Изучение случаев управления внутренними рисками
Дела являются сердцем управления внутренними рисками. Они позволяют организациям глубоко исследовать проблемы, связанные с индикаторами риска, определенными в их политиках, и принимать меры по их решению. Организации вручную создают обращения на основе оповещений. Они делают это в ситуациях, когда им необходимо предпринять дальнейшие действия для решения проблемы, связанной с соответствием требованиям для пользователя.
Примечание.
Каждый случай область одному пользователю. Вы можете добавить несколько оповещений для пользователя в существующее или новое дело.
После того как следователи и аналитики рисков организации расследуют детали дела, они могут принять меры, выполнив следующие действия:
- Отправка пользователю уведомления.
- Разрешение дела как доброкачественного.
- Предоставление доступа к делу получателю электронной почты.
- Эскалация дела для исследования обнаружения электронных данных (Premium).
Дополнительный просмотр. Общие сведения о том, как управление внутренними рисками исследует случаи и управляет ими, watch в следующем коротком видео под названием: Исследование и эскалация внутренних рисков.
Панель мониторинга вариантов
Панель мониторинга "Внутренние случаи управления рисками" позволяет следователям и аналитикам рисков организации просматривать дела и действовать по ней. Каждое мини-приложение отчета на панели мониторинга отображает следующие сведения за последние 30 дней:
- Активные варианты. Общее число активных расследуемых дел.
- Случаи за последние 30 дней. Общее количество созданных случаев, отсортированных по активному и закрытому состоянию.
- Статистика. Среднее время активных обращений, указанное в часах, днях или месяцах.
Очередь обращений содержит список всех активных и закрытых обращений для организации. В нем также отображается текущее состояние следующих атрибутов регистра:
- Имя варианта. Имя дела. Когда организация подтверждает оповещение и создает дело, она назначает имя случая.
- Состояние. Состояние дела : Активный или Закрытый.
- Пользователь. Пользователь для дела. Если при создании дела включен параметр Анонимизация для имен пользователей , система отобразит анонимную информацию.
- Время открытия дела. Время, прошедшее с момента открытия дела.
- Всего оповещений политики. Количество совпадений политик, включенных в дело. Это число может увеличиться при добавлении новых оповещений в дело.
- Дело последнее обновление. Время, прошедшее с момента добавления заметки о обращении или изменения состояния обращения.
- Последнее обновление. Имя аналитика по управлению внутренними рисками или следователя, который последний раз обновлял дело.
Следователи и аналитики рисков могут использовать элемент управления Поиск для поиска имен обращений по конкретному тексту. Они также могут использовать фильтр вариантов для сортировки вариантов по следующим атрибутам:
- Состояние дела.
- Время открытия дела, а также дата начала и дата окончания.
- Дата последнего обновления дела, а также дата начала и окончания.
Фильтрация вариантов
В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди обращений может оказаться сложной задачей. Использование фильтров вариантов может помочь аналитикам и следователям сортировать дела по нескольким атрибутам. Чтобы отфильтровать оповещения на панели мониторинга Варианты, выберите элемент управления Фильтр . Варианты можно фильтровать по одному или нескольким атрибутам:
- Состояние. Выберите одно или несколько значений состояния, чтобы отфильтровать список вариантов. Параметры : Активный и Закрытый.
- Время открытия дела. Выберите даты начала и окончания для открытия дел.
- Последнее обновление. Выберите даты начала и окончания последнего обновления случаев.
Изучение дела
Более глубокое исследование оповещений об управлении внутренними рисками имеет решающее значение для принятия правильных корректирующих действий. Случаи управления внутренними рисками — это центральный инструмент управления для более глубокого анализа:
- Журнал действий, связанных с рисками пользователей
- Сведения об оповещении
- Последовательность событий риска
- Содержимое и сообщения, подверженные рискам
Аналитики рисков и следователи также используют варианты для централизации отзывов и примечаний, а также для обработки разрешения случаев. При открытии дела становятся доступны средства управления обращениями. Эти инструменты позволяют аналитикам и следователям вникать в детали дел.
Обзор дела
Вкладка Обзор дела содержит сведения о случае для аналитиков рисков и следователей. Он содержит следующие сведения в области с заголовком Об этом случае:
- Состояние. Текущее состояние дела: Активно или Закрыто.
- Дело создано в. Дата и время создания дела.
- Оценка риска пользователя. Текущий вычисляемый уровень риска пользователя для дела. Система вычисляет эту оценку каждые 24 часа и использует оценки риска оповещений из всех активных оповещений, связанных с пользователем.
- Email. Псевдоним электронной почты пользователя для дела.
- Организация или отдел. Назначенная пользователю организация или отдел.
- Имя руководителя. Имя руководителя пользователя.
- Адрес электронной почты руководителя. Псевдоним электронной почты руководителя пользователя.
Вкладка Обзор вариантов также содержит раздел Оповещения , содержащий следующие сведения об оповещениях соответствия политик, связанных с делом:
- Соответствует политике. Имя политики управления внутренними рисками, связанной с оповещениями о совпадении для действий пользователей.
- Состояние. Состояние оповещения.
- Серьезность. Степень серьезности оповещения.
- Время обнаружения. Время, прошедшее с момента создания оповещения системой.
Оповещения
На вкладке Оповещения перечислены текущие оповещения, включенные в дело. Система может добавлять новые оповещения в существующий случай. Система также добавляет их в очередь оповещений по мере назначения обращения. В очереди перечислены следующие атрибуты оповещений:
- Состояние
- Серьезность
- Время обнаружения
Выберите оповещение из очереди, чтобы отобразить страницу сведений об оповещении . Используйте элемент управления "Поиск" для поиска имен оповещений для определенного текста, а фильтр оповещений — для сортировки вариантов по следующим атрибутам:
- Состояние
- Серьезность
- Время обнаружения, дата начала и дата окончания
Используйте элемент управления filter для фильтрации оповещений по нескольким атрибутам, включая:
- Состояние. Выберите одно или несколько значений состояния, чтобы отфильтровать список оповещений. Параметры : Подтверждение, Отклонено, Проверка потребностей и Разрешено.
- Серьезность. Выберите один или несколько уровней серьезности риска оповещений, чтобы отфильтровать список оповещений. Параметры: Высокий, Средний и Низкий.
- Время обнаружения. Выберите даты начала и окончания, когда система создала оповещение.
- Политика. Выберите одну или несколько политик, чтобы отфильтровать оповещения, созданные выбранными политиками.
Действия пользователей
Вкладка Действия пользователя позволяет аналитикам рисков и следователям просматривать сведения о действиях. Здесь также отображается визуальное представление всех действий, связанных с оповещениями о рисках и случаями. Например, в рамках процесса рассмотрения оповещений аналитикам может потребоваться просмотреть все действия по рискам, связанные с делом, для получения дополнительных сведений. В случаях специалисты по рискам могут просматривать сведения о действиях пользователей и пузырьковую диаграмму, чтобы помочь понять общие область действий, связанных с делом.
Обозреватель действий
Вкладка Обозреватель действий позволяет аналитикам рисков и следователям просматривать сведения о действиях, связанных с оповещениями о рисках. Например, в рамках действий по управлению делом следователям и аналитикам может потребоваться просмотреть все действия по риску, связанные с делом, для получения дополнительных сведений. С помощью обозревателя действий рецензенты могут быстро просмотреть временная шкала обнаруженных рискованных действий, а также выявлять и фильтровать все действия с рисками, связанные с оповещениями. Предыдущий учебный блок более подробно рассмотрел обозреватель действий.
Обозреватель содержимого
Вкладка "Обозреватель содержимого " позволяет следователям рисков просматривать копии всех отдельных файлов и сообщений электронной почты, связанных с оповещениями о рисках. Например, рассмотрим сценарий, в котором система создает оповещение, когда пользователь скачивает сотни файлов из SharePoint Online. Это произошло, так как действие активировало оповещение политики. В этой ситуации система захватывает все скачанные файлы для оповещения и скопирует их в дело управления внутренними рисками из исходных источников хранилища.
Обозреватель содержимого — это мощный инструмент с базовыми и расширенными функциями поиска и фильтрации. Дополнительные сведения об использовании обозревателя содержимого см. в статье Управление внутренними рисками.
Примечания к обращению
На вкладке Примечания к делу аналитики рисков и следователи делятся комментариями, отзывами и аналитическими сведениями о своей работе по делу. Заметки являются постоянными дополнениями к делу. Вы не сможете изменить или удалить заметку после ее сохранения. При создании обращения на основе оповещения система автоматически добавляет комментарии, введенные в диалоговом окне Подтверждение оповещения, и создание случая для внутренних рисков в качестве примечания к обращению.
На панели мониторинга Заметок обращения отображаются заметки пользователя, создавшего заметку, и время, прошедшее с момента сохранения заметки пользователем. Чтобы найти в текстовом поле заметки к варианту конкретный ключевое слово, нажмите кнопку Поиск на панели мониторинга обращения и введите определенную ключевое слово.
Участники
Вкладка Участники в деле — это место, где аналитики и исследователи рисков могут добавлять в дело других проверяющих. По умолчанию в системе отображаются все пользователи, назначенные ролям аналитиков управления внутренними рисками или следователям по управлению внутренними рисками, в качестве участников для каждого активного и закрытого дела. Только пользователи, которым назначена роль Следователя управления внутренними рисками, имеют разрешение на просмотр файлов и сообщений в обозревателе содержимого.
Временный доступ к делу можно предоставить при добавлении пользователя в качестве участник. Участники имеют все функции управления делами для конкретного случая, за исключением следующих:
- Разрешение на подтверждение или закрытие оповещений.
- Разрешение на изменение участников для случаев.
- Разрешение на просмотр файлов и сообщений в обозревателе содержимого.
Действия с делом
Следователи рисков могут принять меры по делу одним из нескольких способов, в зависимости от:
- Серьезность случая.
- Журнал риска пользователя.
- Рекомендации организации по рискам.
В некоторых ситуациях организация должна передать дело пользователю или анализу данных. Таким образом, организация может сотрудничать с другими областями своего бизнеса и глубже углубляться в деятельность по рискам. Microsoft 365 тесно интегрирует управление внутренними рисками с другими решениями Microsoft Purview, чтобы помочь организациям в комплексном управлении разрешениями.
Отправка уведомления по электронной почте
В большинстве случаев действия пользователей, создающие оповещения о внутренних рисках, непреднамеренно или случайны. Отправка уведомления с напоминанием пользователю по электронной почте является эффективным методом для документирования проверки и действий по обращению. Это также способ напомнить пользователям о корпоративных политиках или указать им на обучение по обновлению. Шаблоны уведомлений, которые создаются для инфраструктуры управления внутренними рисками.
При отправке уведомления по электронной почте пользователю система не разрешает проблему как закрытую . В некоторых случаях организация может оставить дело открытым после отправки уведомления пользователю. Это позволяет организации искать дополнительные действия, связанные с рисками, не открывая новое дело. Если организация хочет разрешить дело после отправки уведомления, она должна выбрать действие Разрешить дело в качестве последующего шага после отправки уведомления.
Выполните следующие действия, чтобы отправить уведомление пользователю, назначенному для обращения:
- На портале соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
- На странице Управление внутренними рисками выберите вкладку Случаи .
- На вкладке Варианты выберите вариант. Затем нажмите кнопку Отправить уведомление по электронной почте в строке меню.
- В диалоговом окне Отправка уведомления по электронной почте выберите раскрывающийся список Выберите шаблон уведомления , чтобы выбрать шаблон уведомления. Этот выбор предварительно заполняет другие поля в уведомлении.
- Просмотрите поля уведомлений и обновите их соответствующим образом. Значения, введенные здесь, переопределяют значения в шаблоне.
- Нажмите кнопку Отправить , чтобы отправить уведомление пользователю. Или нажмите кнопку Отмена , чтобы закрыть диалоговое окно без отправки уведомления пользователю. Система добавляет все отправленные уведомления в очередь заметок о обращении на панели мониторинга заметок о обращении .
Передать для исследования
Эскалация дела для исследования пользователей в ситуациях, когда организации требуется более юридическая проверка или действия пользователя с рисками. Эта эскалация открывает новое Microsoft Purview eDiscovery (премиум) дело в клиенте Microsoft 365 организации. Обнаружение электронных данных (премиум) предоставляет комплексный рабочий процесс для сохранения, сбора, просмотра, анализа и экспорта содержимого, которое отвечает на внутренние и внешние юридические расследования организации. Это также позволяет юридической команде компании управлять всем рабочим процессом уведомления о удержании по юридическим причинам для общения с хранителями, участвующими в деле. Эскалация до дела eDiscovery (Premium) из дела по управлению внутренними рисками помогает юридической группе организации принять соответствующие меры и управлять сохранением содержимого. Дополнительные сведения о случаях обнаружения электронных данных (Premium) см. в статье Обзор Microsoft Purview eDiscovery (Premium).
Чтобы передать дело в исследование пользователя, выполните приведенные далее действия.
- На портале соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
- На странице Управление внутренними рисками выберите вкладку Случаи .
- На вкладке Варианты выберите вариант. Затем нажмите кнопку Эскалация для исследования в строке меню.
- В диалоговом окне Эскалация для исследования введите имя для нового исследования пользователей. При необходимости введите заметки о случае и выберите Эскалация.
- Просмотрите поля уведомлений и обновите их соответствующим образом. Значения, введенные здесь, переопределяют значения в шаблоне.
- Выберите Подтвердить , чтобы создать дело для исследования пользователей. Или нажмите кнопку Отмена , чтобы закрыть диалоговое окно без создания нового обращения для исследования пользователей.
После эскалации дела по управлению внутренними рисками в новое дело о расследовании пользователей следователи и анализ рисков могут просмотреть новое дело, перейдя в область eDiscovery, а затем в область Дополнительно на портале соответствия требованиям Microsoft Purview .
Решение проблемы
После того как аналитики рисков и следователи завершат проверку и расследование, вы можете разрешить дело, чтобы действовать по всем оповещениям, включенным в настоящее время в дело. Разрешение случая:
- Добавляет классификацию разрешений.
- Изменяет состояние обращения на Закрыто.
- Добавляет причины действий по разрешению в очередь заметок к обращению на панели мониторинга заметок о обращении.
Вы можете разрешить проблему следующим образом:
- Доброкачественные. Классификация для случаев, когда оповещения о совпадениях политики оцениваются как низкий риск, несерзивный или ложноположительный результат.
- Подтвержденное нарушение политики. Классификация для случаев, когда оповещения о совпадении политики оцениваются как опасные, серьезные или как результат злонамеренного намерения.
Чтобы устранить проблему, выполните следующие действия.
- На портале соответствия требованиям Microsoft Purview выберите Управление внутренними рисками в области навигации.
- На странице Управление внутренними рисками выберите вкладку Случаи .
- На вкладке Варианты выберите вариант. Затем нажмите кнопку Разрешить обращение в строке меню.
- В диалоговом окне Разрешение случая выберите раскрывающийся список Разрешить , чтобы выбрать классификацию разрешения для дела. Возможные варианты: Доброкачественное или Подтвержденное нарушение политики.
- В диалоговом окне Разрешение случая введите причины классификации разрешения в текстовом поле Действие.
- Выберите Разрешить, чтобы закрыть дело. Или нажмите кнопку Отмена , закройте диалоговое окно без разрешения обращения.