Изучение управления внутренними рисками
- 10 мин
Управление внутренними рисками Microsoft Purview — это решение для обеспечения соответствия требованиям, которое помогает организациям минимизировать внутренние риски, позволяя им обнаруживать, исследовать вредоносные и непреднамеренные действия, а также принимать меры. Политики внутренних рисков позволяют организации определять типы рисков для выявления и обнаружения, включая действия по случаям и эскалацию случаев в Microsoft eDiscovery (премиум) при необходимости. Аналитики рисков в организации могут быстро принять соответствующие меры, чтобы убедиться, что пользователи соответствуют стандартам соответствия требованиям своей организации.
Современные точки риска
Управление рисками и минимизация рисков в организации начинается с понимания типов рисков, обнаруженных на современном рабочем месте. Внешние события и факторы, которые находятся вне прямого контроля организации, определяют некоторые риски. Внутренние события и действия пользователей, которые организации могут свести к минимуму и избежать других рисков. Некоторые примеры — риски, связанные с незаконным, неуместным, несанкционированным или неэтичным поведением и действиями пользователей организации. Это поведение включает в себя широкий спектр внутренних рисков со стороны пользователей:
- Утечка конфиденциальных данных, разглашение данных
- Нарушения конфиденциальности
- Кража интеллектуальной собственности
- Мошенничество
- Инсайдерская торговля
- Нарушения нормативных требований
Пользователи на современном рабочем месте имеют доступ к созданию, управлению и совместному доступу к данным на различных платформах и службах. В большинстве случаев организации имеют ограниченные ресурсы и средства для выявления и снижения рисков в масштабах организации, а также соблюдения стандартов конфиденциальности пользователей.
Управление внутренними рисками использует полный спектр услуг и сторонние индикаторы. Эти индикаторы помогают организациям быстро выявлять, рассматривать и реагировать на действия, связанные с рисками. Используя журналы из Microsoft 365 и Microsoft Graph, управление внутренними рисками позволяет организации определять конкретные политики для определения индикаторов риска. Эти политики позволяют ему выявлять рискованные действия и действовать для снижения этих рисков.
Центр управления внутренними рисками руководствуется следующими принципами:
- Открытость. Балансируйте конфиденциальность пользователей и риск организации с помощью архитектуры конфиденциальности по проектированию.
- Настраивается. Настраиваемые политики на основе отраслевых, географических и бизнес-групп.
- Интегрированный. Интегрированный рабочий процесс в решениях Microsoft Purview.
- Практические действия. Предоставляет аналитические сведения для включения уведомлений рецензентов, исследований данных и исследований пользователей.
Выявление потенциальных рисков с помощью аналитики
Аналитика управления внутренними рисками позволяет организации проводить оценку потенциальных внутренних рисков без настройки политик внутренних рисков. Эта оценка может помочь организации:
- Определите потенциальные области с более высоким риском для пользователей.
- Определите тип и область политик управления внутренними рисками, которые можно настроить.
- Определите потребности в дополнительном лицензировании или будущей оптимизации существующих политик.
Примечание.
Получение результатов проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.
Дополнительные сведения. Дополнительные сведения об аналитике см. в разделе Параметры управления внутренними рисками: Аналитика.
Дополнительный просмотр. Дополнительные сведения о том, как аналитика может ускорить выявление потенциальных внутренних рисков и помочь организациям быстро принять меры, watch в следующем коротком видео аналитики внутренних рисков.
Чтобы включить аналитику внутренних рисков, необходимо быть членом группы ролей управления внутренними рисками, управления внутренними рисками Администратор или глобального администратора Microsoft 365.
Чтобы включить аналитику внутренних рисков, выполните следующие действия.
- В Портал соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
- Выберите Выполнить сканирование на вкладке Обзор управления внутренними рисками в организации карта на вкладке Общие сведения об управлении внутренними рисками. Это действие включает проверку аналитики для вашей организации. Вы также можете включить проверку в организации, перейдя в параметры внутренних рисков, а затем — Аналитика и включив параметр Под названием Сканирование действий пользователей клиента для выявления потенциальных внутренних рисков.
- В области Сведения об аналитике выберите Запустить сканирование , чтобы начать проверку для вашей организации. Получение результатов проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.
Изучив аналитические сведения об аналитике, выберите политики внутренних рисков и настройте соответствующие предварительные требования, которые наилучшим образом соответствуют стратегии снижения внутренних рисков вашей организации.
Начало работы с рекомендуемыми действиями
Рекомендуемые действия помогут организациям максимально эффективно использовать возможности управления внутренними рисками. Организации считают эту функцию полезной независимо от того, настроят ли они управление внутренними рисками в первый раз или приступить к созданию новых политик. Рекомендуемые действия включают настройку разрешений, выбор индикаторов политики, создание политики и многое другое.
На вкладке Обзор на странице Управление внутренними рисками содержится функция рекомендуемых действий, которая поможет организации выполнить действия по настройке и развертыванию политик.
Вкладка "Обзор" содержит раздел "Основные действия", который поможет вам приступить к работе. Параметры, включенные в этот раздел, помогают организации приступить к работе с конфигурацией управления внутренними рисками или максимально повысить ее эффективность. Среди них:
- Включите аудит. Если этот параметр включен, управление внутренними рисками записывает действия пользователей и администраторов в журнал аудита Microsoft 365. Политики внутренних рисков и аналитические проверки используют этот журнал для обнаружения действий с рисками.
- Получение разрешений на управление рисками пользователей. Уровень доступа пользователя к функциям управления внутренними рисками зависит от того, какую группу ролей администратор назначил пользователю. Доступ к функциям управления внутренними рисками могут получить только пользователи, назначенные группам ролей "Управление внутренними рисками" или "Администраторы управления внутренними рисками".
- Выберите индикаторы политики. По сути, индикаторы — это действия пользователей, которые организация хочет обнаружить и исследовать. Организация может выбирать индикаторы для отслеживания действий в нескольких расположениях и службах Microsoft 365.
- Проверьте наличие потенциальных внутренних рисков. Организация должна выполнить аналитическое сканирование, чтобы обнаружить потенциальные внутренние риски, возникающие в компании. После оценки результатов просмотрите рекомендуемые политики для настройки.
- Назначьте разрешения другим пользователям. Если есть другие члены команды, ответственные за управление функциями внутренних рисков, администраторы должны назначить их соответствующим группам ролей.
- Создайте первую политику. Для получения оповещений о потенциально рискованных действиях организация должна настроить политики на основе предопределенных шаблонов, определяющих действия пользователей, которые она хочет обнаружить и исследовать.
Каждое рекомендуемое действие, включенное в этот интерфейс, имеет четыре атрибута:
- Действие. Имя и описание рекомендуемого действия.
-
Состояние. Состояние рекомендуемого действия. К значениям состояния относятся:
- Не запущено.
- Выполняется
- Сохранено для последующего использования
- Завершено
- Обязательный или необязательный. Чтобы функции управления внутренними рисками функционировали должным образом, системе требуются определенные рекомендуемые действия. Другие рекомендуемые действия являются необязательными для работы этих функций.
- Предполагаемое время завершения. Предполагаемое время выполнения рекомендуемого действия в минутах.
Выберите рекомендацию из списка, чтобы приступить к настройке управления внутренними рисками. Каждое рекомендуемое действие направляет организацию через необходимые действия для рекомендации, в том числе:
- Любые требования
- Чего можно ожидать
- Результат настройки функции в организации
При настройке каждого рекомендуемого действия система автоматически помечает его как завершенное. Или необходимо вручную выбрать действие как завершенное при настройке.
Рабочий процесс
Рабочий процесс управления внутренними рисками помогает организациям выявлять, исследовать и принимать меры для устранения внутренних рисков. Организации могут использовать практические аналитические сведения для быстрого выявления рискованного поведения и принятия мер с помощью:
- Шаблоны политик с фокусом
- Комплексная передача сигналов о действиях в службе Microsoft 365
- Средства управления оповещениями и обращениями
На следующей схеме показано, как управление внутренними рисками определяет и устраняет внутренние действия риска и проблемы соответствия требованиям.
В следующих разделах описана каждая из задач, определенных на схеме рабочего процесса.
Политики
Политики управления внутренними рисками создаются с помощью стандартных шаблонов и условий политики. Эти политики определяют, какие события и индикаторы риска проверяются организацией. К этим условиям относятся:
- Использование индикаторов риска в оповещениях.
- Пользователи, включенные в политику.
- Службы, приоритетные для организации.
- Период времени мониторинга.
Организации могут выбрать один из следующих шаблонов политик, чтобы быстро приступить к управлению внутренними рисками:
- Кража данных путем ухода пользователей.
- Общие утечки данных.
- Утечки данных по приоритетным пользователям.
- Утечки данных недовольными пользователями.
- Общие нарушения политики безопасности.
- Общее неправильное использование данных о пациентах.
- Нарушения политики безопасности при уходе пользователей.
- Нарушения политики безопасности приоритетными пользователями.
- Нарушения политики безопасности недовольными пользователями.
В следующем уроке этого обучения более подробно рассматриваются политики управления внутренними рисками.
Оповещения
Индикаторы рисков автоматически создают оповещения, соответствующие условиям политики. Они также отображаются на панели мониторинга Оповещений. Эта панель мониторинга позволяет быстро просмотреть:
- Все оповещения, требующие проверки.
- Со временем открывайте оповещения.
- Статистика оповещений для организации.
На панели мониторинга Оповещений отображаются все оповещения политики со следующими сведениями. Эти данные помогают организациям быстро определить состояние существующих и новых оповещений, требующих действий:
- Состояние
- Серьезность
- Время обнаружения
- Ситуация
- Состояние обращения
Сортировка
Новые действия пользователей, которым требуется исследование, автоматически создают оповещения. Система присваивает этим оповещениям состояние Проверки потребностей . Рецензенты могут быстро определять и проверять, оценивать и рассматривать эти оповещения.
Можно открыть на основе оповещения новое дело, отнести оповещение к уже существующему делу или просто закрыть оповещение. С помощью фильтров оповещений можно легко быстро определить оповещения по состоянию, серьезности или времени обнаружения. В рамках процесса рассмотрения рецензенты могут:
- Просмотр сведений об оповещении для действий, определенных политикой.
- Просмотр действий пользователей, связанных с соответствием политике.
- Просмотрите серьезность оповещения.
- Просмотрите сведения о профиле пользователя.
Исследование
Организации могут быстро исследовать все действия выбранного пользователя с помощью отчетов о действиях пользователей. Эти отчеты позволяют следователям в организации изучать действия для конкретных пользователей. Вы можете проверить действия за определенный период времени, не назначая их временно или явно политике управления внутренними рисками. После того как следователи изучат действия пользователя, они могут:
- Отклонить отдельные действия как неопасные.
- Поделитесь ссылкой на отчет или отправьте ее по электронной почте другим следователям.
- Выберите временно или явно назначить пользователя политике управления внутренними рисками.
Организации создают случаи для оповещений, требующих более глубокого просмотра и изучения сведений о действиях и обстоятельствах, соответствующих политике. Панель Дела содержит представление всех активных дел, позволяет отслеживать динамику открытых и соответствующую статистику по организации. Рецензенты могут быстро фильтровать случаи по состоянию, дате, когда компания открыла дело, и дате последнего обновления дела.
Важно!
При выборе дела на панели мониторинга "Дело" его можно изучить и проверить. Этот шаг является сердцем рабочего процесса управления внутренними рисками. В этой области система синтезирует действия по рискам, условия политики, сведения об оповещениях и сведения о пользователях в интегрированное представление для рецензентов. В следующем уроке этого обучения рассматриваются случаи.
К основным средствам исследования в этой области относятся:
- Действия пользователей. Действия пользователя автоматически отображаются на интерактивной диаграмме. Он отображает действия с течением времени и по уровню риска для текущих или прошлых рисков. Рецензенты могут быстро фильтровать и просматривать весь журнал рисков для пользователя. Они также могут детализировать конкретные действия для получения дополнительных сведений.
- Обозреватель содержимого. Обозреватель содержимого автоматически записывает и отображает все файлы данных и сообщения электронной почты, связанные с действиями оповещений. Рецензенты могут фильтровать и просматривать файлы и сообщения по источнику данных, типу файлов, тегам, беседам и многим дополнительным атрибутам.
- Примечания к обращению. Рецензенты могут предоставлять заметки для дела в разделе Заметки о случае. Этот список объединяет все заметки в центральном представлении и включает сведения об рецензентах и дате отправки.
Кроме того, журнал аудита позволяет организациям получать сведения о действиях, выполняемых с функциями управления внутренними рисками. Журнал аудита позволяет проводить независимую проверку пользователей, назначенных одной или нескольким группам ролей управления внутренними рисками. Цель проверки — проанализировать действия пользователей.
Действие
После того, как организация расследует дело, рецензенты могут быстро решить проблему или сотрудничать с другими заинтересованными лицами, заинтересованными в риске в организации. Если пользователи случайно или непреднамеренно нарушают условия политики, система отправляет простое уведомление с напоминанием о пользователе из шаблонов уведомлений, которые организация может настроить. Эти уведомления могут служить простыми напоминаниями. Они также могут направить пользователя на обучение или руководство по обновлению, чтобы предотвратить рискованное поведение в будущем. Дополнительные сведения см. в описании шаблонов уведомлений для управления внутренними рисками.
В более серьезных ситуациях рецензенту может потребоваться поделиться сведениями об управлении внутренними рисками с другими рецензентами или службами в своей организации. Microsoft 365 тесно интегрирует управление внутренними рисками со следующими решениями Microsoft Purview, чтобы помочь рецензентам в комплексном устранении рисков.
- eDiscovery (Premium) Эскалация дела для расследования позволяет организации передавать данные и управление делом в Microsoft Purview eDiscovery (Премиум). Обнаружение электронных данных (премиум) предоставляет комплексный рабочий процесс для сохранения, сбора, просмотра, анализа и экспорта содержимого, реагирующего на внутренние и внешние исследования организации. Кроме того, эта функция позволяет юридическим отделам управлять всем рабочим процессом уведомления об удержании по юридическим причинам. Дополнительные сведения о случаях обнаружения электронных данных (Premium) см. в статье Обзор Microsoft Purview eDiscovery (Premium).
- интеграция API управления Office 365. Управление внутренними рисками поддерживает экспорт сведений об оповещениях в службы управления информационной безопасностью и событиями безопасности (SIEM) с помощью API управления Office 365. Наличие доступа к информации об оповещениях на платформе, которая наилучшим образом соответствует процессам риска в организации, дает ей большую гибкость в том, как действовать в отношении действий, связанных с рисками. Дополнительные сведения об экспорте сведений об оповещениях с помощью API управления Office 365 см. в статье Экспорт оповещений.
Проверка знаний
Выберите лучший ответ на каждый из приведенных ниже вопросов.
Проверьте свои знания
Обратная связь
Были ли сведения на этой странице полезными?
Нет
Нужна помощь с этой темой?
Хотите попробовать использовать Ask Learn для уточнения или руководства по этой теме?