Поделиться через

Создание политик управления внутренними рисками и управление ими

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Политики управления внутренними рисками определяют, какие пользователи находятся в область и какие типы индикаторов риска настроены для оповещений. Вы можете быстро создать политику безопасности, которая применяется ко всем пользователям в организации, или определить отдельных пользователей или группы для управления в политике. Политики поддерживают приоритеты содержимого, чтобы сосредоточиться на условиях политики на нескольких или определенных Microsoft Teams, сайтах SharePoint, типах конфиденциальности данных и метках данных. С помощью шаблонов можно выбирать определенные индикаторы риска и настраивать пороговые значения событий для индикаторов политики, эффективно настраивая оценки риска, а также уровень и частоту оповещений.

Вы также можете настроить политики быстрой утечки данных и кражи данных, отправив пользовательские политики, которые автоматически определяют условия политики на основе результатов последней аналитики. Кроме того, бустеры оценки риска и обнаружение аномалий помогают выявлять потенциально рискованные действия пользователей, которые имеют более высокую важность или необычные. Окна политик позволяют определить период времени применения политики к действиям оповещений и используются для определения длительности действия политики после ее активации.

Общие сведения о том, как политики, созданные с помощью встроенных шаблонов политик, помогают быстро реагировать на потенциальные риски, см. в видео о настройке политик управления внутренними рисками.

Совет

Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.

Панель мониторинга политики

Панель мониторинга политики позволяет быстро просмотреть политики пользователей и агентов в организации, работоспособность каждой политики, вручную добавить пользователей в политики безопасности и просмотреть состояние оповещений, связанных с каждой политикой. Политики разделены на две категории: политика пользователя и политика агента. Переключение между ними для поиска соответствующих сведений о политике. Политика агента распространяется на агентов из Microsoft Copilot Studio и Microsoft Foundry.

  • Имя политики: имя, назначенное политике в рабочем процессе политики.
  • Состояние: состояние работоспособности для каждой политики. Отображает количество предупреждений и рекомендаций политики или состояние работоспособности для политик без проблем. Вы можете выбрать политику, чтобы просмотреть сведения о состоянии работоспособности для любых предупреждений или рекомендаций.
  • Активные оповещения: количество активных оповещений для каждой политики.
  • Подтвержденные оповещения: общее количество оповещений, которые привели к обращениям из политики за последние 365 дней.
  • Действия, выполняемые с оповещениями: общее количество оповещений, которые были подтверждены или отклонены за последние 365 дней.
  • Эффективность оповещений политики. Процент определяется общим числом подтвержденных оповещений, разделенных на общее количество действий, выполненных с оповещениями (это сумма оповещений, которые были подтверждены или отклонены за последний год).

Панель мониторинга политики управления внутренними рисками

Рекомендации по политике из аналитики

Аналитика внутренних рисков предоставляет совокупное представление анонимных действий пользователей, связанных с безопасностью и соответствием требованиям. С помощью этого представления можно оценить потенциальные внутренние риски в организации без настройки политик внутренних рисков. Эта оценка помогает вашей организации определить потенциальные области с более высоким риском, а также определить тип и область политик управления внутренними рисками, которые можно настроить. Если вы решили действовать с результатами сканирования аналитики на предмет утечки данных или кражи данных путем ухода из политик пользователей, вы даже можете настроить быструю политику на основе этих результатов.

Дополнительные сведения об аналитике внутренних рисков и рекомендациях политик см. в разделе Параметры управления внутренними рисками: Аналитика.

Примечание.

Для доступа к аналитическим сведениям необходимо быть неограниченным администратором. Узнайте, как административные группы влияют на разрешения.

Быстрые политики

Для многих организаций начало работы с начальной политикой может оказаться сложной задачей. Если вы не знакомы с управлением внутренними рисками или используете рекомендуемые действия для начала работы, используйте быструю политику, чтобы создать и настроить новую политику. Параметры быстрой политики автоматически заполняют из рекомендуемых рекомендаций или результатов последней проверки аналитики в вашей организации. Например, если аналитика проверка обнаружена потенциальная утечка данных в вашей организации, политика быстрой утечки дат автоматически включает индикаторы, используемые для обнаружения этих действий.

Вы можете выбрать один из следующих быстрых политик:

  • Защита критически важных ресурсов. Обнаруживает действия, связанные с наиболее ценными ресурсами вашей организации. Потеря этих активов может привести к юридической ответственности, финансовому ущербу или репутации.
  • Утечки данных. Обнаружение потенциальных утечек данных от всех пользователей в вашей организации, которые могут варьироваться от случайного совместного использования конфиденциальной информации до кражи данных с злонамеренным намерением. ​
  • Кража данных путем ухода пользователей. Обнаруживает потенциальные кражи данных пользователями вблизи даты их отставки или прекращения или на основе удаления учетной записи из Microsoft Entra ID.
  • Email кражи. Определяет, когда пользователи отправит конфиденциальные ресурсы за пределы вашей организации. Например, пользователи отправят конфиденциальные ресурсы по электронной почте на свой личный адрес электронной почты.

Чтобы приступить к работе, перейдите враздел Политикиуправления внутренними рисками> и выберите Создать политику>Быстрая политика. Если вы просматриваете аналитические отчеты, выберите Просмотреть сведения>Начало работы , чтобы приступить к работе с быстрой политикой для соответствующей области.

При запуске рабочего процесса быстрой политики просмотрите параметры политики и настройте политику с помощью одного выбора. Если необходимо настроить быструю политику, измените условия после создания политики. Будьте в курсе результатов обнаружения для быстрой политики, настроив Уведомления по электронной почте каждый раз, когда у вас есть предупреждение политики или каждый раз, когда политика создает оповещение с высоким уровнем серьезности.

Примечание.

Для создания быстрых политик необходимо быть неограниченным администратором. Узнайте, как административные группы влияют на разрешения.

Определение приоритетов содержимого в политиках

Политики управления внутренними рисками поддерживают указание более высокого приоритета для содержимого в зависимости от того, где оно хранится, тип содержимого или как его классифицировать. Вы также можете выбрать, следует ли назначать оценки риска всем действиям, обнаруженным политикой, или только действиям, которые содержат приоритетный контент. Указание содержимого в качестве приоритета увеличивает оценку риска для любого связанного с ним действия, что, в свою очередь, увеличивает вероятность создания оповещения высокой важности. Однако некоторые действия вообще не создают оповещение, если связанное содержимое не содержит встроенные или настраиваемые типы конфиденциальной информации или вы указываете его в качестве приоритета в политике.

Например, у вашей организации есть выделенный сайт SharePoint для строго конфиденциального проекта. Утечка данных на этом сайте SharePoint может скомпрометировать проект и существенно повлиять на его успех. Приоритезируя этот сайт SharePoint в политике утечки данных, вы автоматически увеличиваете оценки риска для соответствующих действий. Такая приоритезация увеличивает вероятность того, что эти действия создают оповещение о внутреннем риске, и повышает степень серьезности оповещения.

Кроме того, эту политику можно сфокусировать на действиях сайта SharePoint, которые включают только приоритетное содержимое для этого проекта. Назначаются оценки риска, а оповещения создаются только в том случае, если указанные действия включают содержимое с приоритетом. Действия без приоритетного содержимого не оцениваются, но вы по-прежнему можете просмотреть их, если создается оповещение.

Важно!

Действие накопительной кражи всегда получает оценку риска, независимо от того, содержит ли она приоритетный контент.

Следующие шаблоны политик поддерживают выбор приоритетного содержимого:

  • Утечки данных
  • Утечки данных приоритетными пользователями
  • Утечка данных рискованными пользователями
  • Кража данных уходящими пользователями
  • Рискованное использование ИИ

Примечание.

Если настроить политику для создания оповещений только для действий, включающих содержимое с приоритетом, никакие изменения не будут применены к повышателям оценки риска.

При создании политики управления внутренними рисками в рабочем процессе политики можно выбрать один из следующих приоритетов:

  • Сайты SharePoint. Назначьте более высокую оценку риска любым действиям, связанным со всеми типами файлов на определенных сайтах SharePoint. Пользователи, настроив политику и выбрав приоритетные сайты SharePoint, могут выбирать сайты SharePoint, на доступ к которым у них есть разрешение. Если сайты SharePoint недоступны для выбора в политике текущим пользователем, другой пользователь с необходимыми разрешениями может выбрать сайты для политики позже или текущий пользователь должен получить доступ к требуемым сайтам.
  • Типы конфиденциальной информации. Назначьте более высокую оценку риска любым действиям, связанным с содержимым, содержащим типы конфиденциальной информации.
  • Метки конфиденциальности. Назначьте более высокую оценку риска любым действиям, связанным с содержимым, к которому применены определенные метки конфиденциальности .
  • Расширения файлов. Назначьте более высокую оценку риска всем действиям, связанным с содержимым с определенными расширениями файлов. Пользователи, настраивающие политику кражи и утечки данных, которая выбирает расширения файлов для определения приоритетов в рабочем процессе политики, могут определить до 50 расширений файлов для определения приоритетов в политике. Введенные расширения могут включать или опускать символ "." в качестве первого символа приоритетного расширения.
  • Обучаемые классификаторы. Назначьте более высокую оценку риска любому действиям, связанным с содержимым, включенным в обучаемый классификатор. Пользователи, настраивающие политику, которая выбирает обучаемые классификаторы в рабочем процессе политики, могут выбрать до 5 обучаемых классификаторов для применения к политике. Эти классификаторы могут быть существующими классификаторами, которые определяют шаблоны конфиденциальной информации, такие как социальное обеспечение, кредитные карта, номера банковских счетов или пользовательские классификаторы, созданные в вашей организации.

Обнаружение последовательности

Действия по управлению рисками могут не выполняться как изолированные события. Эти риски часто являются частью более широкой последовательности событий. Последовательность — это группа из двух или более потенциально рискованных действий, выполняемых один за другим, которые могут предполагать повышенный риск. Выявление этих связанных действий пользователей является важной частью оценки общего риска. При выборе обнаружения последовательности для политик кражи данных или утечки данных на вкладке Действия пользователей в случае управления внутренними рисками отображаются аналитические сведения из действий с информацией о последовательности. Следующие шаблоны политик поддерживают обнаружение последовательности:

  • Утечки данных
  • Утечки данных приоритетными пользователями
  • Утечка данных рискованными пользователями
  • Кража данных уходящими пользователями
  • Рискованное использование ИИ

Эти политики управления внутренними рисками могут использовать определенные индикаторы и порядок их выполнения для обнаружения каждого шага в последовательности рисков. При обнаружении выбранных последовательностей обнаруживаются только последовательности риска в порядке, отображаемом в рабочем процессе настройки политики. Для политик, созданных на основе утечек данных и утечек данных с помощью шаблонов приоритетных пользователей , можно также выбрать, какие последовательности активируют политику. Имена файлов используются при сопоставлении действий в последовательности. Эти риски организованы по четырем основным категориям действий:

  • Коллекция. Обнаруживает действия скачивания пользователями политики область. Примеры действий по управлению рисками включают скачивание файлов с сайтов SharePoint, сторонних облачных служб, не разрешенных доменов или перемещение файлов в сжатую папку.
  • Кража: обнаруживает действия общего доступа или извлечения во внутренние и внешние источники пользователями политики область. Пример действий по управлению рисками включает отправку сообщений электронной почты с вложениями из организации внешним получателям.
  • Запутывание. Обнаруживает маскировку потенциально рискованных действий пользователями политики область. Пример действия по управлению рисками включает переименование файлов на устройстве.
  • Очистка. Обнаруживает действия удаления пользователей область политики. Пример действия по управлению рисками включает удаление файлов с устройства.

Примечание.

Для обнаружения последовательностей используются индикаторы, которые можно включить в глобальных параметрах для управления внутренними рисками. Если вы не выбрали соответствующие индикаторы, их можно включить на этапе обнаружения последовательности в рабочем процессе политики.

Вы можете настроить отдельные пороговые параметры для каждого типа обнаружения последовательности при его настройке в политике. Эти пороговые параметры настраивают оповещения в зависимости от объема файлов, связанных с типом последовательности.

Примечание.

Последовательность может содержать одно или несколько событий, которые исключаются из оценки рисков на основе конфигурации параметров. Например, ваша организация может использовать параметр Глобальные исключения, чтобы исключить .png файлы из оценки риска, так как .png файлы обычно не являются рискованными. Но для маскировки вредоносного действия можно использовать файл .png. По этой причине, если событие, исключенное из оценки рисков, является частью последовательности из-за действия маскировки, событие включается в последовательность, так как оно может быть интересно в контексте последовательности. Дополнительные сведения о том, как исключения, которые являются частью последовательности, отображаются в обозревателе действий.

Дополнительные сведения об управлении обнаружением последовательностей в представлении действия пользователя см. в разделе Случаи управления внутренними рисками: действия пользователей.

Накопительное обнаружение кражи

Если конфиденциальность включена по умолчанию, индикаторы внутренних рисков помогают выявлять необычные уровни рисков при ежедневной оценке для пользователей, которые находятся в область для политик внутренних рисков. Накопительное обнаружение кражи использует модели машинного обучения, чтобы определить, когда действия кражи, выполняемые пользователем в течение определенного времени, превышают обычный объем, выполняемый пользователями в организации за последние 30 дней за несколько типов действий кражи. Например, если пользователь предоставил доступ к большему объему файлов, чем большинство пользователей за последний месяц, это действие обнаруживается и классифицируется как совокупное действие кражи.

Аналитики и следователи по управлению внутренними рисками могут использовать совокупные аналитические сведения об обнаружении кражи для выявления действий по краже , которые обычно не создают оповещения, но больше, чем обычно для их организации. Некоторые примеры могут заключаться в том, что пользователи медленно эксфильтрируют данные в течение нескольких дней, или когда пользователи многократно обмениваются данными по нескольким каналам больше, чем обычно для общего доступа к данным в вашей организации, или по сравнению с группами одноранговых групп.

Примечание.

По умолчанию накопительное обнаружение кражи создает оценки риска на основе совокупной активности пользователя по сравнению с его организационными нормами. Вы можете включить накопительные параметры обнаружения кражи в разделе Индикаторы политики на странице параметров управления внутренними рисками.

Более высокие оценки риска назначаются совокупным действиям кражи для сайтов SharePoint, типов конфиденциальной информации и содержимого с метками конфиденциальности, настроенными в качестве приоритетного содержимого в политике или для действий с метками, настроенными как высокоприоритетные в Защита информации Microsoft Purview.

При использовании следующих шаблонов политики по умолчанию включены обнаружения накопительных краж данных:

  • Утечки данных
  • Утечки данных приоритетными пользователями
  • Утечка данных рискованными пользователями
  • Кража данных уходящими пользователями

Важно!

Параметр оценки только действий, содержащих содержимое с приоритетом, не применяется к накопительным действиям кражи. Действие накопительной кражи всегда получает оценку риска, независимо от того, содержит ли она приоритетный контент.

Группы одноранговых узлов для совокупного обнаружения кражи

Управление внутренними рисками определяет три типа одноранговых групп для анализа действий кражи, выполняемых пользователями. Он определяет одноранговые группы для пользователей на основе следующих критериев:

Сайты SharePoint. Управление внутренними рисками определяет одноранговые группы на основе пользователей, которые получают доступ к похожим сайтам SharePoint. Аналогичная организация: пользователи с отчетами и членами команды на основе иерархии организации. Для этого параметра требуется, чтобы ваша организация использовала Microsoft Entra ID для поддержания иерархии организации. Аналогичная должность: пользователи с сочетанием расстояния в организации и аналогичных должностей. Например, пользователь с должностью старшего менеджера по продажам с аналогичным назначением роли в качестве ведущего менеджера по продажам в той же организации определяется как аналогичная должность. Этот параметр требует, чтобы ваша организация использовала Microsoft Entra ID для поддержания иерархии организации, обозначений ролей и должностей. Если у вас нет Microsoft Entra ID, настроенных для структуры организации и названий должностей, управление внутренними рисками определяет группы одноранговых узлов на основе общих сайтов SharePoint.

При включении накопительного обнаружения кражи ваша организация соглашается предоставить общий доступ к Microsoft Entra данным на портале Microsoft Purview, включая иерархию организации и названия должностей. Если ваша организация не использует Microsoft Entra ID для хранения этой информации, обнаружение может быть менее точным.

Примечание.

Накопительное обнаружение кражи использует индикаторы кражи, которые вы включаете в глобальных параметрах для управления внутренними рисками и индикаторы кражи, выбираемые в политике. Таким образом, накопительное обнаружение кражи оценивает только необходимые индикаторы кражи. Совокупные действия кражи для меток конфиденциальности, настроенных в содержимом с приоритетом, создают более высокие оценки риска.

При включении накопительного обнаружения кражи данных для политик кражи или утечки данных на вкладке Действия пользователей в случае управления внутренними рисками отображаются аналитические сведения о действиях с накопительным хищением. Дополнительные сведения об управлении действиями пользователей см. в разделе Сценарии управления внутренними рисками: Действия пользователей.

Работоспособности политики

Примечание.

Если ваша политика ограничена одной или несколькими административными единицами, вы можете просмотреть работоспособность политики только для политик, для которые вы ограничены. Если вы являетесь неограниченным администратором, вы можете просмотреть работоспособность политик для всех политик в клиенте.

Состояние работоспособности политики позволяет получить представление о потенциальных проблемах с политиками управления внутренними рисками. Столбец Состояние на вкладке Политики оповещает о проблемах политики, которые могут препятствовать отправке сообщений о действиях пользователей, или объясняет, почему количество оповещений о действиях является необычным. Состояние работоспособности политики также подтверждает, что политика работоспособна и не требует внимания или изменений конфигурации.

Важно!

Для доступа к работоспособности политики необходимо иметь роль "Управление внутренними рисками " или "Администраторы управления внутренними рисками ".

Если с политикой имеются проблемы, в состоянии работоспособности политики отображаются уведомления и рекомендации, которые помогут вам принять меры для решения проблем с политикой. Эти уведомления помогут устранить следующие проблемы:

  • Политики с неполной конфигурацией. Эти проблемы могут включать отсутствие пользователей или групп в политике или другие незавершенные шаги настройки политики.
  • Политики с проблемами конфигурации индикаторов. Индикаторы являются важной частью каждой политики. Если индикаторы не настроены или выбрано слишком мало индикаторов, политика может не оценивать рискованные действия должным образом.
  • Триггеры политики не работают или требования к триггерам политики настроены неправильно. Функциональные возможности политики могут зависеть от других служб или требований к конфигурации для эффективного обнаружения триггерных событий для активации назначения оценки риска пользователям в политике. Эти зависимости могут включать проблемы с конфигурацией соединителя, Microsoft Defender для конечной точки общим доступом к оповещениям или параметрами конфигурации политики защиты от потери данных.
  • Ограничения тома приближаются к ограничениям или выходят за пределы. Политики управления внутренними рисками используют множество служб и конечных точек Microsoft 365 для агрегирования сигналов о действиях риска. В зависимости от количества пользователей в политиках ограничения томов могут задерживать выявление рисков и отчетность о действиях, связанных с рисками. Подробнее об этих ограничениях можно узнать в разделе "Ограничения шаблона политики" этой статьи.

Чтобы быстро просмотреть состояние работоспособности политики, перейдите на вкладку Политика и проверка столбец Состояние. Для каждой политики отображаются следующие параметры состояния работоспособности политики:

  • Работоспособно. Проблемы с политикой не определены.
  • Рекомендации. Проблема с политикой, которая может препятствовать правильной работе политики.
  • Предупреждения. Проблема с политикой, которая может препятствовать выявлению потенциально рискованных действий.

Для получения дополнительных сведений о рекомендациях или предупреждениях выберите политику на вкладке Политики, чтобы открыть карточку сведений о политике. В разделе Уведомления подробных сведений карта отображаются дополнительные сведения о рекомендациях и предупреждениях, включая рекомендации по устранению этих проблем.

Работоспособности политики управления внутренними рисками.

Уведомления

В следующей таблице вы узнаете больше о рекомендациях, предупреждениях и действиях, которые необходимо принять для устранения потенциальных проблем.

Уведомления Шаблоны политики Причины / Попробуйте это действие, чтобы исправить
Политика защиты от потери данных не соответствует требованиям — утечки данных
- Утечки данных приоритетными пользователями		 Политики защиты от потери данных, используемые в качестве инициирующих событий, должны быть настроены для создания оповещений высокой важности.

1. Измените политику защиты от потери данных, чтобы назначить применимым оповещениям высокий уровень важности.

ИЛИ

2. Отредактируете эту политику и выберите Пользователь выполняет действие кражи в качестве инициирующего события.
Политика защиты от потери данных не выбрана в качестве инициирующего события — утечки данных
- Утечки данных приоритетными пользователями		 Политика защиты от потери данных не была выбрана в качестве события активации или выбранная политика защиты от потери данных была удалена.

Измените политику и выберите активную политику защиты от потери данных или установить событие "Пользователь выполняет действие кражи" в качестве инициирующего события в конфигурации политики.
В этой политике выключено использование политики защиты от потери данных — утечки данных
- Утечки данных приоритетными пользователями		 В этой политике выключено использование политики защиты от потери данных.

1. Включите политику защиты от потери данных, назначенную этой политике.

ИЛИ

2. Измените политику и выберите новую политику защиты от потери данных или установить событие "Пользователь выполняет действие кражи" в качестве инициирующего события в конфигурации политики.
Соединитель отдела кадров в последнее время не загружал данные - Кража данных уходящим пользователем
- Нарушения политики безопасности уходящим пользователем
— утечки данных рискованными пользователями
— нарушения политики безопасности пользователями, которые рискуют		 Соединитель отдела кадров не импортирует данные более 7 дней.

Проверьте правильность настройки соединителя отдела кадров и отправку данных.
Соединитель отдела кадров не настроен или не работает должным образом - Кража данных уходящим пользователем
- Нарушения политики безопасности уходящим пользователем
— утечки данных рискованными пользователями
— нарушения политики безопасности пользователями, которые рискуют		 Возникла проблема с соединителем отдела кадров.

1. Если вы используете соединителя отдела кадров, убедитесь, что соединитель отдела кадров отправляет правильные данные

ИЛИ

2. Выберите событие активации Microsoft Entra учетной записи удалено.
Microsoft Defender для конечной точки оповещения не передаются порталу Microsoft Purview — Нарушения политики безопасности
- Нарушения политики безопасности уходящими пользователями
— нарушения политики безопасности пользователями, которые рискуют
- Нарушения политики безопасности приоритетными пользователями		 Microsoft Defender для конечной точки оповещения не передаются порталу Microsoft Purview.

Настройка общего доступа к оповещениям Microsoft Defender для конечной точки.
Устройства не подключены - Кража данных уходящими пользователями
— утечки данных
— утечки данных рискованными пользователями
- Утечки данных приоритетными пользователями		 Индикаторы устройств выбраны, но нет устройств, подключенных к порталу Microsoft Purview

Проверьте подключение устройств и соответствие требованиям.
Для этой политики не выбраны индикаторы Все шаблоны политик Индикаторы не были выбраны для политики

Изменение политики и выбор соответствующих индикаторов политики.
В эту политику не включены группы приоритетных пользователей - Утечки данных приоритетными пользователями
- Нарушения политики безопасности приоритетными пользователями		 Группы приоритетных пользователей не назначены политике.

Настройте приоритетные группы пользователей в параметрах управления внутренними рисками и назначьте приоритетные группы пользователей политике.
Для этой политики не выбрано инициирующее событие Все шаблоны политик Инициирующее событие не настроено для политики

Оценки риска не будут назначены действиям пользователей, пока вы не отредактируете политику и не выберете инициирующее событие.
В эту политику не включены пользователи или группы Все шаблоны политик Пользователи или группы не назначены политике.

Изменение политики и выбор пользователей или групп для политики.
Политика не создала никаких оповещений Все шаблоны политик Вам может потребоваться просмотреть конфигурацию политики, чтобы проанализировать наиболее релевантные действия оценки.

1. Убедитесь, что выбраны индикаторы, которые нужно оценить. Чем больше индикаторов выбрано, тем большему количеству действий назначаются оценки риска.
2. Просмотрите настройку пороговых значений для политики. Если выбранные пороговые значения не соответствуют допустимости риска вашей организации, измените выбранные значения таким образом, чтобы оповещения создавались на основе предпочитаемых пороговых значений.
3. Просмотрите пользователей и группы, выбранные для политики. Убедитесь, что выбраны все применимые пользователи и группы.
4. Для политик нарушения безопасности убедитесь, что выбрано состояние рассмотрения оповещений, которое вы хотите оценить для Microsoft Defender для конечной точки оповещений в параметрах интеллектуального обнаружения.
Политика не назначает оценки риска действиям Все шаблоны политик Вам может потребоваться просмотреть политику область и конфигурацию событий, чтобы политика могла назначать оценки риска действиям.

1. Просмотрите пользователей, выбранных для политики. Если выбрано несколько пользователей, может потребоваться выбрать дополнительных пользователей.
2. Если вы используете соединителя отдела кадров, убедитесь, что соединитель отдела кадров отправляет правильные данные.
3. Если в качестве события активации используется политика защиты от потери данных, проверка конфигурацию политики защиты от потери данных, чтобы убедиться, что она настроена для использования в этой политике.
4. Для политик нарушения безопасности просмотрите состояние рассмотрения оповещений Microsoft Defender для конечной точки, выбранное в разделе Параметры предварительной > оценки рисков Интеллектуальное обнаружение. Подтвердите, что фильтр оповещений не слишком узкий.
Событие активации неоднократно возникает для более чем 15% пользователей в этой политике Все шаблоны политик Настройте событие триггера, чтобы уменьшить частоту использования пользователей в политике область.
Мы не можем проверка состояние вашего соединителя отдела кадров прямо сейчас, пожалуйста, проверка позже - Кража данных уходящим пользователем
- Нарушения политики безопасности уходящим пользователем
— утечки данных рискованными пользователями
— нарушения политики безопасности пользователями, которые рискуют		 Решение для управления внутренними рисками не может проверка состояние соединителя отдела кадров.

Проверьте правильность настройки соединителя отдела кадров и отправку данных, а также проверьте состояние политики.
Вы приближаетесь к максимальному ограничению пользователей, которые активно оцениваются для этого шаблона политики. Все шаблоны политик Каждый шаблон политики имеет максимальное число включенных пользователей. См. сведения о разделе ограничения шаблона.

Просмотрите пользователей на вкладке Пользователи и удалите всех пользователей, которым больше не требуется оценка.
У вашей организации нет подписки на Microsoft Defender для конечной точки — Нарушения политики безопасности
- Нарушения политики безопасности уходящими пользователями
— нарушения политики безопасности пользователями, которые рискуют
- Нарушения политики безопасности приоритетными пользователями		 Активная подписка на Microsoft Defender для конечной точки не обнаружена для вашей организации.

Пока не будет добавлена подписка на Microsoft Defender для конечной точки, эти политики не будут назначать оценки риска для действий пользователей.

Создание новой политики

Чтобы создать политику управления внутренними рисками, обычно используйте рабочий процесс политики в решении для управления внутренними рисками на портале Microsoft Purview. Вы также можете создать быстрые политики для общих утечек данных и кражи данных, отправляя пользователей из проверок Аналитики, если это применимо.

Выполните шаг 6. Создайте политику управления внутренними рисками , чтобы настроить новые политики внутренних рисков.

Обновление политики

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Политики в области навигации слева.
  4. На панели мониторинга политики выберите политику, которую требуется обновить.
  5. На странице сведений о политике выберите Изменить политику.
  6. При необходимости на странице Имя и описание обновите описание политики.

    Примечание.

    Вы не можете изменить шаблон политики или поле Имя .

  7. Нажмите кнопку Далее, чтобы продолжить.
  8. Выполните шаг 7 процедуры Создания политики.

Копирование политики

Может потребоваться создать новую политику, аналогичную существующей политике, но требуется всего несколько изменений в конфигурации. Вместо создания новой политики с нуля можно скопировать существующую политику, а затем изменить области, которые необходимо обновить в новой политике.

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.
  2. Перейдите к решению для управления внутренними рисками .
  3. Выберите Политики в области навигации слева.
  4. На панели мониторинга политики выберите политику, которую вы хотите скопировать.
  5. На странице сведений о политике выберите Копировать.
  6. В рабочем процессе политики присвойте новой политике имя и при необходимости обновите ее конфигурацию.

Немедленное начало оценки действий пользователей

В некоторых сценариях требуется назначать оценки риска пользователям с политиками внутренних рисков за пределами рабочего процесса запуска событий управления внутренними рисками. Используйте функцию Начать оценку для пользователей на вкладке Политики , чтобы вручную добавить одного или нескольких пользователей в одну или несколько политик внутренних рисков в течение определенного периода времени. Это действие начинает присваивать оценки риска их действиям и обходит требование для пользователя иметь триггерный индикатор, например соответствие политики защиты от потери данных или дату окончания занятости из соединителя кадров.

Значение в поле Причина действия оценки отображается в временная шкала действий пользователей. На панели мониторинга Пользователи отображаются пользователи, которые вручную добавляются в политики, и оповещения создаются, если действие соответствует пороговым значениям оповещений политики. Вы можете иметь до 4000 пользователей в область, которые вы добавляете вручную с помощью функции Начать оценку для пользователей.

Ниже приведены некоторые сценарии, в которых может потребоваться немедленно начать оценку действий пользователей.

  • Вы выявляете пользователей с проблемами риска и хотите немедленно приступить к назначению оценки риска их действиям для одной или нескольких ваших политик.
  • Существует инцидент, в котором может потребоваться немедленно присвоить оценку риска действиям участвующих пользователей для одной или нескольких ваших политик.
  • Вы еще не настроили соединитель отдела кадров, но хотите начать назначать оценки риска действиям пользователей для событий отдела кадров, отправив файл .csv.

Примечание.

Добавление пользователей на панель мониторинга пользователей может занять несколько часов. Отображение действий за предыдущие 90 дней для этих пользователей может занять до 24 часов. Чтобы просмотреть действия для пользователей, добавленных вручную, перейдите на вкладку Пользователи , выберите пользователя на панели мониторинга Пользователи , а затем откройте вкладку Действия пользователя в области сведений.

Запуск действий по оценке вручную для пользователей в одной или нескольких политиках управления внутренними рисками

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Политики в области навигации слева.

  4. На панели мониторинга политики выберите политики, в которые нужно добавить пользователей.

  5. Выберите Начать оценку действий для пользователей.

  6. На панели Добавление пользователей в несколько политик введите причину для добавления пользователей в поле Причина .

  7. Определите количество дней для оценки активности пользователя в поле Это должно длиться (от 5 до 30 дней).

  8. Введите имя пользователя, которого вы хотите добавить, или используйте поиск пользователя для добавления в поле политики, чтобы найти пользователя, а затем выберите имя пользователя. Повторите эту процедуру, чтобы назначить дополнительных пользователей. Список пользователей, которые вы выбираете, появится в разделе пользователи области Добавление пользователей в несколько политик .

    Примечание.

    Если политика ограничена одной или несколькими административными единицами, вы можете видеть только пользователей, для которым задана область.

    Выберите Импорт , чтобы импортировать файл .csv (значения, разделенные запятыми), чтобы импортировать список пользователей. Файл должен иметь следующий формат и содержать имена субъектов-пользователей:

    user principal name
[email protected]
[email protected]

  9. Выберите Добавить пользователей в политики , чтобы принять изменения.

Прекращение оценки пользователей в политике

Чтобы остановить оценку пользователей в политике, см. статью Управление внутренними рисками: удаление пользователей из область назначения политикам.

Удаление политики

Важно!

Отменить удаление политики нельзя.

При удалении политики у вас есть два варианта. Варианты действий:

  • Удалите только политику.
  • Удалите политику и все связанные оповещения и пользователей.

При выборе второго варианта:

  • Все оповещения, созданные этой политикой, удаляются, если они не связаны с обращением. Связанные случаи никогда не удаляются при удалении политики.
  • Любой пользователь, связанный с оповещением из этой политики, удаляется со страницы Пользователи .
  • Если пользователь находится в область нескольких политик, пользователь удаляется только из удаляемой политики. Вы не удаляете пользователя из других активных политик.

Например, вы можете создать политику для тестовых целей перед развертыванием в организации. Завершив тестирование, вы можете быстро удалить политику и все связанные с ней тестовые данные, чтобы начать новую работу, когда будете готовы отправить политику в режим реального времени.

Удаление политики может занять до 72 часов.

Примечание.

При удалении политики, связанной с адаптивной защитой управления внутренними рисками, вы увидите предупреждение о том, что адаптивная защита перестает назначать уровни внутренних рисков пользователям, пока вы не выберете другую политику в адаптивной защите. Это предупреждение появляется, так как адаптивная защита должна быть связана с политикой, чтобы она действовала.

Удаление политики

  1. Войдите на портал Microsoft Purview с учетными данными для учетной записи администратора в организации Microsoft 365.

  2. Перейдите к решению для управления внутренними рисками .

  3. Выберите Политики в области навигации слева.

  4. На панели мониторинга политики выберите политику, которую вы хотите удалить.

  5. Выберите Удалить на панели панель инструментов панели мониторинга.

  6. Выберите один из указанных ниже вариантов.

    • Выберите Удалить только политику.
    • Выберите Удалить политику и все связанные оповещения и пользователей.

    Важно!

    Отменить удаление политики нельзя.

  7. Выберите Подтвердить.

    В верхней части экрана появится сообщение с сообщением об успешном удалении или ожидании.

  • Last updated on