Изучение действий и оповещений по управлению внутренними рисками
- 10 мин
Исследование рискованных действий пользователей является важным первым шагом в минимизации внутренних рисков для организации. Эти риски могут быть следующими:
- Действия, которые создают оповещения из политик управления внутренними рисками.
- Риски, связанные с действиями, которые политики обнаружили, но не сразу создают оповещение об управлении внутренними рисками для пользователей.
Организации могут исследовать эти типы действий с помощью отчетов о действиях пользователей и панели мониторинга оповещений .
Отчеты об активности пользователей
Отчеты о действиях пользователей позволяют организации проверять действия конкретных пользователей за определенный период времени. Организация может просматривать отчеты без необходимости временного или явного назначения пользователей политике управления внутренними рисками. В большинстве сценариев управления внутренними рисками организации явно определяют пользователей в политиках. Они также могут иметь оповещения политики (в зависимости от событий триггера) и оценки риска, связанные с действиями.
Но в некоторых сценариях организации может потребоваться изучить действия для пользователей, которые явно не определены в политике. Эти действия могут быть для пользователей, которым они получили подсказку о том, кто участвует в потенциально рискованных действиях. Действия также могут быть для пользователей, которые организация обычно не назначает политике управления внутренними рисками.
После того как организация настроит индикаторы на странице Параметры управления внутренними рисками, управление внутренними рисками обнаруживает рискованные действия пользователей, связанные с выбранными индикаторами. Организации не нужно настраивать политику для отчетов о действиях пользователей, чтобы обнаруживать рискованные действия пользователей и сообщать о них. Отчеты о действиях пользователей не требуют активации событий для отображения действий.
Эта конфигурация означает, что все обнаруженные действия пользователя доступны для просмотра. Действия не требуют события активации, и им не нужно создавать оповещение. Управление внутренними рисками создает отчеты для каждого пользователя. Они могут включать все действия для пользовательского 90-дневного периода. Система не поддерживает несколько отчетов для одного пользователя.
После того как следователи изучат действия пользователя, они могут:
- Отклонить отдельные действия как неопасные.
- Поделитесь ссылкой на отчет или отправьте ее по электронной почте другим следователям.
- Выберите временно или явно назначить пользователя политике управления внутренними рисками.
Чтобы просмотреть страницу Отчеты о действиях пользователей, необходимо назначить пользователей группе ролей "Следователи управления внутренними рисками".
Организация может начать работу, выбрав Управление отчетами в разделе Изучение действий пользователей на странице Обзор управления внутренними рисками. Чтобы просмотреть действия пользователя, сначала выберите Создать отчет о действиях пользователя. Затем заполните следующие поля в области Новый отчет о действиях пользователей :
- Пользователь. Выполните поиск пользователя по имени или адресу электронной почты.
- Дата начала. Используйте элемент управления "Календарь", чтобы выбрать дату начала действий пользователя.
- Дата окончания. Используйте элемент управления "Календарь", чтобы выбрать дату окончания действий пользователя. Выбранная дата окончания должна быть больше чем через два дня после выбранной даты начала и не больше 90 дней с выбранной даты начала.
Примечание.
Новые отчеты обычно занимают до 10 часов, прежде чем они будут готовы к проверке. Когда отчет будет готов, вы увидите отчет готов в столбце Состояние на странице Отчет о действиях пользователя . Выберите пользователя, чтобы просмотреть подробный отчет.
Отчет о действиях пользователя для выбранного пользователя содержит вкладки Действия пользователя и Обозреватель действий:
-
Действия пользователей. Используйте это представление диаграммы для исследования действий и просмотра потенциальных действий, которые происходят последовательно. Структура этой вкладки позволяет администраторам быстро просматривать дело. Он включает следующее:
- Исторический временная шкала всех мероприятий
- Сведения о действии
- Текущая оценка риска для пользователя в случае
- Последовательность событий риска
- Фильтрация элементов управления для помощи в проведении расследований
- Обозреватель действий. На вкладке Обозреватель действий для исследователей рисков предоставляется комплексный аналитический инструмент, предоставляющий подробные сведения о действиях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями.
Панель мониторинга оповещений
Индикаторы риска, определенные в политиках управления внутренними рисками, автоматически создают оповещения об управлении внутренними рисками. Эти оповещения дают аналитикам соответствия требованиям и следователям все представление о текущем состоянии риска. Они также позволяют организации рассматривать обнаруженные риски и принимать меры. По умолчанию политики создают определенное количество оповещений с низким, средним и высоким уровнем серьезности. Однако организация может увеличить или уменьшить объем оповещений в соответствии со своими потребностями. Он также может настроить пороговое значение оповещений для индикаторов политики при создании новой политики с помощью средства создания политики.
Дополнительный просмотр. Чтобы получить общие сведения о том, как оповещения предоставляют сведения, контекст и связанное содержимое для рискованных действий и как сделать процесс исследования более эффективным, выберите следующую ссылку, чтобы watch короткое видео: Опыт рассмотрения оповещений об управлении внутренними рисками.
Вкладка Оповещения на панели мониторинга управления внутренними рисками позволяет организациям просматривать оповещения, созданные политиками внутренних рисков, и действовать с ними. В каждом мини-приложении отчета отображаются сведения за последние 30 дней, в том числе:
- Общее количество оповещений, требующих проверки. Общее количество оповещений, требующих проверки и рассмотрения, включая разбивку по серьезности оповещений.
- Откройте оповещения за последние 30 дней. Общее количество оповещений, созданных политикой, соответствует за последние 30 дней и отсортировано по уровням серьезности оповещений высокого, среднего и низкого уровня.
-
Среднее время разрешения оповещений. Сводка полезной статистики оповещений:
- Среднее время закрытия оповещений высокого уровня серьезности в часах, днях или месяцах.
- Среднее время закрытия оповещений среднего уровня серьезности в часах, днях или месяцах.
- Среднее время закрытия оповещений низкого уровня серьезности в часах, днях или месяцах.
Предупреждение
Управление внутренними рисками использует встроенное регулирование оповещений для защиты и оптимизации анализа рисков в организации. Регулирование защищает от проблем, которые могут привести к перегрузке оповещений политики. Например, неправильно настроенные соединители данных или политики защиты от потери данных. В результате может возникать задержка при отображении новых оповещений для пользователя.
Состояние и серьезность оповещений
Организации могут рассматривать оповещения в одном из следующих состояний:
Подтверждено. Оповещение, подтвержденное и назначенное новому или существующему делу.
Отклонено. Оповещение, отклоненное как неопасное в процессе рассмотрения. Вы можете указать причину для закрытия оповещения и включить заметки, доступные в журнале оповещений пользователя. Это обеспечивает дополнительный контекст для будущих ссылок или для других рецензентов. Например, причины могут включать:
- Ожидаемые действия
- Нет влияющих событий
- Уменьшение количества действий оповещений для пользователя
- Причина, связанная с заметками об оповещении. Возможные варианты классификации причин:
- Для этого пользователя ожидается действие.
- Действия достаточно влияют на меня, чтобы исследовать дальше.
- Оповещения для этого пользователя содержат слишком много действий.
Требуется проверка. Новое оповещение, в котором организации еще предстоит выполнить действия по рассмотрению.
Устранено. Оповещение, которое является частью закрытого и разрешенного дела.
Управление внутренними рисками автоматически вычисляет оценки риска оповещений по нескольким индикаторам активности риска. К этим показателям относятся:
- Тип небезопасных действий.
- Количество и частота повторения действия.
- История небезопасных действий пользователя.
- Дополнительные риски, которые могут повысить серьезность действия.
Оценка риска оповещений определяет программное назначение уровня серьезности риска для каждого оповещения. Вы не можете настроить его. Если оповещения остаются без изменений и действия риска продолжают накапливаться в оповещении, уровень серьезности риска может увеличиться. Аналитики рисков и следователи могут использовать степень серьезности риска оповещений для рассмотрения оповещений в соответствии с политиками и стандартами риска своей организации.
Уровни серьезности риска оповещений включают:
- Высокий уровень серьезности. Действия и индикаторы для оповещения представляют значительный риск. Связанные с рисками действия являются серьезными, повторяющимися и сильно связаны с другими значительными факторами риска.
- Средняя степень серьезности. Действия и индикаторы для оповещения представляют умеренный риск. Соответствующие небезопасные действия являются умеренными и частыми и некоторым образом связаны с другими значимыми факторами риска.
- Низкая степень серьезности. Действия и индикаторы для оповещения представляют незначительный риск. Связанные с рисками действия являются незначительными, более редкими и не связаны с другими значительными факторами риска.
Исследование рискованных действий пользователей является важным первым шагом в минимизации внутренних рисков для организации. Эти риски могут быть действиями, которые создают оповещения из политик управления внутренними рисками. Кроме того, это могут быть риски, связанные с действиями, которые политики обнаруживают, но не сразу создают оповещение об управлении внутренними рисками для пользователей. Эти типы действий можно исследовать с помощью отчетов о действиях пользователя или панели мониторинга оповещений .
Рассмотрение оповещений
Чтобы рассмотреть оповещение о внутренних рисках, выполните следующие действия.
На портале соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
На странице Управление внутренними рисками выберите вкладку Оповещения .
На панели мониторинга Оповещений выберите оповещение , которое нужно рассмотреть.
На странице сведений об оповещении можно просмотреть сведения об оповещении. Варианты действий:
- Подтвердите оповещение и создайте новое дело.
- Подтвердите оповещение и добавьте в существующее дело.
- Закройте оповещение.
Страница сведений об оповещении также содержит текущее состояние оповещения и уровень серьезности риска оповещения, перечисленные как "Высокий", "Средний" или "Низкий". Если организация не проверяет оповещение, уровень серьезности может со временем увеличиваться или уменьшаться.
Обозреватель действий
Примечание.
Если обозреватель действий доступен в организации, будет доступна область управления оповещениями для пользователей с событиями активации.
Обозреватель действий предоставляет экспертам по рискам и аналитикам комплексный аналитический инструмент, предоставляющий подробные сведения об оповещениях. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями.
Чтобы отфильтровать оповещения в обозревателе действий для сведений о столбце, выберите элемент управления Фильтр . Оповещения можно фильтровать по одному или нескольким атрибутам, перечисленным в области сведений для оповещения. Обозреватель действий также поддерживает настраиваемые столбцы, помогающие следователям и аналитикам сосредоточиться на панели мониторинга на наиболее важных для них сведениях.
Организация может использовать фильтры сведений о действиях область и рисках для отображения и сортировки действий и аналитических сведений в следующих областях:
-
Фильтры область действий. Фильтрует все оцененные действия для пользователя.
- Все оцененные действия для этого пользователя.
- В этом оповещении оцениваются только действия.
-
Фильтры факторов риска. Фильтры для действий факторов риска, применимых ко всем политикам, назначающим оценки риска. Это включает в себя все действия для всех политик для пользователей в область.
- Необычные действия
- Включает события с приоритетным содержимым
- Включает события с неотключимым доменом
- Действия последовательности
- Совокупные действия кражи
- Действия по доступу к записям работоспособности
Чтобы использовать обозреватель действий, выполните следующие действия.
- На портале соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
- На странице Управление внутренними рисками выберите вкладку Оповещения .
- На панели мониторинга Оповещений выберите оповещение , которое нужно рассмотреть.
- В области Сведений об оповещениях выберите Открыть развернутое представление.
- На странице выбранного оповещения выберите вкладку Обозреватель действий .
Когда следователи и аналитики просматривают действия в обозревателе действий, они могут выбрать определенное действие и открыть область сведений о действиях. На панели отображаются подробные сведения о действиях, которые следователи и аналитики могут использовать в процессе рассмотрения оповещений. Подробные сведения могут содержать контекст для оповещения. Это также может помочь определить полный область действия риска, которое вызвало оповещение.
Когда следователи и аналитики выбирают события действия из временная шкала действия, количество действий, отображаемых в обозревателе действий, может не соответствовать числу событий действий, перечисленных в временная шкала. Это может произойти по следующим причинам:
- Накопительное обнаружение кражи. Накопительное обнаружение кражи анализирует журналы событий. Однако она применяет модель, которая включает дедупликацию аналогичных действий для вычисления совокупного риска кражи. Количество действий, отображаемых в обозревателе действий, может также отличаться, если организация внесла изменения в существующую политику или параметры. Например, предположим, что организация изменила разрешенные домены и добавила новые исключения типов файлов после создания политики. Если произошло совпадение действий, действия накопительного обнаружения кражи отличаются от результатов до изменения политики или параметров. Суммарные итоги действий обнаружения кражи основаны на политике и конфигурации параметров на момент вычисления. Они не включают действия до изменения политики и параметров.
- Сообщения электронной почты внешним получателям. Система может присвоить оценку риска действиям, отправляемым внешним получателям, в зависимости от количества отправленных сообщений. Это значение может не соответствовать журналам событий действий.
Проверка знаний
Выберите лучший ответ на каждый из приведенных ниже вопросов.
Проверьте свои знания
Обратная связь
Были ли сведения на этой странице полезными?
Нет
Нужна помощь с этой темой?
Хотите попробовать использовать Ask Learn для уточнения или руководства по этой теме?