Поделиться через

Тонкая настройка исключений в управлении внутренними рисками путем создания групп обнаружения (предварительная версия)

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Вы можете исключить элементы из оценки политиками управления внутренними рисками с помощью параметра Глобальные исключения. Эти типы исключений применяются к каждому триггеру и индикатору для всех политик, создаваемых в клиенте. С помощью групп обнаружения можно изменить встроенное глобальное исключение, чтобы сделать его конкретным для потребностей вашей организации.

Группы обнаружения также можно использовать для изменения встроенных индикаторов внутренних рисков, чтобы адаптировать обнаружения для различных наборов пользователей на уровне политики. Например, чтобы уменьшить количество ложных срабатываний для действий электронной почты, можно создать вариант встроенного индикатора Отправки сообщений электронной почты с вложениями получателям за пределами организации , чтобы обнаруживать только сообщения электронной почты, отправленные в личные домены.

Процесс создания и использования групп обнаружения

Чтобы использовать группу обнаружения в рамках глобального исключения, создайте группу обнаружения, как описано в этой статье, а затем выберите ее как часть глобального исключения.

Использование группы обнаружения для изменения встроенного индикатора включает следующие действия.

  1. Создайте группу обнаружения , как описано в этой статье. Вы выбираете эту группу обнаружения при создании варианта.
  2. Создайте вариант.
  3. Используйте вариант в новой или существующей политике.
  4. Просмотрите оповещения, связанные с действиями, указанными в варианте .

Создание группы обнаружения

Группа обнаружения помогает область встроенный индикатор или глобальное исключение, чтобы сосредоточиться на важных для вашей организации действиях.

Типы обнаружения для индикаторов политики

Каждый индикатор политики включает определенные типы обнаружения, применимые к такому индикатору. Например, для индикатора Предоставления общего доступа к файлам SharePoint пользователям за пределами организации одним из типов обнаружения являются домены. Когда вы предоставляете общий доступ к файлу SharePoint, вы выбираете домен для предоставления общего доступа к файлу. Не все индикаторы имеют одинаковые типы обнаружения. Например, домены — это тип обнаружения индикатора "Общий доступ к файлам SharePoint с людьми за пределами организации ", но он не относится к типу обнаружения индикатора "Создание или копирование файлов в USB ", так как в этом случае он не применяется.

Управление внутренними рисками в настоящее время поддерживает семь типов обнаружения:

  • Домены
  • Пути к файлу
  • Типы файлов
  • Ключевые слова
  • Типы конфиденциальной информации
  • Сайты SharePoint
  • Обучаемые классификаторы

Совет

При создании группы обнаружения можно просмотреть все применимые индикаторы для конкретного обнаружения, щелкнув ссылку Просмотреть применимые индикаторы во вводном тексте для типа группы.

В следующих процедурах показано, как создать группу обнаружения для каждого типа группы.

Создание группы обнаружения доменов

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).

  2. На панели справа в разделе Тип выберите Домены.

  3. На панели справа выберите Создать группу доменов.

  4. На панели Новая группа домена введите имя группы (или примите предложенное имя) и необязательное описание.

  5. В поле Добавление доменов введите домен, а затем нажмите клавишу ВВОД. Продолжайте добавлять дополнительные домены таким же образом. Чтобы добавить длинный список доменов, импортируйте их как CSV-файл, выбрав Импорт доменов из CSV-файла. Добавленные домены отображаются в нижней части панели. Можно создать до 10 групп обнаружения доменов, каждая из которых может содержать до 500 элементов.

    Примечание.

    Чтобы указать многоуровневые поддомены для корневого домена, установите флажок Включить многоуровневые поддомены , добавьте домен, а затем нажмите клавишу ВВОД, чтобы добавить домен в список. Включаются все поддомены, включенные в этот домен. Повторите тот же процесс, чтобы добавить дополнительные домены, а затем выберите Добавить домены по завершении.

    Совет

    Используйте подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте запись *.wingtiptoys.com с подстановочными знаками для сопоставления этих поддоменов (и любого другого поддомена на том же уровне).

  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Как группа доменов бесплатных общедоступных доменов обнаруживает кражу бизнес-данных в личные домены электронной почты

Группа обнаружения доменов включает специальную группу доменов с именем Бесплатные общедоступные домены , которая состоит из списка бесплатных поставщиков электронной почты (например gmail.com , или yahoo.com), которые пользователи могут использовать для создания личного идентификатора электронной почты. Этот список автоматически выделяет кражу бизнес-данных в личные домены электронной почты для анализа электронной почты на вкладках Действия пользователей и Обозреватель действий. В аналитических сведениях указано количество сообщений электронной почты, отправленных в бесплатные общедоступные домены пользователем в область. Список также поддерживает алгоритм, который идентифицирует электронную почту, отправленную самостоятельно (отправленную в личную учетную запись пользователя область). В аналитических сведениях по электронной почте указано количество писем, отправленных самому себе.

Сообщения электронной почты для управления внутренними рисками для личного кражи электронной почты

Вы можете использовать эту встроенную группу доменов, как и любую другую группу доменов, чтобы создать вариант встроенного индикатора для политик. Эта группа доменов применяется только к индикатору Отправка сообщений электронной почты с вложениями получателям за пределами организации . Дополнительные сведения о создании варианта встроенного индикатора

Создание группы обнаружения путей к файлам

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Пути к файлам.
  3. На панели справа выберите Создать группу пути к файлу.
  4. В области Группа "Создать путь к файлу " добавьте имя группы или примите предложенное имя и добавьте описание (необязательно).
  5. Выберите Добавить пути к файлам, выберите пути к файлам, а затем нажмите кнопку Добавить. Можно создать до 10 групп обнаружения пути к файлу, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения типов файлов

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Типы файлов.
  3. На панели справа выберите Создать группу типов файлов.
  4. В области Группа новый тип файла добавьте имя группы или примите предложенное имя и добавьте описание (необязательно).
  5. В поле Добавить тип файла введите расширение файла, а затем нажмите клавишу ВВОД. Продолжайте добавлять расширения файлов таким же образом. Добавляемые расширения перечислены в нижней части панели. Можно создать до 10 групп обнаружения типов файлов, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения ключевых слов

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Ключевые слова.
  3. На панели справа выберите Создать группу ключевых слов.
  4. В области Новая группа ключевых слов добавьте имя группы или примите предложенное имя и добавьте описание (необязательно).
  5. В поле Добавить ключевые слова введите ключевое слово, а затем нажмите клавишу ВВОД. Повторите этот процесс для каждой ключевое слово, которую вы хотите добавить. Ключевые слова, которые вы добавляете, перечислены в нижней части панели. Можно создать до 10 групп обнаружения ключевых слов, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения типов конфиденциальной информации

Примечание.

Список исключений типов конфиденциальной информации имеет приоритет над списком содержимого с приоритетом .

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Типы конфиденциальной информации.
  3. На панели справа выберите Создать группу типов конфиденциальной информации.
  4. В области Группа "Создать тип конфиденциальной информации " введите имя группы или примите предложенное имя. При необходимости добавьте описание.
  5. Выберите Добавить типы конфиденциальной информации, выберите типы конфиденциальной информации, а затем нажмите кнопку Добавить. Исключения SIT по умолчанию недоступны для выбора. Можно создать до 10 групп типов конфиденциальной информации, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание группы обнаружения сайтов SharePoint

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Сайты SharePoint.
  3. На панели справа выберите Создать группу сайтов SharePoint.
  4. В области Новая группа сайтов SharePoint введите имя группы или примите предложенное имя. При необходимости добавьте описание.
  5. Выберите Добавить сайты, выберите сайты SharePoint, а затем нажмите кнопку Добавить. Можно создать до 10 групп обнаружения сайтов SharePoint, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

Создание обучаемой группы обнаружения классификатора

  1. В разделе Параметры управления внутренними рисками выберите Группы обнаружения (предварительная версия).
  2. На панели справа в разделе Тип выберите Обучаемые классификаторы.
  3. На панели справа выберите Создать группу обучаемых классификаторов.
  4. В области Новые обучаемые классификаторы введите имя группы или примите предложенное имя. При необходимости добавьте описание.
  5. Выберите Добавить обучаемые классификаторы, выберите обучаемые классификаторы, а затем нажмите кнопку Добавить. Можно создать до 10 обучаемых групп обнаружения классификаторов, каждая из которых может содержать до 500 элементов.
  6. Выберите Сохранить. Появится диалоговое окно Дальнейшие действия , в котором вы проконсультировались о следующем шаге процесса, который включает в себя использование этой группы обнаружения в варианте.

См. также

  • Last updated on