Поделиться через

Принятие мер в случаях управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Случаи являются основой управления внутренними рисками. Они позволяют исследовать проблемы, которые создают индикаторы риска в политиках, и принимать меры по их решению. Создавайте случаи вручную из оповещений, когда необходимо предпринять дополнительные действия для решения проблемы, связанной с соответствием требованиям для пользователя. Каждый случай ориентирован на одного пользователя, и вы можете добавить несколько оповещений для этого пользователя в существующее дело или начать новое дело.

Изучив сведения о случае, вы можете выполнить следующие действия:

  • Отправка пользователю уведомления
  • Разрешение дела как доброкачественного
  • Предоставление доступа к делу экземпляру ServiceNow или получателю электронной почты
  • Эскалация дела для исследования обнаружения электронных данных (Premium)

Общие сведения о том, как вы изучаете и управляете случаями в управлении внутренними рисками, см. в видео о расследовании и эскалации внутренних рисков.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Панель мониторинга вариантов

Совет

Чтобы просмотреть отчеты о случаях, перейдите на страницу Отчеты . В каждом мини-приложении отчета на странице Отчеты отображаются сведения за последние 30 дней:

  • Активные случаи: общее число активных расследуемых случаев.
  • Дела за последние 30 дней: общее количество созданных обращений, отсортированных по активному и закрытому состоянию.
  • Статистика: среднее время активных обращений, указанное в часах, днях или месяцах.

Информационная панель "Внутренние случаи управления рисками" позволяет просматривать дела и действовать в отношении случаев. В очереди обращений перечислены все активные и закрытые обращения для вашей организации, а также текущее состояние следующих атрибутов обращения:

  • Идентификатор обращения: идентификатор дела.
  • Имя варианта: имя дела, определенное при подтверждении оповещения и создании дела.
  • Состояние: состояние дела, активно или закрыто.
  • Пользователь: пользователь для дела. Если включить анонимизацию для имен пользователей, на портале отображаются анонимные сведения.
  • Время открытия дела: время, прошедшее с момента открытия дела.
  • Всего оповещений политики: количество совпадений политик, включенных в дело. Это число может увеличиться при добавлении новых оповещений в дело.
  • Последнее обновление регистра: время, прошедшее с момента добавления заметки о обращении или изменения состояния регистра.
  • Последнее обновление: имя аналитика или следователя по управлению внутренними рисками, которые последний раз обновляли дело.

Примечание.

Если вы область политики одной или несколькими административными единицами, вы можете предоставить право владения делом только пользователям управления внутренними рисками с соответствующими разрешениями группы ролей. Пользователь, выделенный в оповещении, должен находиться в область подразделения администрирования. Например, если административное область применяется только к пользователям в Германии, пользователь Управления внутренними рисками может видеть оповещения только для пользователей в Германии. Неограниченные администраторы могут просматривать все случаи для всех пользователей в организации.

Используйте элемент управления Поиск для поиска идентификатора регистра или для поиска определенного текста в именах вариантов. Используйте фильтр вариантов для сортировки вариантов по следующим атрибутам:

  • Состояние
  • Время открытия дела, дата начала и дата окончания
  • Последнее обновление:, дата начала и дата окончания

Назначение дела

Если вы являетесь администратором с соответствующими разрешениями, вы можете назначить право владения делом себе или пользователю управления внутренними рисками с ролью "Управление внутренними рисками", "Аналитик по управлению внутренними рисками" или "Следователь по управлению внутренними рисками". После назначения дела его можно переназначить пользователю с любой из одинаковых ролей. Вы можете назначить обращение только одному администратору за раз.

Если вы назначите администратора для обращения, вы можете отфильтровать его по администратору.

Назначение дела на панели мониторинга "Обращения"

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. На панели мониторинга Варианты выберите варианты, которые нужно назначить.
  5. На панели команд над очередью обращений выберите Назначить.
  6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
  7. Нажмите Назначить.

Назначение дела на странице сведений о случаях

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите дело.
  5. В области сведений для дела выберите Назначить.
  6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Фильтрация вариантов

В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди обращений может оказаться сложной задачей. Используя фильтры вариантов, аналитики и следователи могут сортировать случаи по нескольким атрибутам. Чтобы отфильтровать оповещения на панели мониторинга Варианты, выберите элемент управления Фильтр . Варианты можно фильтровать по одному или нескольким атрибутам:

  • Состояние. Выберите одно или несколько значений состояния, чтобы отфильтровать список вариантов. Параметры : Активный и Закрытый.
  • Время открытия дела. Выберите даты начала и окончания, когда дело было открыто.
  • Последнее обновление. Выберите даты начала и окончания, когда было обновлено дело.

Фильтрация вариантов, сохранение представления набора фильтров, настройка столбцов или поиск оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди обращений может оказаться сложной задачей. Чтобы отслеживать случаи, вы можете:

  • Фильтрация вариантов по различным атрибутам.
  • Сохраните представление набора фильтров для повторного использования позже.
  • Отображение или скрытие столбцов.
  • Найдите оповещение.

Фильтрация вариантов

  1. Выберите Добавить фильтр.

  2. Выберите один или несколько из следующих атрибутов:

    Атрибут Описание
    Кому назначено Администратор, которому назначено оповещение для рассмотрения (если назначено).
    Последнее обновление дела Даты начала и окончания последнего обновления дела.
    Состояние Текущее состояние дела. Параметры : Активный и Закрытый.
    Время открытия дела Начальная и конечная даты открытия дела.

    На панели фильтров отображаются атрибуты, которые вы выбрали.

  3. Выберите атрибут на панели фильтров, а затем выберите значение для фильтрации. Например, выберите атрибут Дата последнего действия , введите или выберите даты в полях Дата начала и Дата окончания , а затем нажмите кнопку Применить.

    Совет

    Чтобы начать сначала в любой момент, выберите Сбросить все на панели фильтров.

Сохранение представления набора фильтров для повторного использования позже

  1. После применения фильтров, описанных в предыдущей процедуре, выберите Сохранить на панели фильтров, введите имя для набора фильтров и нажмите кнопку Сохранить.

    Набор фильтров отображается в виде карта на панели фильтров. Он содержит число, показывающее количество вариантов, соответствующих условиям в наборе фильтров.

    Примечание.

    Можно сохранить до пяти наборов фильтров. Чтобы удалить набор фильтров, щелкните многоточие (три точки) в правом верхнем углу карта, а затем нажмите кнопку Удалить.

  2. Чтобы повторно применить сохраненный набор фильтров, выберите карта для набора фильтров.

Отображение или скрытие столбцов

  1. В правой части страницы выберите Настроить столбцы.

  2. Установите или снимите флажки для столбцов, которые нужно отобразить или скрыть.

Параметры столбцов сохраняются в сеансах и браузерах.

Поиск оповещений

Используйте элемент управления Поиск для поиска имени участника-пользователя (UPN), назначенного имени администратора или идентификатора оповещения.

Изучение дела

Более глубокое исследование оповещений управления внутренними рисками имеет решающее значение для принятия надлежащих корректирующих действий. Случаи управления внутренними рисками — это центральный инструмент управления для более глубокого изучения истории действий пользователей, сведений об оповещениях, последовательности событий риска, а также для изучения содержимого и сообщений, подверженных рискам. Аналитики рисков и следователи также используют варианты для централизации отзывов и примечаний, а также для обработки разрешения случаев.

При выборе дела открываются средства управления делами, а аналитики и исследователи могут вникнуть в детали дел.

Обзор дела

Вкладка Обзор дела содержит сведения о случае для аналитиков рисков и следователей. Он содержит следующие сведения в области Сведения об этом случае :

  • Идентификатор обращения: идентификатор дела.
  • Состояние: текущее состояние дела, активно или закрыто.
  • Case created on : дата и время создания дела.
  • Оценка риска пользователя: текущий вычисляемый уровень риска пользователя для обращения. Система вычисляет эту оценку каждые 24 часа и использует оценки риска оповещений из всех активных оповещений, связанных с пользователем. При обнаружении пользователя как потенциального пользователя с высоким влиянием или пользователя, являющегося участником приоритетной группы пользователей , активируется повышение уровня риска в разделе Индикаторы политики на странице " Управление внутренними рисками ", на странице Сведений о пользователе содержатся подробные сведения об вычисляемом уровне риска пользователя.
  • Email: псевдоним электронной почты пользователя для обращения.
  • Организация или отдел: организация или отдел, которым назначен пользователь.
  • Имя руководителя: имя руководителя пользователя.
  • Адрес электронной почты руководителя. Псевдоним электронной почты руководителя пользователя.

Сведения о случае управления внутренними рисками

Вкладка Обзор вариантов также содержит раздел Оповещения , содержащий следующие сведения об оповещениях соответствия политик, связанных с делом:

  • Соответствие политике. Имя политики управления внутренними рисками, связанной с оповещениями о совпадениях о потенциально рискованных действиях пользователей, которые могут привести к инциденту безопасности.
  • Состояние: состояние оповещения.
  • Серьезность: серьезность оповещения.
  • Время обнаружения: время, прошедшее с момента создания оповещения.

Оповещения

На вкладке Оповещения перечислены текущие оповещения, включенные в дело. Вы можете добавить новые оповещения в существующее дело. При назначении новых оповещений их включает очередь оповещений . В очереди перечислены следующие атрибуты оповещений:

  • Оповещение
  • Идентификатор оповещения
  • Состояние
  • Серьезность
  • Время обнаружения

Выберите оповещение из очереди, чтобы отобразить страницу сведений об оповещении .

Используйте элемент управления поиск для поиска идентификатора оповещения или определенного текста в именах оповещений. Используйте фильтр оповещений для сортировки вариантов по следующим атрибутам:

  • Состояние
  • Серьезность
  • Время обнаружения, дата начала и дата окончания

Используйте элемент управления filter для фильтрации оповещений по нескольким атрибутам, включая:

  • Состояние. Выберите одно или несколько значений состояния для фильтрации списка оповещений. Доступные параметры: Подтверждено, Закрыто, Требуется проверкаи Устранено.
  • Серьезность. Выберите один или несколько уровней серьезности риска оповещений, чтобы отфильтровать список оповещений. Возможные варианты: Высокий, Среднийи Низкий.
  • Время обнаружения. Выберите даты начала и окончания, когда было создано оповещение.
  • Политика. Выберите одну или несколько политик для фильтрации оповещений, созданных выбранными политиками.

Действия пользователей

Вкладка Действия пользователя позволяет аналитикам рисков и следователям просматривать сведения о действиях пользователей. Он предоставляет визуальное представление всех потенциально рискованных действий, связанных с оповещениями о рисках и случаями. Используйте эти сведения, чтобы определить, могут ли эти рискованные действия привести к инциденту безопасности. Например, в рамках процесса рассмотрения оповещений аналитикам может потребоваться просмотреть все действия по рискам, связанные с делом, для получения дополнительных сведений. В случаях специалисты по анализу рисков могут просматривать сведения о действиях пользователей и пузырьковую диаграмму, чтобы помочь понять общее область действий по риску, связанных с делом. Дополнительные сведения о диаграмме Активности пользователей см. в статье Действия по управлению внутренними рисками .

Обозреватель действий (предварительная версия)

Вкладка Обозреватель действий позволяет аналитикам рисков и следователям просматривать сведения о действиях, связанных с оповещениями о рисках. Например, в рамках действий по управлению делом следователям и аналитикам может потребоваться просмотреть все действия по риску, связанные с делом, для получения дополнительных сведений. С помощью обозревателя действий проверяющие могут быстро изучить временная шкала обнаруженных потенциально опасных действий, а также выявить и фильтровать все действия, связанные с оповещениями.

Дополнительные сведения об обозревателе действий см. в статье Действия по управлению внутренними рисками .

Улики

Вкладка Судебно-медицинские доказательства позволяет следователям за рисками просматривать визуальные записи, связанные с действиями по рискам, включенными в дела. Например, в рамках действий по управлению делами следователям может потребоваться прояснить контекст проверяемой активности пользователей. Просмотр фактических клипов действия может помочь следователю определить, является ли действие пользователя потенциально рискованным и может ли привести к инциденту безопасности.

Дополнительные сведения о судебно-медицинских доказательствах см. в статье Сведения о судебно-медицинских доказательствах управления внутренними рисками .

Обозреватель содержимого

Вкладка "Обозреватель содержимого " позволяет следователям рисков просматривать копии всех отдельных файлов и сообщений электронной почты, связанных с оповещениями о рисках. Например, если оповещение создается, когда пользователь скачивает сотни файлов из SharePoint Online, а действие активирует оповещение политики, дело записывает и копирует все скачанные файлы для оповещения в дело по управлению внутренними рисками из исходных источников хранилища.

Обозреватель содержимого — это мощный инструмент с базовыми и расширенными функциями поиска и фильтрации. Дополнительные сведения об использовании обозревателя содержимого см. в разделе Обозреватель содержимого управления внутренними рисками.

Обозреватель содержимого для случаев управления внутренними рисками.

Примечания к обращению

Аналитики рисков и следователи используют вкладку Примечания к делу, чтобы делиться комментариями, отзывами и аналитическими сведениями о своей работе по делу. Заметки являются постоянными дополнениями к делу. После сохранения заметки вы не сможете изменить или удалить ее. При создании обращения на основе оповещения примечания, которые вы вводите в диалоговом окне Подтверждение оповещения и создание случая инсайдерского риска , автоматически становятся примечанием к обращению.

На панели мониторинга заметок к обращениям отображаются заметки пользователя, создавшего заметку, и время, прошедшее с момента сохранения заметки. Чтобы найти в текстовом поле заметки к варианту конкретную ключевое слово, используйте функцию Поиск на панели мониторинга вариантов и введите определенную ключевое слово.

Добавление заметки к обращению

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите случай, а затем перейдите на вкладку Заметки о регистре .
  5. Выберите Добавить примечание к обращению.
  6. В диалоговом окне Добавление заметки о регистре введите примечание.
  7. Нажмите кнопку Сохранить , чтобы добавить примечание в дело.

Участники

Вкладка Участники в деле — это место, где аналитики и исследователи рисков могут добавлять в дело других проверяющих. По умолчанию все пользователи, назначенные следователям по управлению внутренними рисками и роли Управления внутренними рисками , перечислены в качестве участников для каждого активного и закрытого дела.

Вы можете предоставить временный доступ к делу, добавив пользователя в качестве участник, но со следующими ограничениями:

  • Аналитики и следователи могут добавлять участников.
  • Вы не можете добавлять аналитиков в качестве участников.
  • Участники не могут добавлять участников.

Участники имеют все функции управления делами для конкретного случая, за исключением следующих случаев:

  • Разрешение на подтверждение или закрытие оповещений.
  • Разрешение на изменение участников для случаев.

Добавление участник в дело

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите случай, а затем перейдите на вкладку Участники .
  5. Выберите Добавить участник.
  6. В диалоговом окне Добавление участник начните вводить имя пользователя, которого нужно добавить, а затем выберите пользователя из списка рекомендуемых пользователей. Этот список получен из Microsoft Entra идентификатора подписки клиента.
  7. Выберите Добавить, чтобы добавить пользователя в качестве участник.

Действия с делом

Специалисты по анализу рисков могут принять меры по делу одним из нескольких способов в зависимости от серьезности дела, истории риска пользователя и руководящих принципов риска вашей организации. В некоторых ситуациях может потребоваться передать дело пользователю или анализу данных для совместной работы с другими областями организации и более глубокого изучения рисков. Управление внутренними рисками тесно интегрировано с другими решениями Microsoft Purview, чтобы помочь вам в комплексном управлении разрешениями.

Отправка уведомления по электронной почте

В большинстве случаев действия пользователей, создающие оповещения о внутренних рисках, непреднамеренно или случайны. Отправка пользователю уведомления с напоминанием по электронной почте является эффективным методом для документирования рассмотрения случаев и действий. Этот метод напоминает пользователям о корпоративных политиках или указывает им на обучение по обновлению. Вы создаете уведомления на основе шаблонов уведомлений, создаваемых для инфраструктуры управления внутренними рисками.

Помните, что отправка уведомления по электронной почте пользователю не разрешает дело как закрытое. В некоторых случаях после отправки уведомления пользователю может потребоваться оставить дело открытым, чтобы найти дополнительные действия по риску, не открывая новое дело. Если вы хотите устранить проблему после отправки уведомления, выберите Разрешить дело в качестве следующего шага после отправки уведомления.

Отправка уведомления пользователю, назначенному для обращения

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите дело, а затем выберите Отправить уведомление по электронной почте на панели инструментов действия обращения.
  5. В диалоговом окне Отправка уведомления по электронной почте выберите раскрывающийся список Выберите шаблон уведомления , чтобы выбрать шаблон уведомления. Этот выбор предварительно заполняет другие поля в уведомлении.
  6. Просмотрите поля уведомлений и обновите их соответствующим образом. Значения, которые вы вводите, переопределяют значения в шаблоне.
  7. Нажмите кнопку Отправить , чтобы отправить уведомление пользователю. Все отправленные уведомления добавляются в очередь заметок о обращении на панели мониторинга заметок о обращении .

Передать для исследования

Эскалация дела для исследования пользователей, если вам требуется дополнительная юридическая проверка для действий пользователя с рисками. Эта эскалация открывает новое дело Microsoft Purview eDiscovery (Премиум) в организации Microsoft 365. eDiscovery (премиум) обеспечивает комплексный рабочий процесс для сохранения, сбора, проверки, анализа и экспорта содержимого, используемого во внутренних и внешних судебных разбирательствах в вашей организации. Он также позволяет группе юристов управлять всем рабочим процессом уведомления об удержании по юридическим причинам, чтобы общаться с хранителями, участвующими в деле. Эскалация до дела об обнаружении электронных данных (премиум) из дела по управлению внутренними рисками помогает вашей юридической команде принять соответствующие меры и управлять сохранением содержимого. Дополнительные сведения о случаях обнаружения электронных данных (Premium) см. в статье Обзор Microsoft Purview eDiscovery (Premium).

Передача дела в исследование пользователя

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите дело, а затем выберите Эскалация для исследования на панели инструментов действия дела.
  5. В диалоговом окне Эскалация для исследования введите имя для нового исследования пользователей. При необходимости введите заметки о случае, а затем нажмите кнопку Эскалация.
  6. Просмотрите поля уведомлений и обновите их соответствующим образом. Значения, которые вы вводите, переопределяют значения в шаблоне.
  7. Выберите Подтвердить , чтобы создать дело для исследования пользователей.

После эскалации дела по управлению внутренними рисками в новое дело исследования пользователей вы можете просмотреть новое дело в области eDiscovery>Advanced на портале Microsoft Purview.

Выполнение автоматизированных задач с помощью потоков Power Automate для обращения

Используя рекомендуемые потоки Power Automate, специалисты по рискам и аналитики могут быстро принять меры для:

  • Запросите у отдела кадров или компании сведения о пользователе в случае инсайдерского риска.
  • Уведомлять руководителя, когда у пользователя есть оповещение о внутренних рисках.
  • Создайте запись для обращения по управлению внутренними рисками в ServiceNow.
  • Уведомлять пользователей о добавлении в политику внутренних рисков.

Запуск, управление и создание потоков Power Automate для обращения по управлению внутренними рисками:

  1. Выберите Автоматизировать на панели инструментов действия обращения.
  2. Выберите поток Power Automate для запуска, а затем выберите Запустить поток.
  3. После завершения потока нажмите кнопку Готово.

Дополнительные сведения о потоках Power Automate для управления внутренними рисками см. в статье Начало работы с параметрами управления внутренними рисками.

Просмотр или создание команды Microsoft Teams для этого дела

При включении интеграции Microsoft Teams для управления внутренними рисками в параметрах решение автоматически создает команду Microsoft Teams каждый раз, когда вы подтверждаете оповещение и создаете обращение. Специалисты по анализу рисков и аналитики могут быстро открыть Microsoft Teams и перейти непосредственно к команде по делу, выбрав Просмотреть команду Microsoft Teams на панели инструментов действий по делу.

Для случаев, открытых перед включением интеграции Microsoft Team, следователи по рискам и аналитики могут создать новую команду Microsoft Teams для дела, выбрав Создать команду Microsoft Teams на панели инструментов действия дела.

При разрешении дела решение автоматически архивирует связанную группу Microsoft Team (скрывает ее и преобразует в режим только для чтения).

Дополнительные сведения о Microsoft Teams для управления внутренними рисками см. в статье Начало работы с параметрами управления внутренними рисками.

Решение проблемы

После того как аналитики рисков и следователи завершат проверку и расследование, разрешите дело, чтобы действовать в соответствии со всеми оповещениями, включенными в настоящее время в дело. При разрешении дела добавляется классификация разрешения, изменяется состояние обращения на Закрыто, а причины действия по разрешению автоматически добавляются в очередь заметок о обращении на панели мониторинга заметок о обращении . Разрешать случаи следующим образом:

  • Доброкачественные. Классификация для случаев, когда оповещения о совпадении политики оцениваются как низкий риск, несерьёзные или ложноположительные.
  • Подтвержденное нарушение политики. Классификация для случаев, когда оповещения о совпадении политик оцениваются как рискованные, серьезные или являются результатом злонамеренного намерения.

Разрешение обращения

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Варианты в области навигации слева.
  4. Выберите случай, а затем выберите Разрешить дело на панели инструментов действия обращения.
  5. В диалоговом окне Разрешение случая выберите раскрывающийся список Разрешить как , чтобы выбрать классификацию разрешения для дела. Возможные варианты: Доброкачественное или Подтвержденное нарушение политики.
  6. В диалоговом окне Разрешение случая введите причины для классификации разрешения в текстовом поле Действие.
  7. Выберите Разрешить, чтобы закрыть дело.
  • Last updated on