Определение приоритетных физических ресурсов для политик управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Определение доступа к приоритетным физическим ресурсам и корреляция действий доступа с событиями пользователей являются важным компонентом инфраструктуры соответствия требованиям Управление внутренними рисками Microsoft Purview. Эти физические ресурсы представляют собой приоритетные расположения в организации, такие как здания компании, центры обработки данных или серверные комнаты. Действия, связанные с внутренними рисками, могут быть связаны с пользователями, работающими в необычное время, попытками доступа к несанкционированным конфиденциальным или защищенным областям, а также запросами на доступ к областям высокого уровня без законных потребностей.

Когда вы включаете приоритетные физические ресурсы и настраиваете соединитель данных о физическом вреде, управление внутренними рисками интегрирует сигналы из ваших систем физического контроля и доступа с другими действиями, связанных с рисками пользователей. Изучая модели поведения в системах физического доступа и сопоставляя эти действия с другими событиями инсайдерского риска, управление внутренними рисками помогает следователям и аналитикам принимать более обоснованные решения по реагированию на оповещения.

Управление внутренними рисками оценивает и определяет доступ к приоритетным физическим ресурсам в аналитических сведениях по-разному, чем доступ к неприоритетным ресурсам. Например, в вашей организации есть система защиты для пользователей, которая управляет и утверждает физический доступ к обычным рабочим и конфиденциальным областям проектов. У вас есть несколько пользователей, работающих над конфиденциальным проектом, и эти пользователи возвращаются в другие области вашей организации после завершения проекта. Когда конфиденциальный проект приближается к завершению, необходимо убедиться, что работа проекта остается конфиденциальной и доступ к областям проекта строго контролируется.

В Microsoft 365 включен соединитель данных о физическом вреде для импорта сведений о доступе из физической системы защиты и указания приоритетных физических ресурсов в разделе Управление внутренними рисками. Импортируя информацию из системы защиты и сопоставляя сведения о физическом доступе с другими действиями, связанными с рисками, указанными в разделе Управление внутренними рисками, вы заметите, что один из пользователей проекта обращается к офисам проектов в обычное рабочее время, а также экспортирует большие объемы данных в личную облачную службу хранилища из своей обычной рабочей области. Эта физическая активность доступа, связанная с действиями в интернете, может указывать на возможную кражу данных, а следователи и аналитики могут предпринять соответствующие действия в соответствии с обстоятельствами для этого пользователя.

Снимок экрана: страница параметров приоритетных физических ресурсов в управлении внутренними рисками, на которой показаны параметры конфигурации для добавления идентификаторов физических ресурсов и управления ими.

Настройка приоритетных физических ресурсов

Чтобы настроить приоритетные физические ресурсы, настройте соединитель физического badging и используйте элементы управления параметрами в решении для управления внутренними рисками. Чтобы настроить приоритетные физические ресурсы, необходимо быть членом группы ролей Управления внутренними рисками или Управления внутренними рисками Администратор.

Важно!

Чтобы политики управления внутренними рисками использовали и сопоставляли данные сигналов, связанные с уходящими и прерванными пользователями, с данными о событиях с ваших платформ физического управления и доступа, также настройте соединитель microsoft 365 hr. Если включить соединитель физического нарушения без включения соединителя Microsoft 365 HR, политики управления внутренними рисками обрабатывают только события для действий физического доступа для пользователей в вашей организации.

  1. Выполните действия по настройке для управления внутренними рисками в статье Приступая к работе с управлением внутренними рисками . На шаге 3 убедитесь, что настроен соединитель физического badging.

  2. Войдите на портал Microsoft Purview , используя учетные данные для учетной записи администратора в организации Microsoft 365, выберите Параметры в правом верхнем углу страницы и выберите Управление внутренними рисками , чтобы открыть параметры Управления внутренними рисками. Выберите Приоритет физических ресурсов.

  3. На странице Приоритетные физические ресурсы можно вручную добавить идентификаторы физических ресурсов, импортированные соединителем физического badging, или импортировать CSV-файл всех идентификаторов физических ресурсов, импортированных соединителем физического badging:

    1. Чтобы вручную добавить идентификаторы физических ресурсов, выберите Добавить приоритетные физические ресурсы, введите идентификатор физического ресурса, а затем нажмите кнопку Добавить. Введите другие идентификаторы физических ресурсов, а затем выберите Добавить приоритетные физические ресурсы , чтобы сохранить все введенные ресурсы.
    2. Чтобы добавить список идентификаторов физических ресурсов из CSV-файла, выберите Импорт приоритетных физических ресурсов. В диалоговом окне проводника выберите CSV-файл, который требуется импортировать, а затем нажмите кнопку Открыть. В список добавляются идентификаторы физических ресурсов из CSV-файлов.
  4. В параметрах выберите Индикаторы политики.

  5. На странице Индикаторы политики перейдите в раздел Индикаторы физического доступа, а затем установите флажок Физический доступ после завершения или сбой доступа к конфиденциальным ресурсам проверка.

  6. Выберите Сохранить.

Удаление физического ресурса с приоритетом

Чтобы удалить приоритетный физический ресурс, необходимо быть членом группы ролей Управление внутренними рисками или Администраторы управления внутренними рисками .

Важно!

При удалении физического ресурса с приоритетом вы удаляете его из проверки любой активной политикой, включающей его. Однако оповещения, созданные действиями, связанными с приоритетным физическим ресурсом, не удаляются.

  1. Войдите на портал Microsoft Purview в качестве участника группы ролей Управление внутренними рисками или Администраторы управления внутренними рисками .
  2. Выберите Параметры в правом верхнем углу страницы.
  3. Выберите Управление внутренними рисками , чтобы перейти к параметрам Управления внутренними рисками.
  4. Выберите Приоритет физических ресурсов.
  5. На странице Приоритет физических ресурсов выберите ресурс, который требуется удалить.
  6. Выберите Удалить.