Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.
При включении аналитики Управление внутренними рисками Microsoft Purview вы получаете несколько важных преимуществ. Варианты действий:
- Оцените потенциальные внутренние риски в организации без настройки политик внутренних рисков.
- Получите рекомендации по настройке пороговых параметров индикатора в режиме реального времени.
- Создание сводки по серьезности внутренних рисков и действий пользователей для пользователей, не входящих в политики. Поделитесь этой сводной информацией с помощью защиты от потери данных, соответствия требованиям к обмену данными и Microsoft Defender.
Оценка внутренних рисков в организации
Управление внутренними рисками Microsoft Purview аналитика позволяет оценивать потенциальные внутренние риски в организации без настройки политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области повышенного риска пользователей и определить тип и область политик управления внутренними рисками, которые вы хотите настроить. Сканирование аналитики обеспечивает следующие преимущества для вашей организации:
- Простота настройки: выберите Выполнить сканирование по запросу рекомендации аналитики или перейдите в раздел Параметры внутренних> рисковАналитика и включите аналитику.
- Конфиденциальность по умолчанию. Отсканированные результаты и аналитические сведения возвращаются как агрегированные и анонимные действия пользователей. Рецензенты не могут определить отдельные имена пользователей. Так как управление внутренними рисками не классифицирует какие-либо удостоверения в организации для аналитики, решение учитывает все имена участников-пользователей или удостоверения, которые могут быть вовлечены в данные, покидающие границу организации. Этот процесс может включать учетные записи пользователей, системные учетные записи, гостевые учетные записи и т. д.
- Понимание потенциальных рисков с помощью консолидированной аналитики. Результаты сканирования помогают быстро определить потенциальные области риска для пользователей и определить, какая политика лучше всего помогает снизить эти риски.
Сведения о том, как аналитика может помочь ускорить выявление потенциальных внутренних рисков, см. в видео Аналитика внутренних рисков.
Области, проверенные
Аналитика сканирует несколько источников на наличие действий по управлению рисками, чтобы помочь вам выявить аналитические сведения о потенциальных областях риска. В зависимости от текущей конфигурации аналитика ищет действия с квалифицирующими рисками в следующих областях:
- Журналы аудита Microsoft 365. Этот основной источник включается во все проверки и помогает выявить большинство потенциально рискованных действий.
- Exchange Online. Включаемые во все проверки действия Exchange Online помогают определить действия, в которых данные во вложениях отправляются по электронной почте внешним контактам или службам.
- идентификатор Microsoft Entra. Во всех проверках Microsoft Entra журнал помогает выявлять рискованные действия, связанные с пользователями с удаленными учетными записями пользователей.
- Соединитель данных отдела кадров Microsoft 365. Если он настроен, события соединителя кадров помогают определить рискованные действия, связанные с пользователями, у которых есть даты увольнения или предстоящего прекращения.
Аналитические сведения, полученные от сканирования, используют те же сигналы действий по управлению рисками, что и политики управления внутренними рисками. Они сообщают результаты на основе отдельных и последовательностей действий пользователей. Однако оценка рисков для аналитики использует до 10 дней активности, в то время как политики внутренних рисков используют ежедневные действия для аналитики. При первом включении и запуске аналитики в организации вы увидите результаты сканирования за один день. Если оставить аналитику включенной, вы увидите результаты каждой ежедневной проверки, добавляемые в аналитические отчеты за максимальный диапазон действий за предыдущие 10 дней.
Получение рекомендаций по настройке пороговых параметров индикаторов в режиме реального времени
Настройка политик вручную для снижения "шума" может занять много времени, и для определения требуемой конфигурации политик требуется много проб и ошибок. Если вы включите аналитику, вы можете получить аналитические сведения в режиме реального времени, которые помогут эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики. Узнайте больше об использовании аналитики в режиме реального времени для управления объемом оповещений.
Включение аналитики и запуск проверки потенциальных внутренних рисков в организации
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Чтобы включить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или "Глобальный администратор Microsoft 365 ".
- Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.
- Перейдите к решению для управления внутренними рисками .
- На вкладке Обзор прокрутите вниз до карта аналитики внутренних рисков, а затем в разделе Проверка на наличие внутренних рисков в организации выберите Запустить сканирование. Это действие включает проверку аналитики для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для проверки.
Совет
Вы также можете включить проверку в организации с помощью параметров в верхней части любой страницы управления внутренними рисками. Выберите Аналитика, а затем включите параметр.
Просмотр аналитических сведений после первого сканирования аналитики
Чтобы просмотреть результаты сканирования аналитики в организации, перейдите в раздел Аналитикаотчетов по>управлению внутренними рисками>. Дополнительные сведения об отчетах см. в разделе Использование отчетов в управлении внутренними рисками.
Отключение аналитики
Чтобы отключить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или глобального администратора Microsoft 365.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
- Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.
- Выберите Параметры в правом верхнем углу страницы.
- Выберите Управление внутренними рисками , чтобы перейти к параметрам Управления внутренними рисками.
- В разделе Параметры внутренних рисков выберите Аналитика, а затем отключите этот параметр.
При отключении аналитики:
- Аналитические отчеты аналитики перестают обновляться и не отображают новые риски.
- Аналитика в режиме реального времени не отображается при настройке пороговых значений индикаторов для политик.
Включение аналитики на уровне пользователей в организации
Управление внутренними рисками создает сводки о действиях пользователей и аналитические сведения о серьезности внутренних рисков для потенциально рискованного поведения на уровне пользователя. Эти аналитические сведения можно просмотреть в следующих интерфейсах:
- Оповещения защиты от потери данных (DLP)
- Политики соответствия требованиям к обмену данными
- Microsoft Defender страниц сущностей пользователя и оповещений
Аналитика пользователей охватывает всех соответствующих пользователей в вашей организации, включая пользователей, не в область политики управления внутренними рисками. При изучении оповещений в Microsoft Defender, защиты от потери данных или соответствия требованиям к обмену данными аналитики автоматически получают доступ к информации о пользователях, которая помогает улучшить оценку рисков. Аналитики также могут использовать степень серьезности внутренних рисков для быстрого выявления наиболее вопиющих и чувствительных к времени оповещений и определения приоритета этих оповещений для исследования и исправления.
Чтобы включить аналитику внутренних рисков на уровне пользователя, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или глобального администратора Microsoft 365.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
- Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.
- Выберите Параметры в правом верхнем углу страницы.
- Выберите Управление внутренними рисками , чтобы перейти к параметрам Управления внутренними рисками.
- В разделе Параметры управления внутренними рисками выберите Аналитика и включите параметр Показывать аналитику на уровне пользователя .
- В разделе Параметры управления внутренними рисками выберите Общий доступ к данным и включите параметр Совместное использование сведений о рисках пользователей с другими решениями безопасности .