الملاحظات

التحقيق في أنشطة إدارة المخاطر الداخلية

  • مقالة
  • قراءة خلال 18 دقائق

يعد التحقيق في أنشطة المستخدم المحفوفة بالمخاطر خطوة أولى مهمة في تقليل المخاطر الداخلية لمؤسستك. قد تكون هذه المخاطر هي الأنشطة التي تولد تنبيهات من نهج إدارة المخاطر الداخلية، أو المخاطر من الأنشطة التي يتم اكتشافها بواسطة النهج ولكنها لا تنشئ على الفور تنبيها لإدارة المخاطر الداخلية للمستخدمين. يمكنك التحقق من هذه الأنواع من الأنشطة باستخدام تقارير نشاط المستخدم (معاينة) أو مع لوحة معلومات التنبيه.

تقارير نشاط المستخدم (معاينة)

تسمح لك تقارير نشاط المستخدم بفحص الأنشطة لمستخدمين محددين لفترة زمنية محددة دون الحاجة إلى تعيينها مؤقتا أو بشكل صريح إلى نهج إدارة المخاطر الداخلية. في معظم سيناريوهات إدارة المخاطر الداخلية، يتم تعريف المستخدمين صراحة في النهج، وقد يكون لديهم تنبيهات نهج (اعتمادا على تشغيل الأحداث) ودرجات المخاطر المرتبطة بالأنشطة. ولكن في بعض السيناريوهات، قد تحتاج إلى فحص الأنشطة للمستخدمين الذين لم يتم تعريفهم بشكل صريح في النهج. قد تكون هذه الأنشطة للمستخدمين الذين تلقيت تلميحا حول المستخدم والأنشطة التي يحتمل أن تكون محفوفة بالمخاطر، أو المستخدمين الذين لا يحتاجون عادة إلى تعيينهم إلى نهج إدارة المخاطر الداخلية.

بعد تكوين المؤشرات على صفحة إدارة المخاطر الداخلية الإعدادات، يتم الكشف عن نشاط المستخدم لنشاط محفوف بالمخاطر مقترن بالمؤشرات المحددة. لا يتعين عليك تكوين نهج لتقارير نشاط المستخدم للكشف عن الأنشطة المحفوفة بالمخاطر والإبلاغ عنها من قبل المستخدمين في مؤسستك. لا تتطلب الأنشطة المضمنة في تقارير نشاط المستخدم تشغيل الأحداث لعرض الأنشطة. يعني هذا التكوين أن جميع الأنشطة المكتشفة للمستخدم متاحة للمراجعة، بغض النظر عما إذا كان لديه حدث تشغيل أو إذا كان ينشئ تنبيها. يتم إنشاء التقارير على أساس كل مستخدم ويمكن أن تتضمن جميع الأنشطة لفترة مخصصة مدتها 90 يوما. تقارير متعددة لنفس المستخدم غير معتمدة.

بعد فحص أنشطة المستخدم، يمكن للباحثين استبعاد الأنشطة الفردية على أنها غير ضارة، أو مشاركة ارتباط للتقرير أو إرساله بالبريد الإلكتروني مع باحثين آخرين، أو اختيار تعيين المستخدم مؤقتا أو بشكل صريح إلى نهج إدارة المخاطر الداخلية. يجب تعيين المستخدمين إلى مجموعة دور محققي إدارة المخاطر في Insider لعرض صفحة تقارير نشاط المستخدم .

نظرة عامة على تقرير نشاط مستخدم إدارة المخاطر من Insider.

يمكنك البدء بتحديد إدارة التقارير في قسم التحقيق في نشاط المستخدم في صفحة نظرة عامة على إدارة المخاطر الداخلية. لعرض أنشطة لمستخدم، حدد أولا "إنشاء تقرير نشاط المستخدم " وأكمل الحقول التالية في جزء تقرير نشاط المستخدم الجديد :

  • المستخدم: البحث عن مستخدم حسب الاسم أو عنوان البريد الإلكتروني
  • تاريخ البدء: استخدم عنصر تحكم التقويم لتحديد تاريخ البدء لأنشطة المستخدم.
  • تاريخ الانتهاء: استخدم عنصر تحكم التقويم لتحديد تاريخ الانتهاء لأنشطة المستخدم. يجب أن يكون تاريخ الانتهاء المحدد أكبر من يومين بعد تاريخ البدء المحدد ولا يزيد عن 90 يوما من تاريخ البدء المحدد. عادة ما تستغرق التقارير الجديدة ما يصل إلى 10 ساعات قبل أن تصبح جاهزة للمراجعة. عندما يكون التقرير جاهزا، سترى التقرير جاهزا في عمود الحالة في صفحة تقرير نشاط المستخدم. حدد المستخدم لعرض التقرير التفصيلي:

تقرير نشاط مستخدم إدارة المخاطر من Insider.

يحتوي تقرير نشاط المستخدم للمستخدم المحدد على علامتي التبويب "نشاط المستخدم " و" مستكشف النشاط ":

  • نشاط المستخدم: استخدم طريقة عرض المخطط هذه للتحقيق في الأنشطة وعرض الأنشطة المحتملة التي تحدث بالتسلسلات. تم تنظيم علامة التبويب هذه لتمكين المراجعة السريعة لحالة ما، بما في ذلك مخطط زمني تاريخي لجميع الأنشطة وتفاصيل النشاط و درجة المخاطر الحالية للمستخدم في هذه الحالة وتسلسل أحداث المخاطر وعناصر التحكم في التصفية للمساعدة في جهود التحقيق.
  • مستكشف النشاط: توفر علامة تبويب مستكشف النشاط لمحققي المخاطر أداة تحليلية شاملة توفر معلومات مفصلة حول الأنشطة. باستخدام مستكشف النشاط، يمكن للمراجعين مراجعة مخطط زمني للنشاط الخطر المكتشف بسرعة وتحديد جميع أنشطة المخاطر المرتبطة بالتنبيهات وتصفيتها. لمعرفة المزيد حول استخدام مستكشف النشاط، راجع قسم مستكشف النشاط لاحقا في هذه المقالة.

لوحة معلومات التنبيه

يتم إنشاء تنبيهات إدارة المخاطر الداخلية تلقائيا بواسطة مؤشرات المخاطر المحددة في نهج إدارة المخاطر الداخلية. تمنح هذه التنبيهات محللي الامتثال والباحثين رؤية عامة لحالة الخطر الحالية وتسمح لمؤسستك بفرز المخاطر المكتشفة واتخاذ إجراءات بشأنها. بشكل افتراضي، تنشئ النهج كمية معينة من التنبيهات منخفضة ومتوسطة وعالية الخطورة، ولكن يمكنك زيادة حجم التنبيه أو إنقاصه ليناسب احتياجاتك. بالإضافة إلى ذلك، يمكنك تكوين حد التنبيه لمؤشرات النهج عند إنشاء نهج جديد باستخدام أداة إنشاء النهج.

اطلع على فيديو تجربة فرز تنبيهات إدارة المخاطر من Insider للحصول على نظرة عامة حول كيفية توفير التنبيهات للتفاصيل والسياق والمحتوى ذي الصلة للنشاط المحفيف بالمخاطر وكيفية جعل عملية التحقيق أكثر فعالية.

تتيح لك لوحة معلومات تنبيه المخاطر الداخلية عرض التنبيهات التي تم إنشاؤها بواسطة نهج المخاطر الداخلية والعمل عليها. يعرض كل عنصر واجهة مستخدم تقرير معلومات لآخر 30 يوما.

  • إجمالي التنبيهات التي تحتاج إلى مراجعة: يتم سرد العدد الإجمالي للتنبيهات التي تحتاج إلى مراجعة وفرز، بما في ذلك تصنيف تفصيلي حسب خطورة التنبيه.
  • فتح التنبيهات على مدى ال 30 يوما الماضية: يتطابق إجمالي عدد التنبيهات التي تم إنشاؤها بواسطة النهج على مدار آخر 30 يوما، والتي تم فرزها حسب مستويات خطورة التنبيه العالية والمتوسطة والمنخفضة.
  • متوسط الوقت لحل التنبيهات: ملخص لإحصائيات التنبيه المفيدة:
    • متوسط الوقت لحل التنبيهات عالية الخطورة، المدرجة بالساعات أو الأيام أو الأشهر.
    • متوسط الوقت لحل تنبيهات الخطورة المتوسطة، المدرجة بالساعات أو الأيام أو الأشهر.
    • متوسط الوقت لحل التنبيهات منخفضة الخطورة، المدرجة بالساعات أو الأيام أو الأشهر.

لوحة معلومات تنبيه إدارة المخاطر الداخلية.

ملاحظة

تستخدم إدارة المخاطر الداخلية تقييد التنبيه المضمن للمساعدة في حماية وتحسين تجربة التحقيق في المخاطر ومراجعتها. يحمي هذا التقييد من المشكلات التي قد تؤدي إلى تحميل زائد لتنبيهات النهج، مثل موصلات البيانات التي تم تكوينها بشكل خاطئ أو نهج DLP. ونتيجة لذلك، قد يكون هناك تأخير في عرض تنبيهات جديدة لمستخدم.

حالة التنبيه وشدته

يمكنك فرز التنبيهات في إحدى الحالات التالية:

  • تم التأكيد: تم تأكيد تنبيه وتعيينه لحالة جديدة أو حالية.
  • تم تجاهل: تنبيه تم تجاهله على أنه غير ضار في عملية الفرز. يمكنك توفير سبب لتجاهل التنبيه وتضمين الملاحظات المتوفرة في محفوظات تنبيه المستخدم لتوفير سياق إضافي للرجوع إليها في المستقبل أو للمراجعين الآخرين. قد تتراوح هذه الأسباب بين الأنشطة المتوقعة، أو الأحداث غير المؤثرة، أو تقليل عدد أنشطة التنبيه للمستخدم ببساطة، أو سبب يتعلق بملاحظات التنبيه. تتضمن اختيارات تصنيف الأسباب النشاط المتوقع لهذا المستخدم، ويكون النشاط مؤثرا بما يكفي بالنسبة لي لمزيد من التحقيق، وتحتوي التنبيهات لهذا المستخدم على نشاط كبير جدا.
  • يحتاج إلى مراجعة: تنبيه جديد حيث لم يتم اتخاذ إجراءات الفرز بعد.
  • تم الحل: تنبيه يشكل جزءا من حالة مغلقة تم حلها.

يتم حساب درجات مخاطر التنبيه تلقائيا من عدة مؤشرات لنشاط المخاطر. وتشمل هذه المؤشرات نوع نشاط المخاطر، وعدد تكرار النشاط وتكراره، وتاريخ نشاط مخاطر المستخدم، وإضافة مخاطر النشاط التي قد تعزز خطورة النشاط. تدفع درجة مخاطر التنبيه التعيين البرمجي لمستوى خطورة المخاطر لكل تنبيه ولا يمكن تخصيصه. إذا ظلت التنبيهات غير مدارة واستمرت أنشطة المخاطر في التراكم إلى التنبيه، يمكن أن يزيد مستوى خطورة المخاطر. يمكن لمحللين ومحققي المخاطر استخدام خطورة مخاطر التنبيه للمساعدة في فرز التنبيهات وفقا لنهج ومعايير المخاطر الخاصة بمؤسستك.

مستويات خطورة مخاطر التنبيه هي:

  • خطورة عالية: تشكل الأنشطة والمؤشرات الخاصة بالتنبيه مخاطر كبيرة. أنشطة المخاطر المرتبطة بها خطيرة ومتكررة ومرتبطة بقوة بعوامل الخطر الهامة الأخرى.
  • الخطورة المتوسطة: تشكل الأنشطة والمؤشرات الخاصة بالتنبيه خطرا متوسطا. أنشطة المخاطر المرتبطة بها متوسطة ومتكررة ولها بعض الارتباط بعوامل الخطر الأخرى.
  • منخفض الخطورة: تشكل الأنشطة والمؤشرات الخاصة بالتنبيه خطرا بسيطا. أنشطة المخاطر المرتبطة بها بسيطة، وأكثر تكرارا، ولا ترتبط بعوامل الخطر الهامة الأخرى.

تصفية التنبيهات على لوحة معلومات التنبيه

اعتمادا على عدد ونوع نهج إدارة المخاطر الداخلية النشطة في مؤسستك، يمكن أن تكون مراجعة قائمة انتظار كبيرة من التنبيهات أمرا صعبا. يمكن أن يساعد استخدام عوامل تصفية التنبيه المحللين والباحثين على فرز التنبيهات حسب العديد من السمات. لتصفية التنبيهات على لوحة معلومات التنبيهات، حدد عنصر تحكم عامل التصفية . يمكنك تصفية التنبيهات حسب سمة واحدة أو أكثر:

  • الحالة: حدد قيمة حالة واحدة أو أكثر لتصفية قائمة التنبيهات. يتم تأكيد الخيارات وتجاهلها ومراجعة الاحتياجات وحلها.
  • الخطورة: حدد مستوى خطورة مخاطر تنبيه واحد أو أكثر لتصفية قائمة التنبيهات. الخيارات عالية ومتوسطة ومنخفضة.
  • الوقت المكتشف: حدد تاريخي البدء والانتهاء لوقت إنشاء التنبيه. يبحث عامل التصفية هذا عن تنبيهات بين UTC 00:00 في تاريخ البدء و UTC 00:00 في تاريخ الانتهاء. لتصفية التنبيهات ليوم معين، أدخل تاريخ اليوم في حقل تاريخ البدء وتاريخ اليوم التالي في حقل تاريخ الانتهاء .
  • النهج: حدد نهجا واحدا أو أكثر لتصفية التنبيهات التي تم إنشاؤها بواسطة النهج المحددة.
  • عوامل الخطر: حدد أحد عوامل الخطر الإضافية لتصفية قائمة التنبيهات. الخيارات هي أنشطة النقل غير المصرح به التراكمي، وتشمل الأنشطة محتوى الأولوية، وأنشطة التسلسل، وتتضمن الأنشطة مجالات غير مسموح بها.

البحث في التنبيهات على لوحة معلومات التنبيه

للبحث في اسم التنبيه عن كلمة معينة، حدد عنصر تحكم "البحث" واكتب الكلمة للبحث. تعرض نتائج البحث أي تنبيه نهج يحتوي على الكلمة المحددة في البحث.

تجاهل تنبيهات متعددة (معاينة)

قد يساعد ذلك في توفير وقت الفرز للمحللين والباحثين لتجاهل التنبيهات المتعددة على الفور في وقت واحد. يسمح لك خيار شريط أوامر تجاهل التنبيهات بتحديد تنبيه واحد أو أكثر مع حالة مراجعة "الاحتياجات " على لوحة المعلومات وتجاهل هذه التنبيهات بسرعة على أنها غير لائقة كما هو مناسب في عملية الفرز. يمكنك تحديد ما يصل إلى 400 تنبيه لتجاهلها في وقت واحد.

لتجاهل تنبيه مخاطر من الداخل، أكمل الخطوات التالية:

  1. في مركز التوافق في Microsoft 365، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب «Alerts».
  2. في لوحة معلومات التنبيهات، حدد التنبيه (أو التنبيهات) مع حالة مراجعة الاحتياجات التي تريد تجاهلها.
  3. في شريط الأوامر Alerts، حدد Dismiss alerts.
  4. في جزء تفاصيل تجاهل التنبيهات ، يمكنك مراجعة تفاصيل المستخدم والنهج المقترنة بالتنبيهات المحددة.
  5. حدد "تجاهل التنبيهات " لحل التنبيهات كخبيثة أو حدد "إلغاء الأمر " لإغلاق جزء التفاصيل دون تجاهل التنبيهات.

تنبيهات الفرز

لفرز تنبيه مخاطر من الداخل، أكمل الخطوات التالية:

  1. في مركز التوافق في Microsoft 365، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب «Alerts».
  2. في لوحة معلومات التنبيهات، حدد التنبيه الذي تريد فرزه.
  3. في صفحة تفاصيل التنبيه ، يمكنك مراجعة معلومات حول التنبيه. يمكنك تأكيد التنبيه وإنشاء حالة جديدة، أو تأكيد التنبيه والإضافة إلى حالة موجودة، أو تجاهل التنبيه. تتضمن هذه الصفحة أيضا الحالة الحالية للتنبيه ومستوى خطورة مخاطر التنبيه، المدرج كعلوي أو متوسط أو منخفض. قد يزيد مستوى الخطورة أو يقل بمرور الوقت إذا لم يتم فرز التنبيه.

استخدم المقاطع وعلامات التبويب التالية في صفحة تفاصيل التنبيه للحصول على مزيد من المعلومات حول التنبيه:

مقطع الرأس/الملخص

يحتوي هذا القسم على معلومات عامة حول المستخدم والتنبيه. تتوفر هذه المعلومات للسياق أثناء مراجعة معلومات مفصلة حول النشاط المكتشف المضمن في التنبيه للمستخدم:

  • النشاط الذي أنشأ هذا التنبيه: يعرض أعلى نشاط مخاطر ومطابقة النهج خلال فترة تقييم النشاط التي أدت إلى إنشاء التنبيه.
  • حدث التشغيل: يعرض أحدث حدث تشغيل طالب النهج بالبدء في تعيين درجات المخاطر لنشاط المستخدم.
  • ملف تعريف المستخدم: يعرض معلومات عامة حول المستخدم المعين للتنبيه. إذا تم تمكين إخفاء الهوية، يتم إخفاء هوية اسم المستخدم وعنوان البريد الإلكتروني والاسم المستعار وحقول المؤسسة.
  • محفوظات تنبيه المستخدم: تعرض قائمة بالتنبيهات للمستخدم لآخر 30 يوما. يتضمن ارتباطا لعرض محفوظات التنبيه الكاملة للمستخدم.

جميع عوامل الخطر

تفتح علامة التبويب هذه ملخص عوامل الخطر لنشاط تنبيه المستخدم. يمكن أن تساعدك عوامل الخطر في تحديد مدى خطورة نشاط هذا المستخدم أثناء مراجعتك. تتضمن عوامل الخطر ملخصات ل:

  • أهم أنشطة النقل غير المصرح به: يعرض أنشطة النقل غير المصرح به مع أعلى عدد أو أحداث للتنبيه.
  • أنشطة النقل غير المصرح به التراكمية: تعرض الأحداث المقترنة بأنشطة النقل غير المصرح به التراكمي.
  • تسلسلات الأنشطة: يعرض الأنشطة المكتشفة المقترنة بتسلسلات المخاطر.
  • نشاط غير عادي لهذا المستخدم: يعرض أنشطة للمستخدم تعتبر غير عادية ومغادرة لأنشطته المعتادة.
  • محتوى الأولوية: يعرض الأنشطة المقترنة بمحتوى الأولوية.
  • المجالات غير مسموح بها: عرض أنشطة الأحداث المقترنة بالمجالات غير مسموح بها.
  • الوصول إلى سجل الحماية: عرض أنشطة الأحداث المقترنة بالوصول إلى سجلات الحماية.

باستخدام عوامل التصفية هذه، سترى فقط التنبيهات مع عوامل الخطر هذه، ولكن قد لا يقع النشاط الذي أنشأ تنبيها في أي من هذه الفئات. على سبيل المثال، قد يكون تم إنشاء تنبيه يحتوي على أنشطة تسلسل ببساطة لأن المستخدم نسخ ملفا إلى جهاز USB.

المحتوى المكتشف

يتضمن القسم الموجود في علامة التبويب "كافة عوامل الخطر " المحتوى المرتبط بأنشطة المخاطر للتنبيه ويلخص أحداث النشاط حسب المناطق الرئيسية. يؤدي تحديد ارتباط نشاط إلى فتح مستكشف النشاط وعرض المزيد من التفاصيل حول النشاط.

مستكشف النشاط

تفتح علامة التبويب هذه مستكشف النشاط. لمزيد من المعلومات، راجع المقطع "مستكشف النشاط" في هذه المقالة.

نشاط المستخدم

يعد مخطط نشاط المستخدم أحد أقوى الأدوات لتحليل المخاطر الداخلية والتحقيق فيها للتنبيهات والحالات في حل إدارة المخاطر الداخلية. تم تنظيم علامة التبويب هذه لتمكين المراجعة السريعة لجميع الأنشطة للمستخدم، بما في ذلك مخطط زمني تاريخي لكافة التنبيهات وتفاصيل التنبيه و درجة المخاطر الحالية للمستخدم وتسلسل أحداث المخاطر.

نشاط مستخدم إدارة المخاطر الداخلية.

  1. عوامل تصفية الوقت: افتراضيا، الأشهر الثلاثة الأخيرة من الأنشطة المعروضة في مخطط نشاط المستخدم. يمكنك بسهولة تصفية طريقة عرض المخطط عن طريق تحديد علامات التبويب 6 أشهر أو 3 أشهر أو شهر على المخطط الفقاعي.

  2. نشاط تنبيه المخاطر وتفاصيله: يتم عرض أنشطة المخاطر بشكل مرئي على شكل فقاعات ملونة في مخطط نشاط المستخدم. يتم إنشاء الفقاعات لفئات مختلفة من المخاطر و. حدد فقاعة لعرض تفاصيل كل نشاط مخاطر. تتضمن التفاصيل ما يلي:

    • تاريخ نشاط الخطر.
    • فئة نشاط المخاطر. على سبيل المثال، البريد الإلكتروني (البريد الإلكتروني) الذي يحتوي على مرفقات مرسلة خارج المؤسسة أو ملف (ملفات) تم تنزيله من SharePoint Online.
    • درجة المخاطر للتنبيه. هذه النتيجة هي النتيجة العددية لمستوى خطورة مخاطر التنبيه.
    • عدد الأحداث المقترنة بالتنبيه. تتوفر أيضا ارتباطات لكل ملف أو بريد إلكتروني مقترن بنشاط المخاطر.

  3. عوامل التصفية والفرز (معاينة):

    • فئة المخاطر: تصفية الأنشطة حسب فئات المخاطر التالية: الأنشطة ذات درجات المخاطر > 15 (إلا في تسلسل) وأنشطة التسلسل.
    • نوع النشاط: تصفية الأنشطة حسب الأنواع التالية: الوصول والحذف والمجموعة والاختراق والتسريب والتعتيم والأمان.
    • فرز حسب: سرد أنشطة المخطط الزمني حسب التاريخ الذي حدث أو درجة المخاطر.

  4. تسلسل المخاطر (معاينة): الترتيب الزمني للأنشطة الخطرة هو جانب مهم من جوانب التحقيق في المخاطر وتحديد هذه الأنشطة ذات الصلة هو جزء مهم من تقييم المخاطر الشاملة لمؤسستك. يتم عرض أنشطة التنبيه ذات الصلة بخطوط الاتصال لتسليط الضوء على أن هذه الأنشطة مقترنة بمنطقة مخاطر أكبر. يمكن أن تساعد طريقة العرض هذه للأنشطة المحققين حرفيا على "توصيل النقاط" لأنشطة المخاطر التي كان يمكن رؤيتها على أنها أحداث معزولة أو لمرة واحدة. حدد أي فقاعة في التسلسل لعرض تفاصيل جميع أنشطة المخاطر المرتبطة. تتضمن التفاصيل ما يلي:

    • اسم التسلسل.
    • نطاق التاريخ أو التاريخ للتسلسل.
    • درجة المخاطر للتسلسل. هذه النتيجة هي النتيجة العددية لتسلسل مستويات خطورة مخاطر التنبيه المدمجة لكل نشاط ذي صلة في التسلسل.
    • عدد الأحداث المقترنة بكل تنبيه في التسلسل. تتوفر أيضا ارتباطات لكل ملف أو بريد إلكتروني مقترن بكل نشاط مخاطر.
    • إظهار الأنشطة بالتسلسل. يعرض التسلسل كسطر تمييز على المخطط الفقاعي ويوسع تفاصيل التنبيه لعرض جميع التنبيهات ذات الصلة في التسلسل.

  5. وسيلة إيضاح نشاط المخاطر: عبر الجزء السفلي من مخطط نشاط المستخدم، تساعدك وسيلة الإيضاح التي تم ترميزها بالألوان على تحديد فئة المخاطر لكل تنبيه بسرعة.

  6. ترتيب نشاط المخاطر: يتم سرد التسلسل الزمني الكامل لجميع تنبيهات المخاطر المرتبطة بالحالة، بما في ذلك جميع التفاصيل المتوفرة في فقاعة التنبيه المقابلة.

  7. إجراءات الحالة: تتوفر خيارات لحل الحالة على شريط أدوات إجراء الحالة. عند العرض في حالة ما، يمكنك حل حالة ما أو إرسال إشعار بالبريد الإلكتروني إلى المستخدم أو تصعيد الحالة للحصول على بيانات أو تحقيق المستخدم.

مستكشف النشاط

ملاحظة

يتوفر مستكشف النشاط في منطقة إدارة التنبيه للمستخدمين الذين لديهم أحداث تشغيل بعد توفر هذه الميزة في مؤسستك.

يوفر مستكشف النشاط لمحققي المخاطر والمحللين أداة تحليلية شاملة توفر معلومات مفصلة حول التنبيهات. باستخدام مستكشف النشاط، يمكن للمراجعين مراجعة مخطط زمني للنشاط الخطر المكتشف بسرعة وتحديد جميع أنشطة المخاطر المرتبطة بالتنبيهات وتصفيتها.

لتصفية التنبيهات على مستكشف النشاط للحصول على معلومات العمود، حدد عنصر تحكم عامل التصفية. يمكنك تصفية التنبيهات حسب سمة واحدة أو أكثر مدرجة في جزء التفاصيل للتنبيه. يدعم مستكشف النشاط أيضا أعمدة قابلة للتخصيص لمساعدة المحققين والمحللين على تركيز لوحة المعلومات على المعلومات الأكثر أهمية بالنسبة إليهم.

استخدم نطاق النشاط وعوامل تصفية رؤى المخاطر لعرض الأنشطة والرؤى وفرزها للمناطق التالية.

  • عوامل تصفية نطاق النشاط: تصفية كافة الأنشطة المسجلة للمستخدم.

    • كافة الأنشطة المسجلة لهذا المستخدم
    • النشاط المسجل فقط في هذا التنبيه

  • عوامل تصفية عوامل الخطر: عوامل التصفية لنشاط عامل الخطر المطبقة على جميع النهج التي تعين درجات المخاطر، وهذا يشمل جميع الأنشطة لجميع النهج للمستخدمين داخل النطاق.

    • نشاط غير عادي
    • تضمين الأحداث ذات محتوى الأولوية
    • تضمين أحداث ذات مجال غير مسموح به
    • أنشطة التسلسل
    • أنشطة النقل غير المصرح به التراكمية
    • أنشطة الوصول إلى سجل الحماية

نظرة عامة على مستكشف أنشطة إدارة المخاطر من Insider.

لاستخدام مستكشف النشاط، أكمل الخطوات التالية:

  1. في مركز التوافق في Microsoft 365، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب «Alerts».
  2. في لوحة معلومات التنبيهات، حدد التنبيه الذي تريد فرزه.
  3. في جزء تفاصيل التنبيهات، حدد "فتح طريقة عرض موسعة".
  4. في صفحة التنبيه المحدد، حدد علامة التبويب "مستكشف النشاط ".

عند مراجعة الأنشطة في مستكشف النشاط، يمكن للتحقق والمحللين تحديد نشاط معين وفتح جزء تفاصيل النشاط. يعرض الجزء معلومات مفصلة حول النشاط الذي يمكن للتحقق والمحللين استخدامه أثناء عملية فرز التنبيه. قد توفر المعلومات التفصيلية سياقا للتنبيه وتساعد في تحديد النطاق الكامل لنشاط المخاطر الذي أدى إلى التنبيه.

عند تحديد أحداث نشاط من المخطط الزمني للنشاط، قد لا يتطابق عدد الأنشطة المعروضة في المستكشف مع عدد أحداث النشاط المدرجة في المخطط الزمني. أمثلة على سبب حدوث هذا الاختلاف:

  • الكشف التراكمي عن النقل غير المصرح به: يحلل الكشف التراكمي عن النقل غير المصرح به سجلات الأحداث، ولكنه يطبق نموذجا يتضمن إلغاء تكرار الأنشطة المماثلة لحساب مخاطر النقل غير المصرح به التراكمي. بالإضافة إلى ذلك، قد يكون هناك أيضا اختلاف في عدد الأنشطة المعروضة في مستكشف النشاط إذا قمت بإجراء تغييرات على النهج أو الإعدادات الموجودة. على سبيل المثال، إذا قمت بتعديل المجالات المسموح بها/غير المسموح بها أو إضافة استثناءات نوع ملف جديدة بعد إنشاء نهج وتطابقات النشاط، فستختلف أنشطة الكشف عن النقل غير المصرح به التراكمية عن النتائج قبل تغيير النهج أو الإعدادات. تستند إجماليات أنشطة الكشف عن النقل غير المصرح به التراكمية إلى تكوين النهج والإعدادات في وقت الحساب ولا تتضمن أنشطة قبل تغييرات النهج والإعدادات
  • رسائل البريد الإلكتروني إلى المستلمين الخارجيين: يتم تعيين درجة مخاطرة لنشاط رسائل البريد الإلكتروني المرسلة إلى مستلمين خارجيين استنادا إلى عدد رسائل البريد الإلكتروني المرسلة، والتي قد لا تتطابق مع سجلات أحداث النشاط.

تفاصيل مستكشف نشاط إدارة المخاطر من Insider.

إنشاء حالة لتنبيه

عند مراجعة التنبيه وفرزه، يمكنك إنشاء حالة جديدة لمزيد من التحقيق في نشاط المخاطر. لإنشاء حالة تنبيه، اتبع الخطوات التالية:

  1. في مركز التوافق في Microsoft 365، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب «Alerts».
  2. في لوحة معلومات التنبيهات، حدد التنبيه الذي تريد تأكيده وقم بإنشاء حالة جديدة له.
  3. في جزء تفاصيل التنبيهات، حدد تنبيهات ActionsConfirm > & إنشاء حالة.
  4. في التنبيه "تأكيد" وإنشاء مربع حوار حالة المخاطر الداخلية، أدخل اسما للحالة، وحدد المستخدمين لإضافتها كمساهمين، وأضف تعليقات حسب الاقتضاء. تتم إضافة التعليقات تلقائيا إلى الحالة كملاحظة حالة.
  5. حدد "إنشاء حالة" لإنشاء حالة جديدة أو حدد "إلغاء الأمر" لإغلاق مربع الحوار دون إنشاء حالة.

بعد إنشاء الحالة، يمكن للباحثين والمحللين إدارة الحالة والعمل عليها. لمزيد من المعلومات، راجع مقالة حالة إدارة المخاطر في Insider .

حدود الاستبقاء والعنصر

مع تقدم تنبيهات إدارة المخاطر الداخلية، تقل قيمتها لتقليل النشاط المحفو بالخطر لمعظم المؤسسات. وعلى العكس من ذلك، فإن الحالات النشطة والبيانات الاصطناعية المرتبطة بها (التنبيهات والرؤى والأنشطة) دائما ما تكون ذات قيمة للمؤسسات ويجب ألا يكون لها تاريخ انتهاء صلاحية تلقائي. يتضمن ذلك كافة التنبيهات والبيانات الاصطناعية المستقبلية في حالة نشطة لأي مستخدم مقترن بحالة نشطة.

للمساعدة في تقليل عدد العناصر القديمة التي توفر قيمة حالية محدودة، تنطبق الاستبقاء والحدود التالية على تنبيهات إدارة المخاطر الداخلية والحالات وتقارير نشاط المستخدم:

البند الاستبقاء/الحد
التنبيهات مع حالة مراجعة الاحتياجات 120 يوما من إنشاء التنبيه، ثم يتم حذفه تلقائيا
الحالات النشطة (والبيانات الاصطناعية المرتبطة بها) الاحتفاظ غير المحدد، لا تنتهي صلاحيته أبدا
الحالات التي تم حلها (والبيانات الاصطناعية المقترنة بها) 120 يوما من حل الحالة، ثم يتم حذفها تلقائيا
الحد الأقصى لعدد الحالات النشطة 100
تقارير أنشطة المستخدم 120 يوما من الكشف عن النشاط، ثم حذفه تلقائيا

الحصول على المساعدة في إدارة قائمة انتظار تنبيه المخاطر الداخلية

تعد المراجعة والتحقيق والعمل على تنبيهات المخاطر الداخلية جزءا مهما من تقليل المخاطر الداخلية في مؤسستك. من المحتمل أن يؤدي اتخاذ إجراء سريع لتقليل تأثير هذه المخاطر إلى توفير الوقت والمال والعواقب التنظيمية أو القانونية لمؤسستك. في عملية المعالجة هذه، يمكن أن تبدو الخطوة الأولى لمراجعة التنبيهات مثل المهمة الأكثر صعوبة للعديد من المحللين والباحثين. اعتمادا على ظروفك، قد تواجه بعض العقبات البسيطة عند العمل على تنبيهات المخاطر الداخلية. راجع التوصيات التالية وتعلم كيفية تحسين عملية مراجعة التنبيه.

عدد كبير جدا من التنبيهات التي لا يمكن مراجعتها

قد يكون الشعور بالإحباط بسبب عدد التنبيهات التي تنتجها نهج إدارة المخاطر الداخلية الخاصة بك أمرا محبطا. يمكن معالجة عدد التنبيهات بسرعة بخطوات بسيطة، اعتمادا على أنواع وحدة تخزين التنبيه التي تتلقاها. قد تتلقى عددا كبيرا جدا من التنبيهات الصالحة أو أن لديك الكثير من التنبيهات منخفضة المخاطر. خذ بعين الاعتبار اتخاذ الإجراءات التالية:

  • ضبط نهج المخاطر الداخلية الخاصة بك: تحديد وتكوين نهج المخاطر الصحيح من الداخل هو الأسلوب الأساسي لمعالجة نوع وحجم التنبيهات. يساعد البدء بقالب النهج المناسب على تركيز أنواع أنشطة المخاطر والتنبيهات التي ستراها. العوامل الأخرى التي قد تؤثر على حجم التنبيه هي حجم المستخدم والمجموعات داخل النطاق والمحتوى والقنوات التي يتم ترتيب أولوياتها. ضع في اعتبارك ضبط النهج لتحسين هذه المجالات بما هو أكثر أهمية لمؤسستك.
  • تعديل إعدادات المخاطر الداخلية: تتضمن إعدادات المخاطر الداخلية مجموعة واسعة من خيارات التكوين التي يمكن أن تؤثر على حجم وأنواع التنبيهات التي ستتلقىها. وتشمل هذه الإعدادات لمؤشرات النهج وحدود المؤشرات والأطر الزمنية للنهج. ضع في اعتبارك تكوين خيارات الكشف الذكية لاستبعاد أنواع ملفات معينة، وتحديد الحد الأدنى قبل الإبلاغ عن تنبيهات النشاط بواسطة نهجك، وتغيير تكوين وحدة تخزين التنبيه إلى إعداد أقل.
  • الحذف المجمع للتنبيهات عند الاقتضاء: قد يساعد ذلك في توفير وقت الفرز للمحللين والباحثين لتجاهل التنبيهات المتعددة على الفور في وقت واحد. يمكنك تحديد ما يصل إلى 400 تنبيه لتجاهلها في وقت واحد.

غير على دراية بعملية فرز التنبيه

يعد التحقيق في التنبيهات والعمل عليها في إدارة المخاطر الداخلية أمرا بسيطا:

  1. راجع لوحة معلومات التنبيه للتنبيهات مع مراجعة حالة الاحتياجات. قم بالتصفية حسب حالة التنبيه إذا لزم الأمر للمساعدة في تحديد موقع هذه الأنواع من التنبيهات.
  2. ابدأ بالتنبيهات ذات الخطورة القصوى. قم بالتصفية حسب خطورة التنبيه إذا لزم الأمر للمساعدة في تحديد موقع هذه الأنواع من التنبيهات.
  3. حدد تنبيها لاكتشاف المزيد من المعلومات ومراجعة تفاصيل التنبيه. إذا لزم الأمر، استخدم مستكشف النشاط لمراجعة مخطط زمني للسلوك المحفوب بالمخاطر المقترن وتحديد جميع أنشطة المخاطر للتنبيه.
  4. التصرف وفقا للتنبيه. يمكنك إما تأكيد وإنشاء حالة للتنبيه أو تجاهل التنبيه وحله.

قيود الموارد في مؤسستي

غالبا ما يكون لدى مستخدمي مكان العمل الحديث مجموعة واسعة من المسؤوليات والطلبات في وقتهم. هناك العديد من الإجراءات التي يمكنك اتخاذها للمساعدة في معالجة قيود الموارد:

  • ركز جهود المحلل والمحقق على أعلى تنبيهات المخاطر أولا. اعتمادا على سياساتك، قد تسجل الأنشطة وتولد تنبيهات بدرجات متفاوتة من التأثير المحتمل على جهود التخفيف من المخاطر. تصفية التنبيهات حسب الخطورة وتحديد أولويات التنبيهات عالية الخطورة .
  • تعيين المستخدمين كمحللين وحققين. يعد تعيين المستخدم المناسب للأدوار المناسبة جزءا مهما من عملية مراجعة تنبيه المخاطر الداخلية. تأكد من تعيين المستخدمين المناسبين إلى محللي إدارة المخاطر في Insider ومجموعات دور محققي إدارة المخاطر في Insider .
  • استخدم ميزات المخاطر الداخلية التلقائية للمساعدة في اكتشاف الأنشطة الأكثر خطورة. يمكن أن تساعدك ميزات الكشف عن تسلسل إدارة المخاطر الداخلية والكشف التراكمي عن النقل غير المصرح به في اكتشاف صعوبة العثور على المخاطر في مؤسستك بسرعة. ضع في اعتبارك ضبط محسنات درجة المخاطر واستثناءات نوع الملف والمجالات والحد الأدنى لإعدادات حد المؤشر لنهجك.