощный ресурс, который может включать любые подозрительные или аномальные действия, связанные с учетной записью пользователя в каталоге. Защита Microsoft Entra ID обнаружения рисков можно связать с отдельным пользователем или событием входа.

Обнаружение рисков пользователей может помечать законную учетную запись пользователя как подверженную риску, когда потенциальный субъект угрозы получает доступ к учетной записи путем компрометации своих учетных данных или когда он обнаруживает какой-либо аномальный тип действий пользователя. Обнаружение рисков при входе представляет вероятность того, что заданный запрос на проверку подлинности не является полномочным владельцем учетной записи.

Чтобы сохранить релевантность индикаторов для политик управления внутренними рисками, оцениваются только оповещения Entra в состоянии ConfirmedCompromised или Исправлено . Дополнительные сведения об обнаружении рисков в Защита Microsoft Entra ID см. в статье Обнаружение рисков в Защита Microsoft Entra ID.

К ним относятся индикаторы политики для Microsoft Power BI, которые можно использовать для обнаружения методов, используемых для определения среды (например, просмотр отчетов и панелей мониторинга Power BI), а также методов сбора интересующих данных (например, скачивания отчетов Power BI).

К ним относятся индикаторы политики для многочисленных приложений искусственного интеллекта. Используйте эти индикаторы в политиках для анализа взаимодействий (запросов и ответов), введенных в этих приложениях, а также для выявления недопустимых или рискованных взаимодействий или обмена конфиденциальной информацией. К этим индикаторам относятся следующие приложения искусственного интеллекта:

• Microsoft Copilot взаимодействия: поддержка взаимодействия с пользователем в Copilot в Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio, любом подключенном или облачном приложении ИИ.

  Важно!

  Использование этого индикатора для данных ИИ, отличных от Microsoft 365, требует включения выставления счетов с оплатой по мере использования в вашей организации. Данные ИИ, не относящиеся к Microsoft 365, включают сведения из других приложений искусственного интеллекта от Корпорации Майкрософт и других подключенных внешних приложений ИИ. Этот тип данных включает Copilot в Microsoft Fabric, Microsoft Security Copilot, Microsoft Copilot Studio, любое подключенное или облачное приложение ИИ. В Microsoft 365 отсутствуют требования к выставлению счетов с оплатой по мере использования или плата за обнаружение неуместного или рискованного взаимодействия с Microsoft 365 Copilot данными.

• Корпоративные приложения ИИ. Приложения ИИ, отличные от Copilot, подключенные с помощью соединителей Microsoft Entra и Схема данных Microsoft Purview.

  Важно!

  Использование этого индикатора требует включения выставления счетов с оплатой по мере использования в организации.

• Другие приложения ИИ: приложения ИИ, обнаруженные пользователями в вашей организации в браузере.

• индикаторы Безопасность содержимого ИИ Azure. Поддержка индикаторов соответствия требованиям к обмену данными для выявления запросов и ответов, соответствующих классификаторам, предоставляемым Безопасность содержимого ИИ Azure, таким как экраны запроса и защищенные материалы.

  Важно!

  При выборе этого индикатора создается политика соответствия требованиям к обмену данными. Если эта политика изменена в разделе Соответствие требованиям к обмену данными, может потребоваться выставление счетов с оплатой по мере использования .

К ним относятся показатели политики, которые обнаруживают стрессорные события, такие как эмоциональные вспышки, издевательства, неспособность принять критику, неспособность работать или общаться с командой или группой, дискриминация, насильственные угрозы, экстремистское поведение и т. д. Управление внутренними рисками работает вместе с решением Соответствие требованиям к обмену данными Microsoft Purview для обнаружения таких стрессоров, которые указывают на неработоспособную рабочую среду. События стрессора занятости могут влиять на поведение пользователей для рискованных лиц (инициаторов или целевых объектов плохого поведения) несколькими способами, которые связаны с внутренними рисками. Контрпродуктивное поведение на работе может быть предвестником более серьезных нарушений, таких как саботаж активов компании или утечка конфиденциальной информации.

Кроме того, можно определить сообщения, соответствующие определенным типам сведений о конфиденциальности (SIT). Включение конфиденциальной информации, непреднамеренно или злонамеренно включаемых в сообщения оценок риска пользователей и их истории действий, предоставляет следователям дополнительные сведения, которые помогут быстро принять меры по устранению потенциальной утечки данных. Для политики можно выбрать до 30 SIT. Некоторые сценарии могут включать в себя помощь в обнаружении:

• Вербовка иностранных сотрудников
• Браконьерство государственного субъекта
• Совместное использование конфиденциальной информации, такой как секретные формулы, финансовые отчеты и другое собственность
• Общий доступ к паролям

Вы можете выбрать один из следующих индикаторов соответствия требованиям к обмену данными:

• Отправка неприемлемого содержимого
• Отправка текста финансового регулирования, который может быть рискованным
• Отправка недопустимых изображений

Вы также можете определить типы конфиденциальной информации, включенные в сообщения.

При выборе пункта Создать политику в разделе Индикаторы соответствия требованиям к обмену данными :

• Создается единая политика соответствия требованиям к обмену данными, которая обнаруживает сообщения в Microsoft Exchange Online, Microsoft Teams, Microsoft Viva Engage, а также Microsoft 365 Copilot и Microsoft 365 Copilot Chat. Политика соответствия требованиям к обмену данными основана на индикаторах и sit, которые вы выбираете. Каждый индикатор связан с определенными обучаемыми классификаторами, используемыми для соответствия требованиям к обмену данными. Каждый индикатор связан с определенными обучаемыми классификаторами и типами конфиденциальной информации. Дополнительные сведения см. в разделе Классификаторы безопасности содержимого на основе больших языковых моделей.

  Совет

  Вы можете щелкнуть значок сведений рядом с каждым индикатором, чтобы увидеть обучаемые классификаторы, используемые индикатором.

  В соответствии с обменом данными обучаемые классификаторы и SIT перечислены в качестве условий для политики.

• Политика соответствия требованиям к обмену данными называется "Индикатор внутренних рисков", а также метка времени, например" Индикатор внутренних рисков 24-05-01T09.27.17Z" или "Индикатор внутренних рисков SIT 24-05-01T09.27.17Z".

• Любой пользователь с ролью следователей внутренних рисков в управлении внутренними рисками автоматически добавляется в качестве рецензента для политики соответствия требованиям к обмену данными.

  Примечание

  После создания политики соответствия требованиям к обмену данными, чтобы добавить проверяющего в политику, необходимо вручную добавить рецензента в группу ролей Следователей соответствия требованиям к коммуникациям.

• Если отключить все индикаторы в параметре Индикаторы политики , политика соответствия требованиям к обмену данными будет приостановлена. Политика будет повторно включена, если снова включить какой-либо из индикаторов.

• Индикаторы соответствия требованиям к обмену данными предоставляются для новых и существующих политик управления внутренними рисками, основанных на шаблонах кражи данных или утечки данных .

• Если содержимое, отправленное в сообщении, соответствует любому из обучаемых классификаторов, это приводит к соответствию политик в соответствии с данными, которое можно исправить на странице Политики.

• Индикаторы, включенные в политики управления внутренними рисками, используются для определения оценки риска для пользователя в область. Они активируются только после того, как для пользователя возникает событие активации.

• Аналитические сведения о рисках для связи отображаются на вкладках Обозреватель действий и Действия пользователей в управлении внутренними рисками. Если вы подробно изучите соответствие политики в обозревателе действий или на вкладке Действия пользователя , вы можете узнать больше о действии и получить доступ к ссылке, которая открывает политику соответствия требованиям к обмену данными. В политике соответствия требованиям к обмену данными можно просмотреть содержимое отправленных сообщений.

  

  Примечание

  Чтобы получить доступ к каналу соответствия требованиям к обмену данными, необходимо иметь роль " Соответствие требованиям к обмену данными" или " Следователей по соответствию требованиям к обмену данными".

1. В разделе Управление внутренними рисками перейдите в разделПараметры Индикаторы политики, а затем прокрутите страницу до раздела Индикаторы>соответствия требованиям к обмену данными (предварительная версия).

2. В разделе Обнаружение сообщений, соответствующих определенным обучаемым классификаторам (предварительная версия) выберите Создать политику.

   Политика создается в соответствии с данными, а индикаторы соответствия требованиям к обмену данными становятся доступными в параметре Индикаторы политики .

   Примечание

   Если вы уже создали политику соответствия требованиям к обмену данными таким образом, но по какой-либо причине ее приостановили, то при выборе пункта Создать политику политика соответствия требованиям к обмену данными будет возобновлена. В этом случае в столбце Состояние в списке "Политики соответствия требованиям к обмену данными" отображается сообщение "Возобновление".

3. Выберите один или несколько индикаторов соответствия требованиям к обмену данными в параметре Индикаторы политики .

   Примечание

   Если вы уже создали политику соответствия требованиям к обмену данными, если выбраны другие индикаторы, политика соответствия требованиям к обмену данными будет изменена, чтобы она отражала соответствующие обучаемые классификаторы. Отключение всех индикаторов приостанавливает политику соответствия требованиям к обмену данными.

4. Выберите Сохранить.

5. Чтобы использовать индикаторы, создайте новую политику внутренних рисков или измените существующую политику. Индикаторы отображаются на странице Индикаторы рабочего процесса политики. Пороговые значения для индикаторов можно настроить так же, как и для любых других индикаторов в политике управления внутренними рисками.

   Примечание

   В настоящее время аналитика в режиме реального времени для параметров пороговых значений индикаторов не доступна для индикаторов соответствия требованиям к обмену данными.

К ним относятся индикаторы политики, интегрированные с политиками защиты от потери данных (DLP). Выбрав политики защиты от потери данных в качестве индикаторов в политиках управления внутренними рисками, вы можете автоматически определить наличие у пользователя оповещений в подключенных политиках защиты от потери данных. Политики защиты от потери данных помогают защитить конфиденциальную информацию и снизить риски чрезмерного совместного использования данных с недопустимыми пользователями или организациями.

Когда для пользователя создается оповещение об управлении внутренними рисками, вы можете быстро определить, есть ли у пользователя оповещения о высоком риске, связанные с политиками защиты от потери данных в вашей организации, не переходя к решению защиты от потери данных на портале Microsoft Purview. Вы можете просматривать и оценивать действия по управлению внутренними рисками и связанные оповещения защиты от потери данных в рамках управления внутренними рисками в едином представлении.

Шаг 1. Чтобы включить оповещения защиты от потери данных в качестве индикаторов, выполните следующие действия.

1. В параметрах управления внутренними рисками выберите Индикаторы политики , а затем перейдите на вкладку Встроенные индикаторы .
2. Перейдите к индикаторам защиты от потери данных (DLP) (предварительная версия)
3. Выберите Добавить политики защиты от потери данных.
4. Выберите политики защиты от потери данных, для которого нужно просмотреть оповещения в управлении внутренними рисками.
5. Нажмите Добавить.
6. Установите флажок Создание оповещений из выбранных политик защиты от потери данных .
7. Выберите Сохранить.

Шаг 2. Чтобы назначить индикаторы оповещений DLP определенной политике управления внутренними рисками, выполните следующие действия.

1. Создайте настраиваемую политику с помощью одного из следующих шаблонов:

   • Кража данных уходящими пользователями
   • Утечки данных
   • Утечки данных приоритетными пользователями
   • Утечка данных рискованными пользователями
   • Рискованное использование ИИ

2. Настройте политику соответствующим образом, пока не перейдете на страницу Индикаторы .

3. На странице Индикаторы перейдите к разделу Индикаторы защиты от потери данных (DLP) (предварительная версия).

4. Установите флажок Создание оповещений из выбранных политик защиты от потери данных .

5. Завершите рабочий процесс настройки политики и сохраните новую политику.

К ним относятся индикаторы политики для таких действий, как общий доступ к файлам по сети или с устройств. Индикаторы включают действия, включающие все типы файлов, за исключением исполняемых файлов (.exe) и активности файлов динамической библиотеки ссылок (.dll). Если выбрать индикаторы устройств, действия обрабатываются для устройств с Windows 10 сборкой 1809 или более поздней версии и устройствами macOS (три последние версии). Для устройств с Windows и macOS необходимо сначала подключить устройства. Индикаторы устройств также включают обнаружение сигналов браузера, чтобы помочь вашей организации обнаруживать сигналы кражи для неисключаемых файлов, которые просматриваются, копируются, передаются к ним или печатаются в Microsoft Edge и Google Chrome. Дополнительные сведения о настройке устройств Windows для интеграции с внутренними рисками см. в статье Включение индикаторов устройств и подключение устройств Windows в этой статье. Дополнительные сведения о настройке устройств macOS для интеграции с внутренними рисками см. в статье Включение индикаторов устройств и подключение устройств macOS в этой статье. Дополнительные сведения об обнаружении сигналов браузера см. в статье Сведения об обнаружении сигналов для управления внутренними рисками в браузере.

К ним относятся индикаторы из Microsoft Defender для конечной точки, связанных с неутвержденной или вредоносной установкой программного обеспечения или обходом элементов управления безопасностью. Для получения оповещений в управлении внутренними рисками необходимо включить активную лицензию Defender для конечной точки и интеграцию внутренних рисков. Дополнительные сведения о настройке Defender для конечной точки для интеграции управления внутренними рисками см. в статье Настройка дополнительных функций в Microsoft Defender для конечной точки.

К ним относятся показатели политики для доступа к медицинской записи пациентов. Например, попытки доступа к медицинским записям пациентов в журналах системы электронных медицинских записей (EMR) могут быть переданы политикам здравоохранения управления внутренними рисками. Чтобы получать эти типы оповещений в управлении внутренними рисками, необходимо настроить соединитель данных для конкретных медицинских учреждений и соединитель данных отдела кадров .

К ним относятся индикаторы политики для физического доступа к конфиденциальным ресурсам. Например, попытка доступа к ограниченной области в журналах системы физического нарушения может быть предоставлена политикам управления внутренними рисками. Чтобы получать эти типы оповещений в управлении внутренними рисками, необходимо включить приоритетные физические ресурсы в управлении внутренними рисками и настроить соединитель данных физического нарушения . Дополнительные сведения о настройке физического доступа см. в разделе Приоритет физического доступа этой статьи.

К ним относятся индикаторы политики из общих оповещений от Defender for Cloud Apps. Автоматическое обнаружение аномалий в Defender for Cloud Apps немедленно начинает обнаруживать и сопоставлять результаты, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Чтобы включить эти действия в оповещения политики управления внутренними рисками, выберите один или несколько индикаторов в этом разделе. Дополнительные сведения об аналитике Defender for Cloud Apps и обнаружении аномалий см. в статье Получение аналитики поведения и обнаружения аномалий.

К ним относятся индикаторы политики для средств и приложений ИИ Майкрософт. Рискованное поведение от пользователей и ответы, созданные ИИ, которые включают конфиденциальную информацию, включаются в эти индикаторы. Например, попытка предоставления пользователю доступа к конфиденциальной информации в средстве или приложении ИИ считается рискованным действием. Аналогичным образом, средство или приложение ИИ, возвращающее ответ, содержащий конфиденциальную информацию, также считается рискованным поведением.

К ним относятся индикаторы политики для действий браузера, связанных с веб-сайтами, которые считаются вредоносными или рискованными и представляют собой потенциальный риск для внутренних пользователей, который может привести к инциденту безопасности или соответствия требованиям. Рискованные действия в браузере относятся к пользователям, которые посещают потенциально рискованные веб-сайты, такие как связанные с вредоносными программами, порнографией, насилием и другими запрещенными действиями. Чтобы включить эти действия по управлению рисками в оповещения политики, выберите один или несколько индикаторов в этом разделе. Сведения о настройке сигналов кражи в браузере см. в статье Обнаружение сигналов браузера для управления внутренними рисками.

Обнаруживает, что действия пользователя по краже по всем каналам кражи за последние 30 дней превышают нормы организации или одноранговых групп. Например, если пользователь находится в роли продаж и регулярно общается с клиентами и партнерами за пределами организации, его внешние действия по электронной почте, скорее всего, будут выше среднего показателя организации. Однако действия пользователя не могут быть необычными по сравнению с коллегами пользователя или другими пользователями с похожими названиями должностей. Оценка риска назначается, если совокупная деятельность пользователя по краже является необычной и превышает нормы организации или группы одноранговых узлов.

К ним относятся повышение оценки риска для активности по следующим причинам:

• Действие, превышающее обычное действие пользователя в этот день. Оценки повышаются, если обнаруженное действие отличается от типичного поведения пользователя.

• У пользователя был предыдущий случай, разрешенный как нарушение политики: оценки повышаются, если у пользователя было предыдущее дело в управлении внутренними рисками, которое было разрешено как нарушение политики.

• Пользователь является членом группы пользователей с приоритетом. Оценки повышаются, если пользователь является членом группы пользователей с приоритетом.

• Пользователь обнаруживается как пользователь, который может оказать большое влияние. Если это включено, пользователи автоматически помечаются как пользователи с высоким уровнем влияния на основе следующих критериев:

  • Пользователь взаимодействует с более конфиденциальным содержимым по сравнению с другими пользователями в организации.
  • Уровень пользователя в иерархии Microsoft Entra организации.
  • Общее число пользователей, отчитывавшихся перед пользователем на основе Microsoft Entra иерархии.
  • Пользователь является членом Microsoft Entra встроенной роли с повышенными разрешениями.

  Примечание

  При включении потенциального повышения оценки риска пользователей с высоким влиянием вы соглашаетесь предоставить общий доступ к Microsoft Entra данным на портале Microsoft Purview. Если ваша организация не использует метки конфиденциальности или не настроила иерархию организации в Microsoft Entra ID, это обнаружение может быть менее точным. Если пользователь обнаружен как член группы пользователей с приоритетом, а также как пользователь с высоким уровнем влияния, его оценка риска будет повышаться только один раз.

В некоторых случаях может потребоваться ограничить индикаторы политики внутренних рисков, применяемые к политикам внутренних рисков в организации. Индикаторы политики для определенных областей можно отключить, отключив их из всех политик внутренних рисков в глобальных параметрах. События активации можно изменить только для политик, созданных из шаблонов утечки данных или утечки данных приоритетными пользователями . Политики, созданные из всех других шаблонов, не имеют настраиваемых индикаторов или событий активации.

Используйте вкладку Пользовательские индикаторы , чтобы создать пользовательский индикатор, который будет использоваться в качестве триггера или индикатора политики в политиках.

1. В параметрах управления внутренними рисками выберите Индикаторы политики , а затем перейдите на вкладку Пользовательские индикаторы .

2. Выберите Добавить пользовательский индикатор.

3. Введите имя индикатора и описание (необязательно).

4. В списке Соединитель данных выберите созданный ранее соединитель Индикатор внутренних рисков.

   При выборе соединителя данных:

   • Имя исходного столбца, выбранного при создании соединителя, отображается в поле Исходный столбец из файла сопоставления . Если вы не выбрали исходный столбец при создании соединителя, в этом поле появится значение None , и вам не нужно делать выбор.
   • В списке Значения в исходном столбце выберите значение, которое нужно присвоить пользовательскому индикатору. Эти значения относятся к исходному столбцу, указанному при создании соединителя. Например, если вы создали один соединитель, включающий данные для двух индикаторов (Salesforce и Dropbox), эти значения будут отображаться в списке.

5. Если вы хотите использовать столбец для задания пороговых значений, в списке Файл сопоставления данных выберите столбец, который будет использоваться для параметра порогового значения. В противном случае выберите параметр Использовать только в качестве события активации без пороговых значений .

   Примечание

   Только поля с типом данных Number отображаются в списке Данные из файла сопоставления , так как тип данных Number требуется для установки порогового значения. Тип данных указывается при настройке соединителя.

6. Выберите Добавить индикатор. Индикатор добавляется в список Пользовательские индикаторы .

Теперь настраиваемый индикатор можно использовать в любых политиках кражи или утечки данных , которые вы создаете или редактируете.

• Если вы используете пользовательский индикатор в качестве триггера, выберите настраиваемый триггер на странице Триггеры при создании или изменении политики.
• Если вы используете пользовательский индикатор в качестве индикатора политики, выберите пользовательский индикатор на странице Индикаторы при создании или изменении политики.

После добавления настраиваемого индикатора в политики триггеры и аналитические сведения, созданные на основе настраиваемых индикаторов, отображаются на панели мониторинга оповещений, в обозревателе действий и в временная шкала пользователей.

Вы можете создавать группы обнаружения (предварительная версия) и использовать их вместе с вариантами встроенных индикаторов (предварительная версия) для адаптации обнаружения для различных наборов пользователей. Например, чтобы уменьшить количество ложных срабатываний для действий электронной почты, можно создать вариант встроенного индикатора Отправки сообщений электронной почты с вложениями получателям за пределами организации , чтобы обнаруживать только сообщения электронной почты, отправленные в личные домены. Вариант наследует все свойства встроенного индикатора. Затем можно изменить вариант с помощью исключений или включений.

1. В параметрах управления внутренними рисками выберите Индикаторы политики.

2. Выберите Новый вариант индикатора (предварительная версия). Откроется панель Новый вариант индикатора (предварительная версия) в правой части экрана.

3. В списке Базовый индикатор выберите индикатор, для которого нужно создать вариант.

   Примечание

   Для каждого встроенного индикатора можно создать до трех вариантов. Если вы уже создали три варианта для определенного встроенного индикатора, встроенный индикатор будет неактивен в списке. Существуют также некоторые встроенные индикаторы (например, Microsoft Defender для конечной точки индикаторы), которые не поддерживают варианты.

4. Добавьте имя для варианта (или примите предложенное имя). Имя варианта не может содержать более 110 символов.

5. Добавьте описание варианта (необязательно). В политике отображается описание, помогающее отличить ее от других индикаторов или вариантов индикаторов. Описание варианта не может содержать более 256 символов.

6. В разделе Группа обнаружения выберите один из следующих параметров:

   • Игнорировать действия, связанные с элементами в выбранных группах. Выберите этот параметр, если вы хотите записать все, кроме нескольких исключений. Например, вы можете использовать этот параметр для записи всех исходящих сообщений электронной почты, за исключением сообщений, отправленных в определенные домены.

   • Обнаруживайте только действия, связанные с элементами в выбранных группах. Выберите этот параметр, если требуется указать включения для записи. Например, выберите этот параметр, если вы хотите записывать только сообщения электронной почты, отправленные в определенные домены.

   Примечание

   Если вы еще не создали группу обнаружения, вы не сможете выбрать параметр в разделе Группа обнаружения .

7. В списке Выберите одну или несколько групп обнаружения выберите группы обнаружения, которые нужно применить к варианту. Группы обнаружения перечислены в соответствующем заголовке типа обнаружения, чтобы помочь вам найти соответствующую группу. Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить до пяти групп доменов, пяти групп типов файлов и т. д.  

   Примечание

   В списке отображаются только группы обнаружения, применимые к варианту. Например, группа обнаружения типов файлов не будет отображаться для общего доступа к папкам SharePoint с людьми за пределами индикатора организации , так как она неприменима.

8. Выберите Сохранить.

9. Если вы хотите применить новый вариант к определенной политике в диалоговом окне Дальнейшие действия , выберите ссылку На страницу Политики .

1. Перейдите на страницу Индикаторы рабочего процесса политики.

2. Найдите встроенный индикатор, включающий один или несколько вариантов. Встроенные индикаторы с вариантами помечаются небольшим синим полем в флажке вариант, а в конце текста дескриптора индикатора отображается список, указывающий количество выбранных вариантов. Откройте список, чтобы просмотреть варианты.

   Примечание

   Если установить один или все флажки в списке вариантов, флажок первого уровня для встроенного индикатора станет сплошным синим флажком. Если ни один из полей в списке вариантов не выбран, флажок первого уровня пуст.

3. Нажмите кнопку Далее.

4. На странице Настройка пороговых значений можно настроить пороговые значения для вариантов по отдельности.

После добавления вариантов в политики на панели мониторинга создаются оповещения, и исследователь может просмотреть дополнительные сведения на вкладках Обозреватель действий и Действия пользователей .

1. Выделите синий текст в конце текста описания индикатора. Например, выберите +2 варианта, как показано на следующем снимке экрана.

   

2. На странице Просмотр и изменение индикаторов выберите Изменить.

3. Внесите изменения.

• Для каждого встроенного индикатора можно создать до трех вариантов.
• Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить не более пяти групп доменов, пять групп типов файлов и т. д.
• Для предварительной версии группы обнаружения варианты не поддерживают последовательности, действия совокупного кражи, усилитель оценки риска или аналитику в режиме реального времени.

Область действий происходит в нескольких местах управления внутренними рисками. Определение области выполняется в следующем порядке приоритета:

1. Глобальные исключения

2. Исключение или включение области variant

3. Содержимое приоритета

Чтобы включить обнаружение действий с рисками на устройствах Windows и включить индикаторы политики для этих действий, устройства Windows должны соответствовать следующим требованиям и выполнить следующие действия по подключению. Дополнительные сведения о требованиях к подключению устройств

Убедитесь, что Windows 10 устройства, которые вы планируете отчеты в управлении внутренними рисками, соответствуют этим требованиям.

1. Устройство должно работать Windows 10 64-разрядной сборки 1809 или более поздней версии, а также установить обновление Windows 10 (сборка ОС 17763.1075) от 20 февраля 2020 г.
2. Учетная запись пользователя, используемая для входа в устройство Windows 10, должна быть активной учетной записью Microsoft Entra. Устройство Windows 10 может быть Microsoft Entra ID, Microsoft Entra гибридное, присоединенное или зарегистрированное.
3. Установите браузер Microsoft Edge на устройстве конечной точки, чтобы обнаружить действия для действия отправки в облако. См. статью Скачивание нового Microsoft Edge на основе Chromium.

Прежде чем обнаруживать действия по управлению внутренними рисками на устройстве, необходимо включить проверку устройств и подключить конечные точки. Оба действия выполняются в Microsoft Purview.

Если вы хотите включить устройства, которые еще не были подключены, необходимо скачать соответствующий сценарий и развернуть его, как описано в этой статье.

Если у вас уже есть устройства, подключенные к Microsoft Defender для конечной точки, они отображаются в списке управляемых устройств.

В этом сценарии развертывания вы включаете устройства, которые еще не были подключены, и просто хотите обнаруживать действия, связанные с внутренними рисками на устройствах Windows.

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Выберите Параметры в правом верхнем углу страницы.

3. В разделе Подключение устройств выберите Устройства. Список пуст до тех пор, пока устройства не будут подключены.

4. Выберите Включить подключение устройства.

   Примечание

   Хотя для включения подключения устройства обычно требуется около 60 секунд, предоставьте до 30 минут перед обращением в службу поддержки Майкрософт.

5. Выберите способ развертывания на этих устройствах в списке Метод развертывания , а затем выберите Скачать пакет.

6. Выполните действия, описанные в разделе Средства и методы подключения для компьютеров с Windows. Эта ссылка открывает начальную страницу доступа к процедурам Microsoft Defender для конечной точки, соответствующим пакету развертывания, который вы выбрали на этапе 5:

   • Подключение компьютеров с Windows с помощью групповой политики
   • Подключение компьютеров с Windows с помощью Microsoft Endpoint Configuration Manager
   • Подключение компьютеров с Windows с помощью инструментов управления мобильными устройствами
   • Подключение компьютеров с Windows с помощью локального сценария
   • Подключение компьютеров инфраструктуры виртуальных рабочих столов (VDI)

Когда все будет готово и устройство конечной точки будет подключено, оно должно отображаться в списке устройств, и устройство конечной точки начнет сообщать журналы действий аудита для управления внутренними рисками.

Если Microsoft Defender для конечной точки уже развернута и устройства конечных точек предоставляют отчеты, устройства конечных точек отображаются в списке управляемых устройств. Вы можете продолжить подключение новых устройств к управлению внутренними рисками, чтобы расширить охват, перейдя к шагу 2. Подключение устройств.

Устройства macOS (Catalina 10.15 или более поздней версии) можно подключить к Microsoft 365 для поддержки политик управления внутренними рисками с помощью Intune или JAMF Pro. Дополнительные сведения и рекомендации по настройке см. в статье Подключение устройств macOS к Microsoft 365 overview (предварительная версия).

При создании политики с помощью рабочего процесса политики можно настроить, как ежедневное количество событий риска должно влиять на оценку риска для оповещений о внутренних рисках. Эти параметры индикатора помогают управлять тем, как количество вхождений событий риска в организации влияет на оценку риска (и связанную серьезность оповещения) для этих событий.

Например, предположим, что вы решили включить индикаторы SharePoint в параметрах политики внутренних рисков и выбрать настраиваемые пороговые значения для событий SharePoint при настройке индикаторов для новой политики утечки данных . В рабочем процессе политики внутренних рисков необходимо настроить три разных уровня ежедневных событий для каждого индикатора SharePoint, чтобы повлиять на оценку риска для оповещений, связанных с этими событиями.

Для первого ежедневного уровня событий задается пороговое значение:

• 10 или более событий в день для снижения влияния на оценку риска для событий
• 20 или более событий в день для среднего влияния на оценку риска для событий
• 30 или более событий в день для более высокого влияния на оценку риска для событий

Фактически эти параметры означают следующее:

• Если есть 1–9 событий SharePoint, которые происходят после события триггера, оценки риска оказывают минимальное влияние и, как правило, не создают оповещение.
• Если после события триггера происходит от 10 до 19 событий SharePoint, оценка риска по своей сути ниже, а уровни серьезности оповещений, как правило, будут находиться на низком уровне.
• Если после запуска события происходит от 20 до 29 событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, будут находиться на среднем уровне.
• Если после события активации происходит 30 или более событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, будут находиться на высоком уровне.

Другой вариант пороговых значений политики — назначить событие, инициирующее политику, действиям по управлению рисками, превышающим обычное ежедневное число пользователей. Вместо того, чтобы определяться определенными параметрами порога, каждое пороговое значение динамически настраивается для аномальных действий, обнаруженных для пользователей политики область. Если для отдельного индикатора поддерживается пороговое действие для аномальных действий, можно выбрать Действие выше обычного действия пользователя в течение дня в рабочем процессе политики для этого индикатора. Если этот параметр отсутствует в списке, активация аномальных действий для индикатора недоступна. Если параметр Действие выше обычного действия пользователя в течение дня указан для индикатора , но его нельзя выбрать, необходимо включить этот параметр в параметрах>политики параметров предварительной оценки.

Вы можете использовать аналитику в режиме реального времени (предварительная версия), чтобы воспользоваться преимуществами интерактивного (управляемого данными) порогового интерфейса, позволяющего быстро выбрать соответствующие пороговые значения для индикаторов политики. Этот интерактивный интерфейс поможет эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не было слишком мало или слишком много оповещений политики.

Если аналитика включена:

• Параметр Применить пороговые значения, относящиеся к действиям пользователей , включен на странице Индикаторы рабочего процесса политики. Выберите этот параметр, если вы хотите, чтобы управление внутренними рисками предоставляли рекомендации по пороговым значениям индикаторов на основе предыдущих 10 дней активности пользователей в вашей организации.

  Примечание

  Чтобы использовать этот параметр, необходимо выбрать по крайней мере один встроенный индикатор политики. Управление внутренними рисками не предоставляет рекомендуемых пороговых значений для пользовательских индикаторов или вариантов встроенных индикаторов.

• Если выбрать параметр Выбрать собственные пороговые значения на странице Индикаторы рабочего процесса политики, значения по умолчанию для параметров пороговых значений будут основаны на рекомендуемых пороговых значениях (на основе действий в организации) вместо встроенных значений по умолчанию. Вы также увидите датчик, список пяти основных индикаторов и аналитические сведения для каждого индикатора.

  

  • О. Датчик показывает приблизительное число пользователей с заданной областью, действия которых за предыдущие 10 дней превысили минимальные ежедневные пороговые значения по крайней мере для одного из выбранных встроенных индикаторов для политики. Этот датчик может помочь оценить количество оповещений, которые могут быть созданы, если всем пользователям, включенным в политику, назначены оценки риска.

  • Б. Список первых пяти индикаторов сортируется по количеству пользователей, превышающих самые низкие пороговые значения в день. Если политики создают слишком много оповещений, это те индикаторы, на которые вы можете сосредоточиться, чтобы уменьшить "шум".

  • C. Аналитические сведения для каждого индикатора отображаются под набором параметров порогового значения для этого индикатора. Аналитика показывает приблизительное число пользователей, действия которых за предыдущие 10 дней превысили указанные низкие пороговые значения для индикатора. Например, если для параметра "Скачивать содержимое из SharePoint " задано значение 100, в аналитических сведениях показано количество пользователей в политике, которые в среднем за предыдущие 10 дней выполняли более 100 действий загрузки.

Если выбрать параметр Выбрать собственные пороговые значения и вручную настроить пороговое значение для определенного индикатора, аналитические сведения под индикатором обновится в режиме реального времени. Это помогает настроить соответствующие пороговые значения для каждого индикатора, чтобы достичь наивысшего уровня эффективности оповещений перед активацией политик.

Чтобы сэкономить время и упростить понимание влияния ручного изменения пороговых значений, выберите ссылку Просмотреть влияние в аналитических сведениях, чтобы отобразить диаграмму Пользователи, превышающие ежедневное пороговое значение для индикатора . Этот график предоставляет анализ конфиденциальности для каждого индикатора политики.

Этот график можно использовать для анализа шаблонов действий пользователей в организации для выбранного индикатора. Например, на предыдущем рисунке пороговое значение для общего доступа к файлам SharePoint с людьми за пределами организации имеет значение 38. На графике показано, сколько пользователей выполнили действия, которые превысили это пороговое значение, а также распределение оповещений о низкой, средней и высокой серьезности для этих действий. Выберите панель, чтобы просмотреть аналитические сведения для каждого значения. Например, на предыдущем рисунке выбрана панель для значения 50 , и аналитика показывает, что при этом пороговом значении примерно 22 пользователя выполнили по крайней мере 50 событий по крайней мере за один день за последние 10 дней.

Чтобы использовать аналитику в режиме реального времени (предварительная версия), необходимо включить аналитику внутренних рисков. После включения аналитики может потребоваться от 24 до 48 часов для отображения аналитических сведений и рекомендаций.