Настройка индикаторов политики в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Шаблоны политик внутренних рисков в Управление внутренними рисками Microsoft Purview определяют тип действий с рисками, которые необходимо обнаружить и исследовать. Каждый шаблон политики основан на конкретных индикаторах, соответствующих определенным триггерам и действиям по рискам. Все глобальные индикаторы отключены по умолчанию; Необходимо выбрать один или несколько индикаторов, чтобы настроить политику управления внутренними рисками.

Политики собирают сигналы и активируют оповещения, когда пользователи выполняют действия, связанные с индикаторами.

Типы событий и индикаторов

Управление внутренними рисками использует различные типы событий и индикаторов для сбора сигналов и создания оповещений:

  • События активации: события, определяющие, активен ли пользователь в политике управления внутренними рисками. Если добавить пользователя в политику управления внутренними рисками, у которого нет события активации, политика не будет оценивать пользователя как потенциальный риск. Например, пользователь A добавляется в политику, созданную на основе шаблона политики кражи данных, а политика и соединитель отдела кадров Microsoft 365 настроены должным образом. До тех пор, пока соединитель отдела кадров не сообщит о дате прекращения работы пользователя A, политика не оценивает пользователя A на наличие потенциального риска. Другим примером события активации является оповещение политики защиты от потери данных с высоким уровнем серьезности при использовании политик утечки данных .

  • Индикаторы глобальных параметров. Индикаторы, включенные в глобальных параметрах для управления внутренними рисками, определяют как индикаторы, доступные для настройки в политиках, так и типы сигналов событий, собираемых управлением внутренними рисками. Например, если пользователь копирует данные в личные облачные службы хранилища или переносные запоминающее устройство и вы выбираете эти индикаторы только в глобальных параметрах, вы можете просмотреть потенциально рискованные действия пользователя в обозревателе действий. Если этот пользователь не определен в политике управления внутренними рисками, политика не оценивает пользователя как потенциальный риск и, следовательно, не назначает оценку риска или не создает оповещение.

  • Индикаторы политики. Индикаторы, включенные в политики управления внутренними рисками, определяют оценку риска для пользователя в область. Индикаторы политики можно включить из индикаторов, определенных в глобальных параметрах. Индикаторы политики активируются только после запуска события для пользователя. Примеры индикаторов политики:

    • Пользователь копирует данные в личные облачные службы хранилища или переносные устройства хранения.
    • Учетная запись пользователя удаляется из Microsoft Entra ID.
    • Пользователь предоставляет доступ к внутренним файлам и папкам с неавторизованными внешними сторонами.

Для настройки событий активации для определенных шаблонов политик можно использовать определенные индикаторы и последовательности политик. При настройке этих индикаторов или последовательностей в рабочем процессе политики для шаблонов общих утечек данных или утечек данных по приоритетным пользователям вы получаете большую гибкость и настройку политик, а также когда пользователи находятся в область политики. Вы также можете определить пороговые значения действий управления рисками для этих индикаторов активации для более точного контроля в политике.

Определение индикаторов политики внутренних рисков, которые включены во всех политиках внутренних рисков

Чтобы включить индикаторы политик для всех политик внутренних рисков, выполните следующие действия.

  1. Выберите Параметры, а затем — Индикаторы политики.

  2. Выберите один или несколько индикаторов политики. Индикаторы, выбираемые на странице Параметры индикаторов политики , не могут быть индивидуально настроены при создании или изменении политики внутренних рисков в рабочем процессе политики.

    Примечание.

    Для отображения новых пользователей, добавленных вручную, на панели мониторинга пользователей может потребоваться несколько часов. Отображение действий за предыдущие 90 дней для этих пользователей может занять до 24 часов. Чтобы просмотреть действия для пользователей, добавленных вручную, выберите пользователя на панели мониторинга Пользователи и откройте вкладку Действия пользователя в области сведений.

Индикаторы политики двух типов: встроенные индикаторы и пользовательские индикаторы

Индикаторы и выставление счетов с оплатой по мере использования

Для некоторых индикаторов, включенных в управление внутренними рисками, необходимо включить модель выставления счетов с оплатой по мере использования для организации. В зависимости от настроенной модели выставления счетов может отображаться уведомление с предложением настроить выставление счетов с оплатой по мере использования этих индикаторов.

Встроенные индикаторы и пользовательские индикаторы

Индикаторы политики организованы на две вкладки:

  • Встроенные индикаторы. Управление внутренними рисками включает множество встроенных индикаторов для различных сценариев, которые можно использовать сразу в политиках. Выберите индикаторы, которые требуется активировать, а затем настройте пороговые значения индикаторов для каждого уровня индикатора при создании политики внутренних рисков. В этой статье более подробно описаны встроенные индикаторы.
  • Пользовательские индикаторы. Используйте пользовательские индикаторы вместе с соединителем Индикаторы внутренних рисков (предварительная версия), чтобы обеспечить обнаружение, отличное от Корпорации Майкрософт, в управлении внутренними рисками. Например, вам может потребоваться расширить возможности обнаружения, включив Salesforce и Dropbox, и использовать их вместе со встроенными средствами обнаружения, предоставляемыми решением для управления внутренними рисками, которое ориентировано на рабочие нагрузки Майкрософт (например, SharePoint Online и Exchange Online). Создание пользовательского индикатора

Встроенные индикаторы

Управление внутренними рисками включает следующие встроенные индикаторы.

Индикаторы Office

Эти индикаторы включают индикаторы политики для сайтов SharePoint, Microsoft Teams и сообщений электронной почты.

Индикаторы облачного хранилища

Важно!

Чтобы использовать этот индикатор, включите выставление счетов с оплатой по мере использования в организации.

Эти индикаторы включают индикаторы политики для Google Drive, Box и Dropbox, которые можно использовать для обнаружения методов, используемых для определения среды, сбора и кражи данных, а также нарушения доступности или нарушения целостности системы. Чтобы выбрать один из индикаторов облачного хранилища, необходимо подключить приложения облачного хранилища в Microsoft Defender.

После настройки индикаторов облачного хранилища можно отключить индикаторы для приложений, которые вы не хотите использовать в параметрах. Например, можно выбрать индикатор загрузки содержимого для Box и Google Drive, но не Dropbox.

Индикаторы облачной службы

Важно!

Чтобы использовать этот индикатор, включите выставление счетов с оплатой по мере использования в организации.

Эти индикаторы включают индикаторы политики для Amazon S3 и Azure (SQL Server и хранилища), которые можно использовать для обнаружения методов, используемых для предотвращения обнаружения или рискованных действий. Эти методы могут включать:

  • Отключение журналов трассировки
  • Обновление или удаление правил брандмауэра SQL Server
  • Методы, используемые для кражи данных, таких как конфиденциальные документы
  • Методы, используемые для нарушения доступности или нарушения целостности системы
  • Методы, используемые для получения разрешений более высокого уровня для систем и данных.

Чтобы выбрать один из индикаторов облачных служб, необходимо подключить исходные приложения службы в Microsoft Defender.

Индикаторы сети

Важно!

Чтобы использовать этот индикатор, включите выставление счетов с оплатой по мере использования в организации.

Эти индикаторы включают сетевой трафик HTTP и HTTPS от сторонних решений по обеспечению безопасности сети. Вы можете определить конфиденциальные элементы, к которым предоставляется общий доступ с помощью этих взаимодействий. Для обнаружения действий сетевого трафика необходимо создать политику сбора в качестве предварительного условия. Дополнительные сведения о безопасности сетевых данных.

индикаторы Microsoft Entra ID

Эти показатели включают обнаружение рисков из Защита Microsoft Entra ID. Обнаружение рисков — это мощный ресурс, который может включать любые подозрительные или аномальные действия, связанные с учетной записью пользователя в каталоге. Microsoft Entra ID обнаружения рисков защиты можно связать с отдельным пользователем или событием входа.

Обнаружение рисков пользователей может помечать законную учетную запись пользователя как подверженную риску, когда потенциальный субъект угрозы получает доступ к учетной записи путем компрометации своих учетных данных или когда он обнаруживает какой-либо аномальный тип действий пользователя. Обнаружение рисков при входе представляет вероятность того, что заданный запрос на проверку подлинности не является полномочным владельцем учетной записи.

Чтобы обеспечить релевантность индикаторов для политик управления внутренними рисками, оцениваются только Microsoft Entra оповещения в состоянии ConfirmedCompromised или Исправлено. Дополнительные сведения об обнаружении рисков в Защита Microsoft Entra ID см. в статье Обнаружение рисков в Защита Microsoft Entra ID.

Индикаторы Microsoft Fabric

Важно!

Чтобы использовать индикаторы Microsoft Fabric, включите выставление счетов с оплатой по мере использования в организации.

Эти индикаторы включают индикаторы политики для рабочих нагрузок Microsoft Fabric, таких как Power BI и Lakehouse. Они помогают обнаруживать методы, используемые для:

  • Определите среду (например, просмотр отчетов и панелей мониторинга Power BI).
  • Сбор интересующих данных (например, скачивание отчетов Power BI).
  • Запутывание собранных данных или изменение защиты (например, понижение или удаление меток конфиденциальности для ресурсов Power BI или Lakehouse).
  • Эксфильтруйте данные (например, предоставление общего доступа к данным Lakehouse людям за пределами организации).

Индикаторы приложений на основе генеративного ИИ

Эти индикаторы включают индикаторы политики для многочисленных приложений искусственного интеллекта. Используйте эти индикаторы в политиках для анализа взаимодействий (запросов и ответов), введенных в этих приложениях, а также для выявления недопустимых или рискованных взаимодействий или обмена конфиденциальной информацией. К этим индикаторам относятся следующие приложения искусственного интеллекта:

Для Microsoft Copilot интерфейсов и корпоративных приложений ИИ можно выбрать конкретные приложения для создания ИИ, которые вы хотите отслеживать. По умолчанию выбираются все доступные приложения. Вы можете отменить выбор приложений, которые не относятся к вашей организации, чтобы уменьшить шум оповещений и избежать ненужных платежей за выставление счетов по мере использования. При отмене выбора приложения сигналы от этого приложения не обрабатываются и не взимается никаких затрат.

Выбор приложений искусственного интеллекта для мониторинга

Примечание.

Для Microsoft Copilot интерфейсов и только корпоративных приложений ИИ можно просматривать и отменять выбор приложений, чтобы оптимизировать затраты и уменьшить шум оповещений.

  1. На портале Microsoft Purview перейдите в раздел Параметры политики управления внутренними рисками>>.
  2. Разверните раздел Индикаторы приложений генеративного ИИ.
  3. Для Microsoft Copilot интерфейсов и корпоративных приложений ИИ выберите Выбрать приложения для мониторинга.
  4. На боковой панели можно установить или снять флажок для каждого приложения, чтобы включить или исключить его из мониторинга.
  5. Выберите Сохранить.

Индикаторы соответствия требованиям к обмену данными

Эти показатели включают в себя показатели политики, которые обнаруживают стрессовые события занятости, такие как эмоциональные вспышки, издевательства, неспособность принять критику, неспособность работать или общаться с командой или группой, дискриминация, насильственные угрозы, экстремистское поведение и т. д. Управление внутренними рисками работает вместе с решением Соответствие требованиям к обмену данными Microsoft Purview для обнаружения таких стрессоров, которые указывают на неработоспособную рабочую среду. События стрессора занятости могут влиять на поведение пользователей для рискованных лиц (инициаторов или целевых объектов плохого поведения) несколькими способами, которые связаны с внутренними рисками. Контрпродуктивное поведение на работе может быть предвестником более серьезных нарушений, таких как саботаж активов компании или утечка конфиденциальной информации.

Кроме того, можно определить сообщения, соответствующие определенным типам сведений о конфиденциальности (SIT). Включение конфиденциальной информации, непреднамеренно или злонамеренно включаемых в сообщения оценок риска пользователей и их истории действий, предоставляет следователям дополнительные сведения, которые помогут быстро принять меры по устранению потенциальной утечки данных. Для политики можно выбрать до 30 SIT. Некоторые сценарии могут включать в себя помощь в обнаружении:

  • Вербовка иностранных сотрудников
  • Браконьерство государственного субъекта
  • Совместное использование конфиденциальной информации, такой как секретные формулы, финансовые отчеты и другое собственность
  • Общий доступ к паролям
Принципы действия

Вы можете выбрать один из следующих индикаторов соответствия требованиям к обмену данными:

  • Отправка неприемлемого содержимого
  • Отправка текста финансового регулирования, который может быть рискованным
  • Отправка недопустимых изображений

Вы также можете определить типы конфиденциальной информации, включенные в сообщения.

При выборе пункта Создать политику в разделе Индикаторы соответствия требованиям к обмену данными :

  • В разделе Соответствие требованиям к обмену данными создается одна политика, которая обнаруживает сообщения в Microsoft Exchange Online, Microsoft Teams, Microsoft Viva Engage, а также Microsoft 365 Copilot и Microsoft 365 Copilot Chat. Политика соответствия требованиям к обмену данными основана на выбираемых индикаторах и sit. Каждый индикатор связан с определенными обучаемыми классификаторами, используемыми для соответствия требованиям к обмену данными. Дополнительные сведения см. в разделе Классификаторы безопасности содержимого на основе больших языковых моделей.

    Совет

    Щелкните значок сведений рядом с каждым индикатором, чтобы увидеть обучаемые классификаторы, используемые индикатором.

    В разделе Соответствие требованиям к обмену данными обучаемые классификаторы и SIT перечислены в качестве условий для политики.

  • Политика соответствия требованиям к обмену данными называется "Индикатор внутренних рисков" и метка времени, например" Индикатор внутренних рисков 24-05-01T09.27.17Z" или "Индикатор внутренних рисков SIT 24-05-01T09.27.17Z".

  • Любой пользователь с ролью следователей внутренних рисков в управлении внутренними рисками автоматически добавляется в качестве рецензента для политики соответствия требованиям к обмену данными.

    Примечание.

    После создания политики соответствия требованиям к обмену данными необходимо вручную добавить рецензента в группу ролей Следователей соответствия требованиям к коммуникации.

  • Если отключить все индикаторы в параметре Индикаторы политики , политика соответствия требованиям к обмену данными будет приостановлена. Политика будет повторно включена, если снова включить какой-либо из индикаторов.

  • Вы делаете индикаторы соответствия требованиям к обмену данными для новых и существующих политик управления внутренними рисками, основанных на шаблонах кражи данных или утечек данных .

  • Если содержимое, отправляемое в сообщении, соответствует любому из обучаемых классификаторов, это приводит к соответствию политик в разделе Соответствие требованиям к обмену данными, которое можно исправить. Дополнительные сведения см. в разделе Исследование и исправление оповещений соответствия требованиям к обмену данными.

  • Индикаторы, включенные в политики управления внутренними рисками, определяют оценку риска для пользователя в область. Они активируются только после запуска события для пользователя.

  • Аналитические сведения о рисках для связи отображаются на вкладках Обозреватель действий и Действия пользователей в управлении внутренними рисками. Если вы подробно изучите соответствие политике в обозревателе действий или на вкладке Действия пользователя , вы можете узнать больше об этом действии и получить доступ к ссылке, открывающей политику соответствия требованиям к обмену данными. В политике соответствия требованиям к обмену данными можно просмотреть содержимое отправленных сообщений.

    Снимок экрана: обозреватель содержимого дела по управлению внутренними рисками.

    Примечание.

    Для доступа к ссылке "Соответствие требованиям к обмену данными" требуется роль " Соответствие требованиям к обмену данными" или " Следователя соответствия требованиям к обмену данными".

Включение индикаторов соответствия требованиям к обмену данными в управлении внутренними рисками

Чтобы включить индикаторы соответствия требованиям к обмену данными в управлении внутренними рисками, выполните следующие действия.

  1. В разделе Управление внутренними рисками перейдите в разделПараметры индикаторы политики, а затем прокрутите страницу до раздела Индикаторы>соответствия требованиям к обмену данными (предварительная версия).

  2. В разделе Обнаружение сообщений, соответствующих определенным обучаемым классификаторам (предварительная версия) выберите Создать политику.

    Созданная политика находится в разделе Соответствие требованиям к обмену данными, а индикаторы соответствия требованиям к обмену данными становятся доступными в параметре Индикаторы политики .

    Примечание.

    Если вы уже создали политику соответствия требованиям к обмену данными, но приостановили ее, при выборе пункта Создать политику будет возобновлена политика соответствия требованиям к обмену данными. В этом случае в столбце Состояние в списке Политики соответствия требованиям к обмену данными отображается сообщение "Возобновление".

  3. Выберите один или несколько индикаторов соответствия требованиям к обмену данными в параметре Индикаторы политики .

    Примечание.

    Если вы уже создали политику соответствия требованиям к обмену данными и выбрали другие индикаторы, политика соответствия требованиям к обмену данными изменится в соответствии с соответствующими обучаемыми классификаторами. Отключение всех индикаторов приостанавливает политику соответствия требованиям к обмену данными.

  4. Выберите Сохранить.

  5. Чтобы использовать индикаторы, создайте политику управления внутренними рисками или обновите существующую политику. Индикаторы отображаются на странице Индикаторы рабочего процесса политики. Пороговые значения для индикаторов можно настроить так же, как и для любых других индикаторов в политике управления внутренними рисками.

    Примечание.

    В настоящее время аналитика в режиме реального времени для параметров пороговых значений индикаторов недоступна для индикаторов соответствия требованиям к обмену данными.

Индикаторы оповещений о защите от потери данных

Эти индикаторы включают индикаторы политики, которые интегрируются с политиками защиты от потери данных (DLP). Выбрав политики защиты от потери данных в качестве индикаторов в политиках управления внутренними рисками, вы можете автоматически определить, есть ли у пользователя оповещения в подключенных политиках защиты от потери данных. Политики защиты от потери данных помогают защитить конфиденциальную информацию и снизить риски чрезмерного совместного использования данных с недопустимыми пользователями или организациями.

Когда для пользователя создается оповещение об управлении внутренними рисками, вы можете быстро определить, есть ли у пользователя оповещения о высоком риске, связанные с политиками защиты от потери данных в вашей организации, не переходя к решению защиты от потери данных на портале Microsoft Purview. Вы можете просматривать и оценивать действия по управлению внутренними рисками и связанные оповещения защиты от потери данных в рамках управления внутренними рисками в едином представлении.

Поддерживаемые рабочие нагрузки защиты от потери данных

Индикатор оповещений DLP с высоким уровнем серьезности в настоящее время поддерживает оповещения, созданные политиками защиты от потери данных, для следующих рабочих нагрузок:

Поддерживаемая рабочая нагрузка Описание
Exchange Online Политика защиты от потери данных соответствует в сообщениях электронной почты
SharePoint Online; Политика защиты от потери данных соответствует документам, хранящимся на сайтах SharePoint
OneDrive для бизнеса; Политика защиты от потери данных соответствует документам, хранящимся в учетных записях OneDrive

Важно!

Следующие рабочие нагрузки защиты от потери данных в настоящее время не поддерживаются индикатором оповещений о защите от потери данных с высоким уровнем серьезности. Оповещения, созданные политиками защиты от потери данных, которые применяются исключительно к этим рабочим нагрузкам, не активируют индикатор и не отображаются в оповещениях, обращениях или представлениях действий для управления внутренними рисками:

  • Конечная точка защиты от потери данных: политика защиты от потери данных соответствует на устройствах Windows и macOS
  • Microsoft Teams: соответствие политике защиты от потери данных в сообщениях чата и канала Teams
  • Microsoft 365 Copilot: политика защиты от потери данных соответствует в взаимодействиях Copilot
  • Локальные репозитории: политика защиты от потери данных соответствует локальным общим папкам и SharePoint Server
  • Power BI: соответствие политике защиты от потери данных в наборах данных Power BI

Данное поведение является особенностью продукта. Управление внутренними рисками оценивает только оповещения защиты от потери данных, записанные в журнал аудита Microsoft 365 поддерживаемыми рабочими нагрузками, перечисленными выше. Если политика защиты от потери данных охватывает несколько рабочих нагрузок (например, Exchange + конечная точка), обрабатываются только оповещения из поддерживаемых рабочих нагрузок (Exchange Online, SharePoint Online и OneDrive для бизнеса).

Настройка индикаторов оповещений защиты от потери данных

Шаг 1. Чтобы включить оповещения защиты от потери данных в качестве индикаторов, выполните следующие действия.

  1. В разделе Параметры управления внутренними рисками выберите Индикаторы политики , а затем перейдите на вкладку Встроенные индикаторы .

  2. Перейдите к индикаторам защиты от потери данных (DLP)

  3. Выберите Добавить политики защиты от потери данных.

  4. Выберите политики защиты от потери данных, для которого вы хотите просмотреть оповещения, в разделе Управление внутренними рисками.

  5. Нажмите Добавить.

  6. Установите флажок Создание оповещений из выбранных политик защиты от потери данных .

  7. Выберите Сохранить.

Шаг 2. Чтобы назначить индикаторы оповещений DLP определенной политике управления внутренними рисками, выполните следующие действия.

  1. Создайте настраиваемую политику , используя один из следующих шаблонов:

    • Кража данных уходящими пользователями
    • Утечки данных
    • Утечки данных приоритетными пользователями
    • Утечка данных рискованными пользователями
    • Рискованное использование ИИ
  2. Настройте политику соответствующим образом, пока не перейдете на страницу Индикаторы .

  3. На странице Индикаторы перейдите к разделу Индикаторы защиты от потери данных (DLP).

  4. Установите флажок Создание оповещений из выбранных политик защиты от потери данных .

  5. Завершите рабочий процесс настройки политики и сохраните новую политику.

Индикаторы устройств

Эти индикаторы политики включают такие действия, как общий доступ к файлам по сети или с устройств. Индикаторы включают действия, включающие все типы файлов, за исключением исполняемых файлов (.exe) и активности файлов динамической библиотеки ссылок (.dll). Если выбрать индикаторы устройств, система обрабатывает действия для устройств с Windows 10 сборки 1809 или более поздней версии и macOS (три последние версии). Для устройств с Windows и macOS необходимо подключить устройства. Индикаторы устройств также включают обнаружение сигналов браузера, чтобы помочь вашей организации обнаруживать сигналы кражи для неисключаемых файлов, которые просматриваются, копируются, передаются к ним или печатаются в Microsoft Edge и Google Chrome. Дополнительные сведения о настройке устройств Windows для интеграции с внутренними рисками см. в разделе Включение индикаторов устройств и подключение устройств Windows. Дополнительные сведения о настройке устройств macOS для интеграции с внутренними рисками см. в статье Включение индикаторов устройств и подключение устройств macOS. Дополнительные сведения об обнаружении сигналов браузера см. в статье Сведения об обнаружении сигналов в браузере для управления внутренними рисками.

Важно!

Индикаторы устройств включаются в оценки политики сбора . Если при настройке и развертывании политики сбора имеется несоответствие между политикой управления внутренними рисками, включающей индикаторы устройств, и политикой сбора в вашей организации, приоритет имеет конфигурация политики сбора. Эта конфигурация означает, что если вы настроите политику управления внутренними рисками для мониторинга определенных действий для устройств, но настроите политику сбора для фильтрации этой активности устройства, действия устройства не собираются и недоступны для просмотра в разделе Управление внутренними рисками.

индикаторы Microsoft Defender для конечной точки (предварительная версия)

Эти показатели поступают из Microsoft Defender для конечной точки и связаны с неутвержденной или вредоносной установкой программного обеспечения или обходом средств управления безопасностью. Для получения оповещений в управлении внутренними рисками необходимо включить активную лицензию Defender для конечной точки и интеграцию внутренних рисков. Дополнительные сведения о настройке интеграции Defender для конечной точки для управления внутренними рисками см. в статье Настройка дополнительных функций в Microsoft Defender для конечной точки.

Индикаторы доступа к записям работоспособности

Эти показатели политики охватывают доступ к медицинской записи пациентов. Например, попытки доступа к медицинским записям пациентов в системных журналах электронных медицинских записей (EMR) могут быть переданы политикам здравоохранения управления внутренними рисками. Для получения таких оповещений в службе "Управление внутренними рисками" необходимо настроить соединитель данных для конкретных медицинских учреждений и соединитель данных отдела кадров .

Индикаторы физического доступа

Эти индикаторы политики охватывают физический доступ к конфиденциальным ресурсам. Например, попытки доступа к ограниченной области в журналах системы физического нарушения могут предоставляться политикам управления внутренними рисками. Чтобы получать такие типы оповещений в управлении внутренними рисками, необходимо включить приоритетные физические ресурсы в управлении внутренними рисками и настроить соединитель данных физического нарушения . Дополнительные сведения о настройке физического доступа см. в статье Настройка приоритетных физических ресурсов.

индикаторы Microsoft Defender for Cloud Apps

Эти индикаторы политики поступают из общих оповещений от Defender for Cloud Apps. Автоматическое обнаружение аномалий в Defender for Cloud Apps немедленно начинает обнаруживать и сопоставлять результаты, нацелив на многочисленные аномалии поведения пользователей, компьютеров и устройств, подключенных к сети. Чтобы включить эти действия в оповещения политики управления внутренними рисками, выберите один или несколько индикаторов в этом разделе. Дополнительные сведения об аналитике Defender for Cloud Apps и обнаружении аномалий см. в статье Получение аналитики поведения и обнаружения аномалий.

Индикаторы рискованных агентов (предварительная версия)

Эти индикаторы политики охватывают взаимодействие агентов с пользователями и конфиденциальными или рискованными ресурсами. Включаются запросы агентов, созданные агентом конфиденциальные ответы, доступ к конфиденциальным или приоритетным файлам SharePoint, агенты, обращаюющиеся к рискованным веб-сайтам, или агенты, использующие средства с конфиденциальной информацией.

Индикаторы рискованного использования ИИ (предварительная версия)

Эти индикаторы политики охватывают средства и приложения Microsoft AI. Рискованное поведение от пользователей и ответы, созданные ИИ, которые включают конфиденциальную информацию, включаются в эти индикаторы. Например, попытка предоставления пользователю доступа к конфиденциальной информации в средстве или приложении ИИ считается рискованным действием. Аналогичным образом, средство или приложение ИИ, возвращающее ответ, содержащий конфиденциальную информацию, также считается рискованным поведением.

Индикаторы рискованного просмотра (предварительная версия)

Эти индикаторы политики охватывают действия браузера, связанные с веб-сайтами, которые считаются вредоносными или рискованными, и представляют потенциальный внутренний риск, который может привести к инциденту безопасности или соответствия требованиям. Рискованные действия в браузере относятся к пользователям, которые посещают потенциально рискованные веб-сайты, такие как связанные с вредоносными программами, порнографией, насилием и другими запрещенными действиями. Чтобы включить эти действия по управлению рисками в оповещения политики, выберите один или несколько индикаторов в этом разделе. Сведения о настройке сигналов кражи в браузере см. в статье Обнаружение сигналов браузера для управления внутренними рисками.

Накопительные индикаторы обнаружения кражи

Эти индикаторы определяют, когда действия пользователя по краже по всем каналам кражи за последние 30 дней превышают нормы организации или одноранговой группы. Например, если пользователь находится в роли продавца и регулярно общается с клиентами и партнерами за пределами организации, его внешние действия по электронной почте, скорее всего, выше, чем в среднем по организации. Однако действия пользователя не могут быть необычными по сравнению с коллегами пользователя или другими пользователями с похожими названиями должностей. Оценка риска назначается, если совокупная деятельность пользователя по краже является необычной и превышает нормы организации или группы одноранговых узлов.

Примечание.

Группы одноранговых узлов определяются на основе иерархии организации, доступа к общим ресурсам SharePoint и названий заданий в Microsoft Entra ID. Если включить накопительное обнаружение кражи, ваша организация соглашается предоставить общий доступ к Microsoft Entra данным на портале Microsoft Purview, включая иерархию организации и названия должностей. Если ваша организация не использует Microsoft Entra ID для хранения этой информации, обнаружение может быть менее точным.

Бустеры оценки риска

Эти индикаторы повышают оценку риска для активности по следующим причинам:

  • Действие, превышающее обычное действие пользователя в этот день. Оценки повышаются, если обнаруженное действие отличается от типичного поведения пользователя.

  • У пользователя был предыдущий случай, разрешенный как нарушение политики: оценки повышаются, если у пользователя было предыдущее дело в управлении внутренними рисками, которое было разрешено как нарушение политики.

  • Пользователь является членом группы пользователей с приоритетом. Оценки повышаются, если пользователь является членом группы пользователей с приоритетом.

  • Пользователь обнаруживается как пользователь с высоким влиянием. При включении этого индикатора пользователи автоматически помечаются как потенциальные пользователи с высоким влиянием на основе следующих критериев:

    • Пользователь взаимодействует с более конфиденциальным содержимым по сравнению с другими пользователями в организации.
    • Уровень пользователя в иерархии Microsoft Entra организации.
    • Общее число пользователей, отчитывавшихся перед пользователем на основе Microsoft Entra иерархии.
    • Пользователь является членом Microsoft Entra встроенной роли с повышенными разрешениями.

    Примечание.

    При включении потенциального повышения оценки риска пользователей с высоким влиянием вы соглашаетесь предоставить общий доступ к данным Microsoft Entra порталу Microsoft Purview. Если ваша организация не использует метки конфиденциальности или не настроила иерархию организации в Microsoft Entra ID, это обнаружение может быть менее точным. Если пользователь обнаруживается как член группы пользователей с приоритетом, а также как пользователь с высоким уровнем влияния, его оценка риска увеличивается только один раз.

В некоторых случаях может потребоваться ограничить индикаторы политики внутренних рисков, которые применяются к политикам внутренних рисков в вашей организации. Индикаторы политики для определенных областей можно отключить, отключив их из всех политик внутренних рисков в глобальных параметрах. Вы можете изменить только события активации для политик, созданных из шаблонов утечки данных или утечки данных приоритетными пользователями . Политики, созданные из всех других шаблонов, не имеют настраиваемых индикаторов или событий активации.

Пользовательские индикаторы

Используйте вкладку Пользовательские индикаторы , чтобы создать пользовательский индикатор, который будет использоваться в качестве триггера или индикатора политики в политиках.

Примечание.

Чтобы создать пользовательский индикатор для импорта данных сторонних индикаторов, необходимо сначала создать соединитель Индикаторы внутренних рисков (предварительная версия).

  1. В разделе Параметры управления внутренними рисками выберите Индикаторы политики , а затем перейдите на вкладку Пользовательские индикаторы .

  2. Выберите Добавить пользовательский индикатор.

  3. Введите имя индикатора и описание (необязательно).

  4. В списке Соединитель данных выберите созданный ранее соединитель Индикатор внутренних рисков.

    При выборе соединителя данных:

    • Имя исходного столбца, выбранного при создании соединителя, отображается в поле Исходный столбец из файла сопоставления . Если при создании соединителя не выбрать исходный столбец, в этом поле появится значение None , и вам не нужно делать выбор.
    • В списке Значения в исходном столбце выберите значение, которое нужно присвоить пользовательскому индикатору. Эти значения относятся к исходному столбцу, указанному при создании соединителя. Например, если создать один соединитель, включающий данные для двух индикаторов (Salesforce и Dropbox), эти значения отображаются в списке.
  5. Если вы хотите использовать столбец для задания пороговых значений, в списке Файл сопоставления данных выберите столбец, который будет использоваться для параметра порогового значения. В противном случае выберите параметр Использовать только в качестве события активации без пороговых значений .

    Примечание.

    Только поля с типом данных Number отображаются в списке Данные из файла сопоставления , так как тип данных Number требуется для установки порогового значения. Тип данных указывается при настройке соединителя.

  6. Выберите Добавить индикатор. Индикатор добавляется в список Пользовательские индикаторы .

Теперь вы можете добавить настраиваемый индикатор в политику внутренних рисков в любых политиках кражи или утечки данных , которые вы создаете или редактируете.

  • Если вы используете пользовательский индикатор в качестве триггера, выберите настраиваемый триггер на странице Триггеры при создании или изменении политики.
  • Если вы используете пользовательский индикатор в качестве индикатора политики, выберите пользовательский индикатор на странице Индикаторы при создании или изменении политики.

Примечание.

После выбора настраиваемого триггера или индикатора обязательно установите настраиваемое пороговое значение (не используйте пороговые значения по умолчанию). Нельзя задать пороговые значения триггера для настраиваемого индикатора, если выбран параметр Использовать только в качестве события триггера без пороговых значений .

После добавления настраиваемого индикатора в политики триггеры и аналитические сведения, созданные на основе настраиваемых индикаторов, отображаются на панели мониторинга оповещений, в обозревателе действий и в временная шкала пользователей.

Важно!

Подождите 24 часа перед выполнением примера скрипта, чтобы передать данные после обновления пользовательских индикаторов и связанных политик. Синхронизация всех компонентов может занять несколько часов. Если вы сразу же отправите данные во время синхронизации обновлений, некоторые данные могут быть не оценены на риск.

Создание варианта встроенного индикатора

Вы можете создавать группы обнаружения и использовать их с вариантами встроенных индикаторов для адаптации обнаружения для различных наборов пользователей. Например, чтобы уменьшить количество ложных срабатываний для действий электронной почты, можно создать вариант встроенного индикатора Отправки сообщений электронной почты с вложениями получателям за пределами организации , чтобы обнаруживать только сообщения электронной почты, отправленные в личные домены. Вариант наследует все свойства встроенного индикатора. Вариант можно изменить с помощью исключений или включений.

  1. В разделе Параметры управления внутренними рисками выберите Индикаторы политики.

  2. Выберите Новый вариант индикатора (предварительная версия). На этом шаге откроется панель Новый вариант индикатора (предварительная версия) в правой части экрана.

  3. В списке Базовый индикатор выберите индикатор, для которого нужно создать вариант.

    Примечание.

    Вы можете создать до десяти вариантов для каждого встроенного индикатора и в общей сложности 100 вариантов для всех индикаторов. Если вы уже создали десять вариантов для конкретного встроенного индикатора, встроенный индикатор отображается в списке серым цветом. Некоторые встроенные индикаторы (например, Microsoft Defender для конечной точки индикаторы) не поддерживают варианты.

  4. Добавьте имя для варианта (или примите предложенное имя). Имя варианта не может содержать более 110 символов.

  5. Добавьте описание варианта (необязательно). В политике отображается описание, помогающее отличить ее от других индикаторов или вариантов индикаторов. Описание варианта не может содержать более 256 символов.

  6. В разделе Группа обнаружения выберите один из следующих параметров:

    • Игнорировать действия, связанные с элементами в выбранных группах. Выберите этот параметр, если вы хотите записать все, кроме нескольких исключений. Например, вы можете использовать этот параметр для записи всех исходящих сообщений электронной почты, за исключением сообщений, отправленных в определенные домены.

    • Обнаруживайте только действия, связанные с элементами в выбранных группах. Выберите этот параметр, если требуется указать включения для записи. Например, выберите этот параметр, если вы хотите записывать только сообщения электронной почты, отправленные в определенные домены.

    Примечание.

    Если вы еще не создали группу обнаружения, вы не сможете выбрать параметр в разделе Группа обнаружения .

  7. В списке Выберите одну или несколько групп обнаружения выберите группы обнаружения, которые нужно применить к варианту. Группы обнаружения перечислены в соответствующем заголовке типа обнаружения, чтобы помочь вам найти соответствующую группу. Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить до пяти групп доменов, пяти групп типов файлов и т. д.

    Примечание.

    В списке отображаются только группы обнаружения, применимые к варианту. Например, группа обнаружения типов файлов не будет отображаться для общего доступа к папкам SharePoint с людьми за пределами индикатора организации , так как она неприменима.

  8. Выберите Сохранить.

  9. Если вы хотите применить новый вариант к определенной политике в диалоговом окне Дальнейшие действия , выберите ссылку На страницу Политики .

Совет

Чтобы убедиться, что вариант фиксирует все важные действия, которые требуется обнаружить, можно применить встроенный индикатор и вариант встроенного индикатора в той же политике. Затем вы можете наблюдать за действиями, которые каждый индикатор фиксирует в оповещениях, а затем использовать только индикатор variant после обнаружения всех элементов.

Использование варианта в политике

Чтобы использовать вариант индикатора в политике, выполните следующие действия.

  1. Перейдите на страницу Индикаторы рабочего процесса политики.

  2. Найдите встроенный индикатор, включающий один или несколько вариантов. Небольшой синий прямоугольник в флажке вариант помечает встроенные индикаторы с вариантами. В конце текста дескриптора индикатора отображается список, показывающий количество выбранных вариантов. Откройте список, чтобы просмотреть варианты.

    Примечание.

    Если установить один или несколько флажков в списке вариантов, флажок первого уровня для встроенного индикатора станет сплошным синим флажком. Если вы не выбрали ни один из полей в списке вариантов, флажок первого уровня будет пустым.

  3. Нажмите кнопку Далее.

  4. На странице Настройка пороговых значений можно настроить пороговые значения для вариантов по отдельности.

Анализ аналитических сведений, предоставляемых вариантами

При добавлении вариантов в политики панель мониторинга создаются оповещения. Дополнительные сведения можно просмотреть на вкладках Обозреватель действий и Действия пользователя .

Изменение варианта

Чтобы изменить существующий вариант, выполните следующие действия.

  1. Выделите синий текст в конце текста описания индикатора. Например, выберите +2 варианта, как показано на следующем снимке экрана.

    Снимок экрана: текст варианта для выбора.

  2. На странице Просмотр и изменение индикаторов выберите Изменить.

  3. Внесите изменения.

Ограничения вариантов

  • Вы можете создать до десяти вариантов для каждого встроенного индикатора и в общей сложности 100 вариантов для всех индикаторов.
  • Для одного варианта можно добавить до пяти групп обнаружения одного типа. Например, можно добавить не более пяти групп доменов, пять групп типов файлов и т. д.
  • Варианты не поддерживают последовательности, кумулятивные действия кражи, усилитель оценки риска или аналитику в режиме реального времени для предварительной версии группы обнаружения.

Определение приоритета вариантов по отношению к глобальным исключениям и содержимому с приоритетом

Управление внутренними рисками определяет действия в следующем порядке приоритета:

  1. Глобальные исключения
  2. Исключение или включение области variant
  3. Содержимое приоритета

Включение индикаторов устройств и подключение устройств Windows

Чтобы включить обнаружение действий с рисками на устройствах Windows и включить индикаторы политики для этих действий, устройства Windows должны соответствовать следующим требованиям и выполнить следующие действия по подключению. Дополнительные сведения о требованиях к подключению устройств

Шаг 1. Подготовка конечных точек

Убедитесь, что Windows 10 устройства, которые планируется сообщить в разделе Управление внутренними рисками, соответствуют этим требованиям.

  1. Устройство должно работать Windows 10 сборке x64 1809 или более поздней версии и установить обновление Windows 10 (сборка ОС 17763.1075) с 20 февраля 2020 г.
  2. Учетная запись пользователя, используемая для входа на устройство Windows 10, должна быть активной Microsoft Entra учетной записью. Устройство Windows 10 может быть Microsoft Entra ID, Microsoft Entra гибридное, присоединенное или зарегистрированное.
  3. Установите браузер Microsoft Edge на устройстве конечной точки, чтобы обнаружить действия для действия отправки в облако. См. статью Скачивание нового Microsoft Edge на основе Chromium.

Примечание.

Конечная точка защиты от потери данных теперь поддерживает виртуализированные среды, что означает, что решение для управления внутренними рисками поддерживает виртуализированные среды через DLP конечной точки. Дополнительные сведения о поддержке виртуализированных сред в конечной точке DLP

Шаг 2. Подключение устройств

Чтобы обнаружить действия по управлению внутренними рисками на устройстве, необходимо включить проверку устройств и подключить конечные точки. Оба действия выполняются в Microsoft Purview.

Чтобы включить устройства, которые еще не были подключены, скачайте соответствующий скрипт и разверните его, как описано в этой статье.

Если устройства уже подключены к Microsoft Defender для конечной точки, они отображаются в списке управляемых устройств.

Подключение устройств

Используйте этот сценарий развертывания, чтобы включить устройства, которые еще не подключены, если вы хотите обнаруживать действия, связанные с внутренними рисками на устройствах Windows.

  1. Войдите на портал Microsoft Purview с учетной записью администратора в организации Microsoft 365.

  2. Выберите Параметры в правом верхнем углу страницы.

  3. В разделе Подключение устройств выберите Устройства. Список будет пустым, пока не будет подключено устройство.

  4. Выберите Включить подключение устройства.

    Примечание.

    Хотя для включения подключения устройств обычно требуется около 60 секунд, предоставьте до 30 минут, прежде чем взаимодействовать с служба поддержки Майкрософт.

  5. Выберите способ развертывания на этих устройствах в списке Метод развертывания , а затем выберите Скачать пакет.

  6. Выполните действия, описанные в разделе Средства и методы подключения для компьютеров с Windows. Эта ссылка открывает начальную страницу доступа к процедурам Microsoft Defender для конечной точки, соответствующим пакету развертывания, который вы выбрали на этапе 5:

    • Подключение компьютеров с Windows с помощью групповой политики
    • Подключение компьютеров с Windows с помощью Microsoft Endpoint Configuration Manager
    • Подключение компьютеров с Windows с помощью инструментов управления мобильными устройствами
    • Подключение компьютеров с Windows с помощью локального сценария
    • Подключение компьютеров инфраструктуры виртуальных рабочих столов (VDI)

После завершения и подключения устройства конечной точки оно появится в списке устройств. Устройство конечной точки начинает сообщать журналы действий аудита в службу управления внутренними рисками.

Примечание.

Эта возможность включает принудительное применение лицензий. Без необходимой лицензии данные не видны или недоступны.

Если устройства уже подключены к Microsoft Defender для конечной точки

Если вы уже развернули Microsoft Defender для конечной точки и конечных точек, устройства конечных точек отображаются в списке управляемых устройств. Чтобы расширить охват, включите новые устройства в управление внутренними рисками, перейдя к шагу 2. Подключение устройств.

Включение индикаторов устройств и подключение устройств macOS

Вы можете подключить устройства macOS (Catalina 10.15 или более поздней версии) к Microsoft 365 для поддержки политик управления внутренними рисками с помощью Intune или JAMF Pro. Дополнительные сведения и рекомендации по настройке см. в статье Подключение устройств macOS к Microsoft 365 overview (предварительная версия).

Параметры уровня индикатора

При создании политики с помощью рабочего процесса политики можно настроить, как ежедневное количество событий риска влияет на оценку риска для оповещений о внутренних рисках. Эти параметры индикатора помогают управлять тем, как количество вхождений событий риска в организации влияет на оценку риска и связанную серьезность оповещений для этих событий.

Например, предположим, что вы решили включить индикаторы SharePoint в параметрах политики внутренних рисков и выбрать настраиваемые пороговые значения для событий SharePoint при настройке индикаторов для новой политики утечки данных . В рабочем процессе политики внутренних рисков вы настраиваете три разных уровня ежедневных событий для каждого индикатора SharePoint, чтобы повлиять на оценку риска для оповещений, связанных с этими событиями.

Для первого ежедневного уровня событий задайте пороговое значение:

  • 10 или более событий в день для снижения влияния на оценку риска для событий
  • 20 или более событий в день для среднего влияния на оценку риска для событий
  • 30 или более событий в день для более высокого влияния на оценку риска для событий

Эти параметры означают следующее:

  • Если есть 1–9 событий SharePoint, которые происходят после события триггера, оценки риска оказывают минимальное влияние и, как правило, не создают оповещение.
  • Если после события активации происходит от 10 до 19 событий SharePoint, оценка риска по своей сути ниже, а уровни серьезности оповещений, как правило, находятся на низком уровне.
  • Если после события активации происходит от 20 до 29 событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, находятся на среднем уровне.
  • Если после запуска события происходит 30 или более событий SharePoint, оценка риска по своей сути выше, а уровни серьезности оповещений, как правило, находятся на высоком уровне.

Другой вариант пороговых значений политики — назначить событие, инициирующее политику, действиям по управлению рисками, которые превышают обычное ежедневное число пользователей. Вместо того, чтобы определяться определенными параметрами порога, каждое пороговое значение динамически настраивается для аномальных действий, обнаруженных для пользователей политики область. Если для отдельного индикатора поддерживается пороговое действие для аномальных действий, можно выбрать Действие выше обычного действия пользователя в течение дня в рабочем процессе политики для этого индикатора. Если этот параметр отсутствует в списке, активация аномальных действий для индикатора недоступна. Если параметр Действие выше обычного действия пользователя в течение дня указан для индикатора , но его нельзя выбрать, необходимо включить этот параметр в параметрах>политики параметров предварительной оценки.

Использование рекомендаций аналитики в режиме реального времени для установки пороговых значений

Используйте аналитику в режиме реального времени (предварительная версия) для получения интерактивного интерфейса настройки порогового значения на основе данных. С помощью этого интерфейса можно быстро выбрать правильные пороговые значения для индикаторов политики. Интерактивный интерфейс помогает эффективно настроить выбор индикаторов и пороговых значений для вхождений действий, чтобы не было слишком мало или слишком много оповещений политики.

При включении аналитики:

  • Параметр Применить пороговые значения, относящиеся к действиям пользователей , включен на странице Индикаторы рабочего процесса политики. Выберите этот параметр, если вы хотите, чтобы управление внутренними рисками предоставляли рекомендации по пороговым значениям индикаторов на основе предыдущих 10 дней активности пользователей в вашей организации.

    Примечание.

    Чтобы использовать этот параметр, необходимо выбрать по крайней мере один встроенный индикатор политики. Управление внутренними рисками не предоставляет рекомендуемые пороговые значения для пользовательских индикаторов или вариантов встроенных индикаторов.

  • Если выбрать параметр Выбрать собственные пороговые значения на странице Индикаторы рабочего процесса политики, значения по умолчанию для параметров пороговых значений основаны на рекомендуемых пороговых значениях (на основе действий в организации) вместо встроенных значений по умолчанию. Вы также увидите датчик, список пяти основных индикаторов и аналитические сведения для каждого индикатора.

    Аналитика управления внутренними рисками в режиме реального времени

    • О. Датчик показывает приблизительное число пользователей с заданной областью, действия которых за предыдущие 10 дней превысили минимальные ежедневные пороговые значения по крайней мере для одного из выбранных встроенных индикаторов для политики. Этот датчик помогает оценить количество оповещений, которые могут быть созданы, если всем пользователям, включенным в политику, назначены оценки риска.

    • Б. Список первых пяти индикаторов сортируется по количеству пользователей, превышающих самые низкие пороговые значения в день. Если политики создают слишком много оповещений, сосредоточьтесь на этих индикаторах, чтобы снизить уровень шума.

    • C. Аналитические сведения для каждого индикатора отображаются для набора пороговых параметров для этого индикатора. Аналитика показывает приблизительное число пользователей, действия которых за предыдущие 10 дней превысили указанные низкие пороговые значения для индикатора. Например, если для параметра "Скачивать содержимое из SharePoint " задано значение 100, в аналитических сведениях показано количество пользователей в политике, которые в среднем за предыдущие 10 дней выполняли более 100 действий загрузки.

Примечание.

Глобальные исключения (интеллектуальные обнаружения) учитываются для аналитики в режиме реального времени.

Настройка пороговых параметров вручную

Если выбрать параметр Выбрать собственные пороговые значения и вручную настроить пороговое значение для определенного индикатора, аналитические сведения для индикатора обновится в режиме реального времени. Эта функция помогает настроить соответствующие пороговые значения для каждого индикатора, чтобы достичь наивысшего уровня эффективности оповещений перед активацией политик.

Чтобы сэкономить время и упростить понимание влияния ручного изменения пороговых значений, выберите ссылку Просмотреть влияние в аналитических сведениях, чтобы отобразить диаграмму Пользователи, превышающие ежедневное пороговое значение для индикатора . Этот график предоставляет анализ конфиденциальности для каждого индикатора политики.

Снимок экрана: граф влияния представления управления внутренними рисками.

Важно!

Этот график недоступен, если при создании политики выбран параметр Включить определенных пользователей . Необходимо выбрать параметр Включить всех пользователей и группы .

Используйте этот график для анализа шаблонов действий пользователей в организации для выбранного индикатора. Например, на предыдущем рисунке пороговое значение для общего доступа к файлам SharePoint с людьми за пределами организации имеет значение 38. На графике показано, сколько пользователей выполнили действия, которые превысили это пороговое значение, а также распределение оповещений о низкой, средней и высокой серьезности для этих действий. Выберите панель, чтобы просмотреть аналитические сведения для каждого значения. Например, на предыдущем рисунке выбрана панель для значения 50 , и аналитика показывает, что при этом пороговом значении примерно 22 пользователя выполнили по крайней мере 50 событий по крайней мере за один день за последние 10 дней.

Предварительные требования для использования аналитики в режиме реального времени

Чтобы использовать аналитику в режиме реального времени (предварительная версия), необходимо включить аналитику внутренних рисков. После включения аналитики может потребоваться от 24 до 48 часов для отображения аналитических сведений и рекомендаций.