Помощь с динамическим устранением рисков посредством Адаптивной защиты

Адаптивная защита в Microsoft Purview использует машинное обучение для выявления наиболее критических рисков и упреждающего и динамического применения элементов управления защитой из:

• Защита от потери данных Microsoft Purview (DLP)
• Управление жизненным циклом данных Microsoft Purview (предварительная версия)
• условный доступ Microsoft Entra (предварительная версия)

Интеграция с предотвращением потери данных, управлением жизненным циклом данных и условным доступом помогает организациям автоматизировать реагирование на внутренние риски и сокращает время, необходимое для выявления и устранения потенциальных угроз. Используя возможности всех четырех решений, организации могут создать более комплексную платформу безопасности, которая будет устранять как внутренние, так и внешние угрозы.

Адаптивная защита помогает снизить потенциальные риски с помощью:

• Обнаружение с учетом контекста. Помогает определить наиболее критические риски с помощью анализа содержимого и действий пользователей на основе машинного обучения.
• Динамические элементы управления. Помогает применять эффективные элементы управления для пользователей с высоким риском, в то время как другие поддерживают производительность.
• Автоматическое устранение рисков. Помогает свести к минимуму влияние потенциальных инцидентов безопасности данных и сократить расходы администратора.

Адаптивная защита динамически назначает пользователям соответствующие политики защиты от потери данных, управления жизненным циклом данных и условного доступа для пользователей на основе уровней внутренних рисков, определенных и проанализированных моделями машинного обучения в управлении внутренними рисками. Политики становятся адаптивными в зависимости от контекста пользователей, гарантируя, что наиболее эффективная политика, например блокировка общего доступа к данным путем предотвращения потери данных или блокировка доступа к приложениям через условный доступ, применяется только к пользователям с высоким риском, в то время как пользователи с низким риском поддерживают производительность. Средства защиты от потери данных и политики условного доступа постоянно корректируются, поэтому при изменении уровня внутренних рисков пользователя динамически применяется соответствующая политика, соответствующая политика соответствует новому уровню риска для внутренней оценки. В случае управления жизненным циклом данных управление внутренними рисками обнаруживает пользователей повышенного уровня риска и сохраняет удаленные данные в течение 120 дней с помощью автоматически созданной политики хранения управления жизненным циклом данных.

Просмотрите следующее видео, чтобы получить сводку о том, как адаптивная защита может помочь выявить и снизить самые критические риски в вашей организации:

Уровни внутренних рисков и профилактические средства контроля

С помощью адаптивной защиты администраторы могут настраивать факторы риска или действия для настраиваемых уровней внутренних рисков в зависимости от потребностей вашей организации. Уровни внутренних рисков для Адаптивной защиты постоянно и автоматически обновляются на основе факторов риска и аналитических сведений пользователей. Когда риски безопасности данных пользователей увеличиваются или уменьшаются, их уровни внутренних рисков корректируются соответствующим образом. В зависимости от уровней внутренних рисков политики защиты от потери данных и политики условного доступа автоматически применяют правильный уровень профилактических элементов управления, настроенных администраторами, таких как блокировка, блокировка с переопределением или предупреждение.

Для управления жизненным циклом данных политика управления жизненным циклом данных отслеживает пользователей, которым адаптивная защита управления внутренними рисками назначает повышенный уровень риска . Когда пользователь, подверженный риску, удаляет любое содержимое из SharePoint, OneDrive или Exchange Online, содержимое автоматически сохраняется в течение 120 дней. Администраторы могут обратиться в службу поддержки Майкрософт для восстановления любого сохраненного содержимого.

В зависимости от политики управления внутренними рисками, назначенной в адаптивной защите, для определения применимых уровней внутренних рисков используются различные критерии (пользователи, группы, индикаторы, пороговые значения и т. д.). Уровни внутренних рисков основаны на аналитике пользователей, а не только на количестве экземпляров конкретных действий пользователя. Аналитика — это вычисление совокупного количества действий и уровня серьезности этих действий.

Например, уровни внутренних рисков для пользователя A не будут определяться пользователем A, выполняющим потенциально рискованное действие более трех раз. Уровни инсайдерского риска для пользователя А определяются на основе анализа совокупного количества действий, а оценка риска будет назначена действию на основе пороговых значений, настроенных в выбранной политике.

Уровни внутренних рисков

Уровни внутренних рисков в адаптивной защите определяют, насколько рискованной является активность пользователя и может основываться на таких критериях, как количество выполненных им действий по краже или наличие в их действиях оповещений о риске с высоким уровнем серьезности. Эти уровни внутренних рисков имеют встроенные определения уровней внутренних рисков, но вы можете настроить эти определения по мере необходимости:

• Повышенный уровень риска. Этот уровень риска включает встроенные определения для пользователей с оповещениями с высоким уровнем серьезности, пользователей с по крайней мере тремя аналитическими сведениями последовательности, каждое из которых имеет оповещение с высоким уровнем серьезности для конкретных действий риска или одно или несколько подтвержденных оповещений с высоким уровнем серьезности.
• Средний уровень риска. Этот уровень риска включает встроенные определения для пользователей со средним уровнем серьезности или пользователей с по крайней мере двумя действиями кражи данных с высокими оценками серьезности.
• Незначительный уровень риска. Этот уровень риска включает встроенные определения для пользователей с оповещениями с низкой серьезностью или пользователей с по крайней мере одним действием кражи данных с высокой оценкой серьезности.

Чтобы уровень инсайдерского риска был назначен пользователю, количество аналитических сведений и степень серьезности, назначенные действию, должны соответствовать определению уровня внутренних рисков. Количество действий для аналитических сведений может быть одним действием или несколькими действиями, которые накапливаются в одной аналитике. Количество аналитических сведений, оцениваемых для определения уровня внутренних рисков, а не количество действий, содержащихся в аналитических сведениях.

Например, предположим, что условия в политике управления внутренними рисками, назначенные адаптивной защите область для идентификации скачиваний с сайтов SharePoint в вашей организации. Если политика обнаруживает, что пользователь за один день скачал 10 файлов с сайта SharePoint, которые считаются высоким уровнем серьезности, это считается одним аналитическим представлением, состоящим из 10 событий действий. Чтобы назначить пользователю повышенный уровень риска , для пользователя требуются две дополнительные аналитические сведения (с высоким уровнем серьезности). Дополнительные аналитические сведения могут содержать или не содержать одно или несколько действий.

Настройка уровней внутренних рисков

Пользовательские уровни внутренних рисков позволяют создавать уровни внутренних рисков, которые соответствуют потребностям вашей организации. Вы можете настроить критерии для уровня внутренних рисков и определить условия назначения уровня риска для пользователей.

Рассмотрим следующие примеры использования адаптивной защиты вместе с защитой от потери данных, управлением жизненным циклом данных и политиками условного доступа.

• Политики защиты от потери данных:
  • Разрешите пользователям с уровнем риска "Незначительный " или "Средний" получать советы по политике и обучать их рекомендациям по обработке конфиденциальных данных. Благодаря этому подходу можно влиять на позитивные изменения поведения с течением времени и уменьшать риски, связанные с данными организации.
  • Запретите пользователям с повышенным уровнем риска сохранять конфиденциальные данные или предоставлять общий доступ к ним, чтобы свести к минимуму влияние потенциальных инцидентов с данными.
• Политика управления жизненным циклом данных:
  • Сохраните любое содержимое SharePoint, OneDrive или Exchange Online, удаленное пользователем, который рискует, в течение 120 дней. В этом случае рискованным пользователем является пользователь, которому адаптивная защита назначает уровень повышенного риска.
• Политики условного доступа:
  • Требовать от пользователей уровня незначительного риска подтвердить условия использования перед использованием приложения.
  • Запретить пользователям уровня среднего риска доступ к определенным приложениям.
  • Полностью запретить пользователям уровня повышенного риска использовать любые приложения. Дополнительные сведения о часто применяемых политиках условного доступа

Критерии и условия уровня внутренних рисков

Вы можете настроить критерии и условия уровня внутренних рисков на основе следующих областей:

• Оповещения, созданные или подтвержденные для пользователя. Выберите условия в зависимости от уровня серьезности оповещений , которые выбранная политика управления внутренними рисками создает или подтверждает для пользователя. Условия для оповещений не являются добавительными. Уровень инсайдерского риска назначается пользователю, если выполняется одно из условий.
• Конкретные действия пользователя. Выберите условия для обнаружения действия, его серьезность и количество ежедневных вхождений в течение периода обнаружения прошлых действий (необязательно). Условия для активности пользователя являются аддитивные. Уровень внутренних рисков назначается пользователю только при соблюдении всех условий.

Обнаружение прошлых действий

Этот параметр уровня внутреннего риска определяет, сколько дней назад адаптивная защита проверяет, чтобы определить, соответствует ли пользователь условиям, определенным любым из уровней внутренних рисков. Значение по умолчанию — 7 дней, но вы можете выбрать от 5 до 30 дней предыдущей активности, чтобы применить условия уровня внутренних рисков. Этот параметр применяется только к уровням внутренних рисков, основанным на ежедневной активности пользователя, и исключает уровни внутренних рисков на основе оповещений.

В следующем примере показано, как взаимодействуют параметры обнаружения прошлых действий и уровни внутренних рисков, чтобы определить, является ли прошлое действие пользователя область.

• Параметр повышенного уровня риска: пользователь выполняет по крайней мере три последовательности, каждая из которых имеет высокую оценку риска серьезности (от 67 до 100).
• Параметр обнаружения прошлых действий : 3 дня

Сроки уровня внутренних рисков

Этот параметр уровня инсайдерского риска определяет, как долго уровень внутренних рисков остается назначенным пользователю, прежде чем он будет автоматически сброшен. Значение по умолчанию — 7 дней, но вы можете выбрать от 5 до 30 дней, прежде чем сбрасывать уровень внутренних рисков для пользователя.

Уровни внутренних рисков также сбрасываются для пользователя, когда:

• Связанное оповещение для пользователя отклоняется.
• Связанный случай для пользователя разрешен.
• Дата окончания уровня внутренних рисков истекает вручную.

Варианты истечения срока действия уровня риска

Если этот параметр включен (включен по умолчанию), уровни риска адаптивной защиты для пользователя автоматически истекают, когда соответствующее оповещение для пользователя будет отклонено или соответствующее дело для пользователя будет закрыто. Если вы хотите сохранить уровень риска адаптивной защиты для пользователя, даже если оповещение было отклонено или дело закрыто, отключите параметр .

Разрешения для адаптивной защиты

В зависимости от того, как вы используете встроенные группы ролей и группы ролей для защиты от потери данных или условного доступа, может потребоваться обновить разрешения для администраторов, аналитиков и следователей в организации.

В следующей таблице описаны разрешения, необходимые для конкретных задач адаптивной защиты.

Дополнительные сведения о группах ролей в Microsoft Defender для соответствия требованиям Office 365 и Microsoft Purview

Настройка адаптивной защиты

В зависимости от потребностей вашей организации или того, где в настоящее время настроено управление внутренними рисками, защита от потери данных, управление жизненным циклом данных и условный доступ, вы можете приступить к работе с адаптивной защитой двумя способами:

• Быстрая настройка
• Настраиваемая настройка

Быстрая настройка

Вариант быстрой настройки — это самый быстрый способ приступить к работе с адаптивной защитой. При использовании этого параметра вам не требуется ранее существовать управление внутренними рисками, защита от потери данных, управление жизненным циклом данных или политики условного доступа. Вам также не нужно предварительно настраивать какие-либо параметры или функции. Если у вашей организации нет текущей подписки или лицензии, которая поддерживает управление внутренними рисками, защиту от потери данных или управление жизненным циклом данных, зарегистрируйтесь для получения пробной версии решений microsoft Purview по рискам и соответствию требованиям , прежде чем начинать процесс быстрой настройки. Вы также можете зарегистрироваться для получения Microsoft Entra пробной версии условного доступа.

Чтобы приступить к работе, выберите Включить адаптивную защиту на карточках адаптивной защиты на домашней странице портала Microsoft Purview или на странице Обзор защиты от потери данных. Вы также можете начать процесс быстрой настройки, перейдя напанель мониторинга>адаптивной защиты>для управления внутренними рисками>.

Вот что настраивает процесс быстрой настройки для адаптивной защиты:

После запуска процесса быстрой настройки может потребоваться до 72 часов, прежде чем будут выполнены следующие элементы:

• Аналитика
• Связанное управление внутренними рисками, защита от потери данных, управление жизненным циклом данных и политики условного доступа
• Уровни внутренних рисков Adaptive Protection, защита от потери данных, управление жизненным циклом данных и действия условного доступа, применяемые к применимым действиям пользователей.

Администраторы получают уведомление по электронной почте по завершении процесса быстрой настройки.

Настраиваемая настройка

Параметр настраиваемой настройки позволяет настроить политику управления внутренними рисками, уровни внутренних рисков, а также политики защиты от потери данных и условного доступа, настроенные для адаптивной защиты.

Этот параметр также позволяет настроить эти элементы перед включением подключений адаптивной защиты между управлением внутренними рисками и защитой от потери данных. В большинстве случаев используйте этот параметр, если в вашей организации уже существуют политики управления внутренними рисками и защиты от потери данных.

Выполните следующие действия, чтобы настроить адаптивную защиту с помощью пользовательской настройки.

Шаг 1. Создание политики управления внутренними рисками

Назначьте уровни инсайдерского риска пользователям или агентам, если политика, назначенная в адаптивной защите, обнаруживает действия пользователя или агента или создает оповещения, соответствующие условиям уровня внутренних рисков, заданным на следующем шаге. Если вы не хотите использовать существующую политику управления внутренними рисками, создайте новую политику управления внутренними рисками. Политика управления внутренними рисками для адаптивной защиты должна включать:

• Пользователи, действия которых вы хотите обнаружить. В эту группу могут входить все пользователи и группы в организации или только подмножество для конкретных сценариев снижения рисков или тестирования.
• Действия, которые считаются рискованными и настраиваемыми порогами, которые влияют на оценку риска действия. Рискованные действия могут включать отправку электронной почты людям за пределами организации или копирование файлов на USB-устройства.

Выберите Создать политику внутренних рисков , чтобы запустить новый рабочий процесс политики. Шаблон политики утечки данных автоматически выбирается в рабочем процессе, но вы можете выбрать любой шаблон политики.

Шаг 2. Настройка параметров уровня внутренних рисков

Перейдите на вкладку Уровни риска предварительной оценки . Начните с выбора политики управления внутренними рисками, которую вы хотите использовать для адаптивной защиты. Эта политика может быть новой политикой, созданной на шаге 1, или существующей политикой или политиками, которые вы уже настроили.

Затем примите применимые встроенные условия уровня внутренних рисков или создайте собственные. В зависимости от типа выбранной политики условия уровня внутренних рисков отражают применимые условия, связанные с индикаторами и действиями, настроенными в политике.

Например, если вы выбираете политику на основе шаблона политики утечки данных , встроенные условия уровня внутренних рисков применяются к индикаторам и действиям, доступным в этой политике. При выборе политики на основе шаблона политики нарушений политики безопасности встроенные условия уровня внутренних рисков автоматически область индикаторам и действиям, доступным в этой политике.

Настройка уровня внутренних рисков для политики

1. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в организации Microsoft 365.

2. Перейдите к решению для управления внутренними рисками .

3. Выберите Адаптивная защита в области навигации слева, а затем выберите Уровни риска предварительной оценки.

4. На странице Уровни риска предварительной оценки выберите Изменить для уровня внутренних рисков, который вы хотите настроить (повышенные, средние или незначительные).

5. На панели Настраиваемый уровень внутренних рисков выберите параметр в разделе Уровень риска предварительной оценки на основе :

   • Оповещение, созданное или подтвержденное для пользователя
   • Конкретные действия пользователей

6. Если выбран параметр Оповещения, созданные или подтвержденные для пользователя , выберите уровни серьезности для создаваемых или подтвержденных оповещений для пользователя, который должен использовать этот уровень внутренних рисков. Вы можете сохранить уровень серьезности для созданных оповещений и серьезность для условий подтвержденных оповещений или удалить одно из этих условий, если вы хотите использовать только одно из них. Если вам нужно добавить одно из этих условий, выберите Добавить условие, а затем выберите условие. Для каждого условия выберите уровень серьезности, который должен применяться к условию (высокий, средний или низкий). Если выполняется какое-либо из условий, пользователю назначается уровень инсайдерского риска.

7. Если выбран параметр Конкретное действие пользователя , выберите действие для обнаружения, его серьезность и количество ежедневных вхождений в течение периода обнаружения прошлых действий. Необходимо настроить действия, серьезность действий и вхождений действий во время условий окна обнаружения для этого уровня риска для внутренней оценки.

   Для условия Действия параметры, которые можно выбрать, автоматически обновляются для типов действий, определяемых с помощью индикаторов, настроенных в связанной политике. При необходимости установите флажок Назначить этот уровень внутренних рисков любому пользователю, у которого будет подтверждено будущее оповещение, даже если условия выше не выполнены . Если выполнены все условия, пользователю назначается уровень внутренних рисков.

   Для условия серьезности действия укажите уровень серьезности для действий, включенных в аналитические сведения о ежедневных действиях. Параметры: Высокий, Средний и Низкий и основаны на диапазонах оценки риска.

   Для условия окна "События во время обнаружения " укажите количество раз, когда выбранные действия должны быть обнаружены в течение указанного периода обнаружения прошлых действий . Это число не связано с количеством событий, которые могут произойти для действия. Например, если политика обнаруживает, что пользователь загрузил 20 файлов из SharePoint за один день, это будет одна ежедневная аналитика действий, состоящая из 20 событий.

8. Выберите Подтвердить , чтобы применить настраиваемые условия уровня риска для внутренней оценки.

Назначение уровня внутренних рисков, если пользователь находится в область для нескольких политик

Если пользователь находится в область для нескольких политик и получает оповещения с разными уровнями серьезности, ему назначается самый высокий полученный уровень серьезности. Например, рассмотрим политику, которая назначает повышенный уровень риска , если пользователи получают оповещение с высоким уровнем серьезности. Если пользователь получает оповещение с низким уровнем серьезности из политики 1, оповещение со средним уровнем серьезности от политики 2 и оповещение с высоким уровнем серьезности из политики 3, ему назначается повышенный уровень риска — уровень для наибольшей серьезности полученного оповещения.

Для обнаружения в выбранных политиках должны присутствовать условия уровня внутренних рисков. Например, если выбрать действие Копировать в USB , чтобы назначить средний уровень риска, но действие выбрано только в одной из трех выбранных политик, то только действие из этой политики назначит средний уровень риска для этого действия.

Шаг 3. Создание или изменение политики защиты от потери данных

Затем создайте новую политику защиты от потери данных или измените существующую политику, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня внутренних рисков в адаптивной защите. Используйте следующие рекомендации для настройки политики защиты от потери данных.

• В политику защиты от потери данных необходимо включить уровень внутренних рисков пользователя для адаптивной защиты . Эта политика защиты от потери данных может включать другие условия при необходимости.
• Хотя в политику защиты от потери данных можно включить другие расположения, в настоящее время адаптивная защита поддерживает только Exchange, Microsoft Teams и устройства.

Выберите Создать политику , чтобы запустить рабочий процесс политики защиты от потери данных и создать новую политику защиты от потери данных. Если у вас есть политика защиты от потери данных, которую вы хотите настроить для адаптивной защиты, перейдите враздел Политики защиты > от потери данныхна портале Microsoft Purview и выберите политику защиты от потери данных, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики защиты от потери данных или обновлению существующей политики защиты от потери данных для адаптивной защиты см . в статье Сведения об адаптивной защите в защите от потери данных: настройка вручную.

Шаг 4. Создание или изменение политики условного доступа

Затем создайте новую политику условного доступа или измените существующую политику, чтобы ограничить действия для пользователей, которые соответствуют условиям уровня внутренних рисков в адаптивной защите. Используйте следующие рекомендации для конфигурации политики условного доступа.

• На странице Условный доступ, где вы управляете доступом на основе сигналов от условий, задайте для условия риск для программы предварительной оценки значение Да, а затем выберите уровень риска для инсайдерской оценки (повышенный, средний или дополнительный). Это уровень внутренних рисков, который должен быть у пользователей для принудительного применения политики.

Выберите Создать политику , чтобы запустить рабочий процесс политики условного доступа и создать новую политику условного доступа. Если у вас есть политика условного доступа, которую вы хотите настроить для адаптивной защиты, перейдите в раздел Защита>условного доступа в Центр администрирования Microsoft Entra и выберите политику условного доступа, которую вы хотите обновить для адаптивной защиты. Инструкции по настройке новой политики условного доступа или обновлению существующей политики условного доступа для адаптивной защиты см. в статье Общая политика условного доступа: политика на основе внутренних рисков.

Шаг 5. Включение адаптивной защиты

После выполнения всех предыдущих шагов вы можете включить адаптивную защиту. При включении адаптивной защиты:

• Политика управления внутренними рисками начинает искать действия пользователей, соответствующие условиям уровня внутренних рисков. При обнаружении уровни внутренних рисков назначаются пользователям.
• Пользователи, которым назначены уровни внутренних рисков, отображаются на вкладке Уровни риска, назначенные пользователями в адаптивной защите.
• Политика защиты от потери данных применяет действия защиты для любого пользователя, назначаемого уровням внутренних рисков, включенным в политику защиты от потери данных. Политика защиты от потери данных добавляется на вкладку Защита от потери данных в адаптивной защите. На панели мониторинга можно просмотреть сведения о политике защиты от потери данных и изменить условия политики.
• Политика управления жизненным циклом данных, которая создается автоматически, применяет действия защиты для любого пользователя, назначаемого на повышенный уровень риска. На вкладке Адаптивная защита отображается следующее сообщение с зеленым фоном, чтобы сообщить пользователям, что применяется упреждающее сохранение данных: "Ваша организация также динамически защищена от пользователей, которые могут потенциально удалить критически важные данные". В сообщении также содержится ссылка на параметр управления жизненным циклом данных, где при необходимости можно отключить функцию упреждающего сохранения данных.
• Политика условного доступа применяет действия защиты для любого пользователя, назначаемого уровням внутренних рисков, включенным в политику условного доступа. Политика условного доступа добавляется на вкладку Политики условного доступа в адаптивной защите. На панели мониторинга можно просмотреть сведения о политике условного доступа и изменить условия политики.

Чтобы включить адаптивную защиту, перейдите на вкладку Параметры адаптивной защиты и установите переключатель Адаптивная защита в значение Включено. Может потребоваться до 36 часов, прежде чем вы сможете увидеть уровни внутренних рисков адаптивной защиты и защиту от потери данных, управление жизненным циклом данных и действия условного доступа, применяемые к соответствующим действиям пользователей.

Просмотрите следующее видео на канале Microsoft Mechanics, чтобы узнать, как адаптивная защита может автоматически настраивать надежность защиты данных на основе вычисляемых уровней внутренних рисков безопасности данных пользователей.

Управление адаптивной защитой

Если включить адаптивную защиту и настроить управление внутренними рисками, защиту от потери данных и политики условного доступа, вы сможете получить доступ к сведениям о метриках политики, включенных пользователей и уровнях внутренних рисков в настоящее время в область.

Панель мониторинга

После завершения процесса быстрой или пользовательской настройки на вкладке Панель мониторинга в адаптивной защите отображаются мини-приложения для получения сводных сведений об уровнях внутренних рисков пользователей, политиках условного доступа и политиках защиты от потери данных.

• Уровни внутренних рисков, назначенные пользователям: показывает количество пользователей для каждого уровня внутренних рисков (повышенные, средние и незначительные).
• Политики, использующие уровни внутренних рисков. Показывает состояние политик (не запущено или завершено), тип политики (условный доступ или защита от потери данных) и количество настроенных политик для каждого типа политики. Если тип политики не настроен, выберите Быстрая настройка , чтобы настроить политику.

Пользователям назначены уровни внутренних рисков

На вкладке Уровни внутренних рисков пользователями отображаются пользователи, которым назначен уровень внутренних рисков в адаптивной защите. Для каждого пользователя можно просмотреть следующие сведения:

• Пользователи: список имени пользователя. Для политик защиты от потери данных, если в параметрах управления внутренними рисками выбран параметр Показать анонимные версии имен пользователей , вы увидите анонимные имена пользователей. Для политик условного доступа имена пользователей не являются анонимными, даже если выбран параметр Показывать анонимные версии имен пользователей .

  Важно!

  Для обеспечения целостности ссылок анонимизация имен пользователей (если они включена) не сохраняется для пользователей из Адаптивной защиты, у которых есть оповещения или действия, которые отображаются за пределами управления внутренними рисками. Фактические имена пользователей отображаются в связанных предупреждениях защиты от потери данных и обозревателе действий.

• Уровень риска для предварительной оценки: текущий уровень внутренних рисков, назначенный пользователю.

• Назначено пользователю: количество дней или месяцев, прошедших с момента назначения пользователю уровня внутренних рисков.

• Сбросы уровня внутренних рисков. Количество дней до автоматического сброса уровня внутренних рисков для пользователя.

  Чтобы вручную сбросить уровень внутренних рисков для пользователя, выберите пользователя, а затем нажмите кнопку Срок действия. Этот пользователь больше не имеет назначенного уровня внутренних рисков. Существующие оповещения или случаи для этого пользователя не удаляются. Если этот пользователь включен в выбранную политику управления внутренними рисками, при обнаружении события активации назначается уровень внутренних рисков.

• Активные оповещения: количество текущих оповещений управления внутренними рисками для пользователя.

• Случаи, подтвержденные как нарушения: количество подтвержденных случаев для пользователя.

• Вариант: имя дела.

Вы можете фильтровать пользователей по уровню риска предварительной оценки.

Чтобы просмотреть подробные сведения о внутренних рисках и адаптивной защите для конкретного пользователя, выберите пользователя, чтобы открыть область сведений о пользователе. Панель сведений содержит три вкладки: профиль пользователя, действия пользователя и сводка адаптивной защиты. Сведения о вкладках "Профиль пользователя" и "Действия пользователя " см. в разделе Просмотр сведений о пользователе.

На вкладке Сводка адаптивной защиты сведения объединяются в четыре раздела:

• Адаптивная защита. Отображает сведения о текущем уровне риска, назначенном уровне риска и сбросе уровня риска для пользователя.
• Политики защиты от потери данных в область (динамическая). Отображает все политики защиты от потери данных, которые в настоящее время находятся в область для пользователя, а также дату начала и окончания политики. Эта информация основана на уровне внутренних рисков для пользователя и конфигурации политики защиты от потери данных для уровней внутренних рисков. Например, если у пользователя есть действия, определенные как повышенный уровень риска для политик управления внутренними рисками, и две политики защиты от потери данных настроены с условием повышенного уровня риска , эти две политики защиты от потери данных отображаются здесь для пользователя.
• Политики условного доступа в область (динамические): отображает все политики условного доступа, которые в настоящее время находятся в область для пользователя, а также дату начала и окончания политики. Эти сведения основаны на уровне внутренних рисков для пользователя и конфигурации политики условного доступа для уровней внутренних рисков. Например, если у пользователя есть действия, определенные как повышенный уровень риска для политик управления внутренними рисками, и политика условного доступа настроена с условием повышенного уровня риска , здесь отображается политика условного доступа для пользователя.
• Политика внутренних рисков для адаптивной защиты. Отображает любую политику управления внутренними рисками, в которой пользователь в настоящее время находится в область.

Политики условного доступа

На странице Политики условного доступа отображаются все политики условного доступа, использующие условие риска для предварительной оценки . Для каждой политики можно просмотреть следующие сведения:

• Имя политики: имя политики условного доступа.
• Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
• Уровни риска для предварительной оценки. Уровни риска для предварительной оценки, включенные в политику условного доступа с помощью условия "Внутренний риск ". Параметры: Повышенные, Средние или Незначительные.
• Состояние политики: текущее состояние политики условного доступа. Параметры: Включено или Проверить с уведомлениями.
• Создано: дата создания политики условного доступа.
• Последнее изменение: дата последнего изменения условной политики.

Политики защиты от потери данных

На странице Политики защиты от потери данных отображаются все политики защиты от потери данных, которые используют уровень внутренних рисков пользователя для адаптивной защиты является условием. Для каждой политики можно просмотреть следующие сведения:

• Имя политики: имя политики защиты от потери данных.
• Состояние политики: текущее состояние политики. Значения: Активный или Неактивный.
• Расположение политики: расположения , включенные в политику защиты от потери данных. В настоящее время адаптивная защита поддерживает Exchange, Teams и устройства.
• Уровни внутренних рисков. Уровни внутренних рисков, включенные в политику защиты от потери данных с помощью уровня риска предварительной оценки для адаптивной защиты, являются условием. Параметры: Повышенные, Средние или Незначительные.
• Состояние политики: текущее состояние политики защиты от потери данных. Параметры: Включено или Проверить с уведомлениями.
• Создано: дата создания политики защиты от потери данных.
• Последнее изменение: дата последнего изменения политики защиты от потери данных.

Настройка параметров уровня внутренних рисков

После просмотра пользователей с уровнями внутренних рисков вы можете обнаружить, что слишком много или слишком мало пользователей назначен уровень риска для инсайдерской оценки. Используйте два следующих метода для настройки конфигураций политики и настройки количества пользователей, назначаемых уровнями риска для участников программы предварительной оценки:

• Изменение параметров уровня внутренних рисков. Измените пороговые значения, чтобы назначить пользователю уровень внутренних рисков:
  • Увеличение или уменьшение серьезности действий, необходимых для назначения уровня риска для инсайдерской оценки. Например, уменьшите уровень серьезности действий или оповещений, если вы видите слишком мало пользователей с уровнями риска инсайдерской оценки.
  • Если уровень инсайдерского риска основан на определенной активности пользователя, увеличьте или уменьшите количество действий во время периода обнаружения. Например, уменьшите количество действий, если вы видите слишком мало пользователей с уровнями внутренних рисков.
  • Измените, на чем основан уровень внутренних рисков. Например, назначьте уровень внутренних рисков только в том случае, если оповещение подтверждено, чтобы уменьшить число пользователей, если вы видите слишком много пользователей с уровнями риска для инсайдерской оценки.
• Изменение пороговых значений политики. Так как при обнаружении политик назначаются уровни внутренних рисков, измените политику, изменив требования к назначению уровня внутренних рисков. Измените политику путем увеличения или уменьшения пороговых значений политики, которые приводят к действиям и оповещениям с высоким, средним или низким уровнем серьезности.

Отключение адаптивной защиты

В некоторых сценариях может потребоваться временно отключить адаптивную защиту. Чтобы отключить адаптивную защиту, перейдите на вкладку Параметры адаптивной защиты и отключите адаптивную защиту.

Если отключить адаптивную защиту после включения и активности, система перестанет назначать пользователям уровни риска для внутренних пользователей и перестанет предоставлять им общий доступ с помощью защиты от потери данных, управления жизненным циклом данных и условного доступа. Все существующие уровни внутренних рисков для пользователей сбрасываются. После отключения адаптивной защиты может потребоваться до шести часов, чтобы прекратить назначение уровней внутренних рисков для действий пользователей и сбросить их все. Политики управления внутренними рисками, защиты от потери данных, управления жизненным циклом данных и условного доступа не удаляются автоматически.