الملاحظات

حالات إدارة المخاطر الداخلية

  • مقالة
  • قراءة خلال 11 دقائق

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

الحالات هي جوهر إدارة المخاطر الداخلية وتسمح لك بالتحقيق العميق والعمل على المشكلات الناتجة عن مؤشرات المخاطر المحددة في سياساتك. يتم إنشاء الحالات يدويا من التنبيهات في الحالات التي تكون فيها هناك حاجة إلى إجراء إضافي لمعالجة مشكلة تتعلق بالامتثال للمستخدم. يتم تحديد نطاق كل حالة إلى مستخدم واحد ويمكن إضافة تنبيهات متعددة للمستخدم إلى حالة موجودة أو إلى حالة جديدة.

بعد التحقق من تفاصيل الحالة، يمكنك اتخاذ إجراء من خلال:

  • إرسال إشعار للمستخدم
  • حل الحالة كأحرف غير ضارة
  • مشاركة الحالة مع مثيل ServiceNow أو مع مستلم بريد إلكتروني
  • تصعيد الحالة لتحقيق eDiscovery (Premium)

راجع فيديو Insider Risk Management Investigation and Escalation للحصول على نظرة عامة حول كيفية التحقيق في الحالات وإدارتها في إدارة المخاطر الداخلية.

لوحة معلومات الحالات

تتيح لك لوحة معلومات حالات إدارة المخاطر الداخلية عرض الحالات والعمل عليها. يعرض كل عنصر واجهة مستخدم تقرير على لوحة المعلومات معلومات لآخر 30 يوما.

  • الحالات النشطة: العدد الإجمالي للحالات النشطة قيد التحقيق.
  • الحالات خلال ال 30 يوما الماضية: إجمالي عدد الحالات التي تم إنشاؤها، والتي تم فرزها حسب الحالة النشطة والمغلقة .
  • الإحصائيات: متوسط وقت الحالات النشطة المدرجة بالساعات أو الأيام أو الأشهر.

تسرد قائمة انتظار الحالة جميع الحالات النشطة والمغلقة لمؤسستك، بالإضافة إلى الحالة الحالية لسمات الحالة التالية:

  • اسم الحالة: اسم الحالة، الذي يتم تعريفه عند تأكيد تنبيه وإنشاء الحالة.
  • الحالة: حالة الحالة، إما نشطة أو مغلقة.
  • المستخدم: المستخدم للحالة. إذا تم تمكين إخفاء هوية المستخدمين، يتم عرض معلومات مجهولة المصدر.
  • تم فتح حالة الوقت: الوقت الذي انقضى منذ فتح الحالة.
  • إجمالي تنبيهات النهج: عدد تطابقات النهج المضمنة في الحالة. قد يزيد هذا العدد إذا تمت إضافة تنبيهات جديدة إلى الحالة.
  • تاريخ آخر تحديث لحالة الأحرف: الوقت الذي مر منذ أن تمت إضافة ملاحظة حالة أو تغيير في حالة الحالة.
  • تاريخ التحديث الأخير: اسم محلل إدارة المخاطر الداخلية أو المحقق الذي قام بآخر تحديث للحالة.

لوحة معلومات حالات إدارة المخاطر من Insider.

استخدم عنصر التحكم Search للبحث في أسماء حالات الأحرف عن نص معين واستخدم عامل تصفية الحالة لفرز الحالات حسب السمات التالية:

  • حاله
  • تم فتح حالة الوقت وتاريخ البدء وتاريخ الانتهاء
  • تاريخ التحديث الأخير وتاريخ البدء والانتهاء

تصفية الحالات

اعتمادا على عدد ونوع نهج إدارة المخاطر الداخلية النشطة في مؤسستك، قد تكون مراجعة قائمة انتظار كبيرة من الحالات أمرا صعبا. يمكن أن يساعد استخدام عوامل تصفية الحالة المحللين والباحثين على فرز الحالات حسب العديد من السمات. لتصفية التنبيهات على لوحة معلومات الحالات، حدد عنصر تحكم عامل التصفية . يمكنك تصفية الحالات حسب سمة واحدة أو أكثر:

  • الحالة: حدد قيمة حالة واحدة أو أكثر لتصفية قائمة الحالات. الخيارات نشطة ومغلقة.
  • تم فتح حالة الوقت: حدد تاريخي البدء والانتهاء لوقت فتح الحالة.
  • تاريخ التحديث الأخير: حدد تاريخي البدء والانتهاء لوقت تحديث الحالة.

التحقيق في حالة

يعد إجراء تحقيق أعمق في تنبيهات إدارة المخاطر الداخلية أمرا بالغ الأهمية لاتخاذ الإجراءات التصحيحية المناسبة. حالات إدارة المخاطر الداخلية هي أداة الإدارة المركزية للتعمق في سجل نشاط مخاطر المستخدم وتفاصيل التنبيه وتسلسل أحداث المخاطر واستكشاف المحتوى والرسائل المعرضة للمخاطر. يستخدم محللو المخاطر والمحققون أيضا الحالات لإضفاء الطابع المركزي على ملاحظات المراجعة والملاحظات ومعالجة حل الحالة.

يؤدي تحديد حالة إلى فتح أدوات إدارة الحالة ويسمح للمحللين والباحثين بالتعمق في تفاصيل الحالات.

نظرة عامة على الحالة

تلخص علامة تبويب نظرة عامة على الحالة تفاصيل الحالة لمحللين ومحللي المخاطر. يتضمن المعلومات التالية في منطقة "حول هذه الحالة "

  • الحالة: الحالة الحالية للحالة، إما نشطة أو مغلقة.
  • تم إنشاء الحالة في: تاريخ ووقت إنشاء الحالة.
  • درجة مخاطر المستخدم: مستوى الخطر المحسوب الحالي للمستخدم للحالة. يتم حساب هذه النتيجة كل 24 ساعة وتستخدم درجات مخاطر التنبيه من جميع التنبيهات النشطة المقترنة بالمستخدم.
  • البريد الإلكتروني: الاسم المستعار للبريد الإلكتروني للمستخدم لحالة الأحرف.
  • المؤسسة أو القسم: المؤسسة أو القسم الذي تم تعيين المستخدم له.
  • اسم المدير: اسم مدير المستخدم.
  • البريد الإلكتروني للمدير: الاسم المستعار للبريد الإلكتروني لمدير المستخدم.

تفاصيل حالة إدارة المخاطر الداخلية.

تتضمن علامة تبويب نظرة عامة على الحالة أيضا قسم التنبيهات الذي يتضمن المعلومات التالية حول تنبيهات مطابقة النهج المقترنة بالحالة:

  • مطابقات النهج: اسم نهج إدارة المخاطر الداخلية المقترن بتنبيهات المطابقة لنشاط المستخدم.
  • الحالة: حالة التنبيه.
  • الخطورة: خطورة التنبيه.
  • الوقت المكتشف: الوقت الذي مر منذ إنشاء التنبيه.

التنبيهات

تلخص علامة التبويب Alerts التنبيهات الحالية المضمنة في الحالة. قد تتم إضافة تنبيهات جديدة إلى حالة موجودة وستتم إضافتها إلى قائمة انتظار التنبيه عند تعيينها. يتم سرد سمات التنبيه التالية في قائمة الانتظار:

  • حاله
  • شده
  • الوقت المكتشف

حدد تنبيها من قائمة الانتظار لعرض صفحة تفاصيل التنبيه .

استخدم عنصر تحكم البحث للبحث في أسماء التنبيهات عن نص معين واستخدم عامل تصفية التنبيه لفرز الحالات حسب السمات التالية:

  • حاله
  • شده
  • الوقت المكتشف وتاريخ البدء وتاريخ الانتهاء

استخدم عنصر تحكم عامل التصفية لتصفية التنبيهات حسب العديد من السمات، بما في ذلك:

  • الحالة: حدد قيمة حالة واحدة أو أكثر لتصفية قائمة التنبيهات. يتم تأكيد الخيارات وتجاهلها ومراجعة الاحتياجات وحلها.
  • الخطورة: حدد مستوى خطورة مخاطر تنبيه واحد أو أكثر لتصفية قائمة التنبيهات. الخيارات عالية ومتوسطة ومنخفضة.
  • الوقت المكتشف: حدد تاريخي البدء والانتهاء لوقت إنشاء التنبيه.
  • النهج: حدد نهجا واحدا أو أكثر لتصفية التنبيهات التي تم إنشاؤها بواسطة النهج المحددة.

نشاط المستخدم

تسمح علامة تبويب نشاط المستخدم لمحللين ومحققي المخاطر بمراجعة تفاصيل النشاط واستخدام تمثيل مرئي لجميع الأنشطة المرتبطة بتنبيهات وحالات المخاطر. على سبيل المثال، كجزء من عملية فرز التنبيه، قد يحتاج المحللون إلى مراجعة جميع أنشطة المخاطر المرتبطة بالحالة للحصول على مزيد من التفاصيل. في الحالات، يمكن لمحققي المخاطر مراجعة تفاصيل نشاط المستخدم والمخطط الفقاعي للمساعدة في فهم النطاق العام للأنشطة المرتبطة بالحالة. لمزيد من المعلومات حول مخطط نشاط المستخدم، راجع مقالة أنشطة إدارة المخاطر في Insider .

مستكشف النشاط (معاينة)

تسمح علامة التبويب "مستكشف النشاط " لمحللين ومحققي المخاطر بمراجعة تفاصيل النشاط المرتبطة بتنبيهات المخاطر. على سبيل المثال، كجزء من إجراءات إدارة الحالة، قد يحتاج المحققون والمحللو إلى مراجعة جميع أنشطة المخاطر المرتبطة بالحالة للحصول على مزيد من التفاصيل. باستخدام مستكشف النشاط، يمكن للمراجعين مراجعة مخطط زمني للنشاط الخطر المكتشف بسرعة وتحديد جميع أنشطة المخاطر المرتبطة بالتنبيهات وتصفيتها.

لمزيد من المعلومات حول مستكشف النشاط، راجع مقالة أنشطة إدارة المخاطر في Insider .

مستكشف المحتوى

تسمح علامة التبويب "مستكشف المحتوى " لمحققي المخاطر بمراجعة نسخ جميع الملفات الفردية ورسائل البريد الإلكتروني المرتبطة بتنبيهات المخاطر. على سبيل المثال، إذا تم إنشاء تنبيه عندما يقوم المستخدم بتنزيل مئات الملفات من SharePoint Online وكان النشاط يشغل تنبيه نهج، يتم التقاط جميع الملفات التي تم تنزيلها للتنبيه ونسخها إلى حالة إدارة المخاطر الداخلية من مصادر التخزين الأصلية.

مستكشف المحتوى هو أداة قوية مع ميزات البحث والتصفية الأساسية والمتقدمة. لمعرفة المزيد حول استخدام مستكشف المحتوى، راجع مستكشف محتوى إدارة المخاطر ل Insider.

مستكشف محتوى حالة إدارة المخاطر من Insider.

ملاحظات الحالة

علامة التبويب "ملاحظات الحالة " في هذه الحالة هي المكان الذي يشارك فيه محللو المخاطر والمحققون التعليقات والملاحظات والرؤى حول عملهم في هذه الحالة. تعد الملاحظات إضافات دائمة لحالة ولا يمكن تحريرها أو حذفها بعد حفظ الملاحظة. عند إنشاء حالة من تنبيه، تتم إضافة التعليقات التي تم إدخالها في التنبيه "تأكيد" وإنشاء مربع حوار حالة المخاطر الداخلية تلقائيا كملاحظة حالة.

تعرض لوحة معلومات ملاحظات الحالة الملاحظات من قبل المستخدم الذي أنشأ الملاحظة والوقت الذي مر منذ حفظ الملاحظة. للبحث في حقل نص ملاحظة الحالة عن كلمة أساسية معينة، استخدم الزر "بحث" على لوحة معلومات الحالة وأدخل كلمة أساسية معينة.

لإضافة ملاحظة إلى حالة:

  1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب "الحالات".
  2. حدد حالة، ثم حدد علامة تبويب ملاحظات الحالة .
  3. حدد إضافة ملاحظة حالة.
  4. في مربع الحوار "إضافة ملاحظة حالة "، اكتب الملاحظة لحالة الأحرف. حدد "حفظ" لإضافة الملاحظة إلى الحالة أو حدد "إلغاء الأمر" بدون حفظ الملاحظة في الحالة.

المساهمين

علامة التبويب "المساهمون " في هذه الحالة هي المكان الذي يمكن فيه لمحللين ومحققي المخاطر إضافة مراجعين آخرين إلى الحالة. بشكل افتراضي، يتم سرد جميع المستخدمين الذين عينوا محللي إدارة المخاطر في Insider وأدوار محققي إدارة المخاطر في Insider كمساهمين لكل حالة نشطة ومغلقة. فقط المستخدمون الذين تم تعيين دورهم في Insider Risk Management، لديهم الإذن لعرض الملفات والرسائل في مستكشف المحتوى.

يمكن منح حق الوصول المؤقت إلى حالة عن طريق إضافة مستخدم كمساهم. يتمتع المساهمون بجميع التحكم في إدارة الحالة على حالة معينة باستثناء:

  • إذن لتأكيد التنبيهات أو تجاهلها
  • إذن لتحرير المساهمين للحالات
  • إذن لعرض الملفات والرسائل في مستكشف المحتوى

لإضافة مساهم إلى حالة:

  1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب "الحالات".
  2. حدد حالة، ثم حدد علامة التبويب "المساهمون ".
  3. حدد إضافة مساهم.
  4. في مربع الحوار "إضافة مساهم "، ابدأ بكتابة اسم المستخدم الذي تريد إضافته ثم حدد المستخدم من قائمة المستخدمين المقترحة. يتم إنشاء هذه القائمة من Azure Active Directory لاشتراك المستأجر الخاص بك.
  5. حدد "إضافة" لإضافة المستخدم كمساهم أو حدد "إلغاء الأمر" لإغلاق مربع الحوار دون إضافة المستخدم كمساهم.

إجراءات الحالة

يمكن لمحققي المخاطر اتخاذ إجراء بشأن حالة بإحدى الطرق المتعددة، اعتمادا على خطورة الحالة، وتاريخ مخاطر المستخدم، وإرشادات المخاطر الخاصة بمؤسستك. في بعض الحالات، قد تحتاج إلى تصعيد حالة إلى مستخدم أو تحقيق بيانات للتعاون مع مناطق أخرى من مؤسستك والتعمق في أنشطة المخاطر. تتكامل إدارة المخاطر الداخلية بإحكام مع حلول Microsoft Purview الأخرى لمساعدتك في إدارة الحل الشامل.

إرسال إشعار بالبريد الإلكتروني

في معظم الحالات، تكون إجراءات المستخدم التي تنشئ تنبيهات المخاطر الداخلية غير مقصودة أو عرضية. يعد إرسال إشعار تذكير إلى المستخدم عبر البريد الإلكتروني طريقة فعالة لتوثيق مراجعة الحالة والإجراءات، وهو طريقة لتذكير المستخدمين بنهج الشركة أو توجيههم إلى التدريب المحدث. يتم إنشاء الإشعارات من قوالب الإشعارات التي تقوم بإنشائها للبنية الأساسية لإدارة المخاطر الداخلية.

من المهم أن تتذكر أن إرسال إشعار بريد إلكتروني إلى مستخدم not_ يحل الحالة كما _Closed. في بعض الحالات، قد ترغب في ترك حالة مفتوحة بعد إرسال إشعار إلى مستخدم للبحث عن المزيد من أنشطة المخاطر دون فتح حالة جديدة. إذا كنت تريد حل حالة بعد إرسال إشعار، يجب تحديد "حل حالة الأحرف " كخطوة متابعة بعد إرسال إشعار.

لإرسال إشعار إلى المستخدم المعين لحالة:

  1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب "الحالات".
  2. حدد حالة، ثم حدد الزر "إرسال إشعار بالبريد الإلكتروني " على شريط أدوات إجراء الحالة.
  3. في مربع الحوار "إرسال إشعار بالبريد الإلكتروني "، حدد عنصر التحكم " اختيار قالب إشعار " المنسدلة لتحديد قالب الإشعار للإشعار. يقوم هذا التحديد بتعبئة الحقول الأخرى مسبقا في الإشعار.
  4. راجع حقول الإشعار وقم بالتحديث حسب الاقتضاء. ستتجاوز القيم المدخلة هنا القيم الموجودة في القالب.
  5. حدد "إرسال " لإرسال الإشعار إلى المستخدم أو حدد "إلغاء الأمر" لإغلاق مربع الحوار دون إرسال الإشعار إلى المستخدم. تتم إضافة جميع الإشعارات المرسلة إلى قائمة انتظار ملاحظات الحالة على لوحة معلومات ملاحظات الحالة .

تصعيد للتحقيق

تصعيد الحالة للتحقيق في المستخدم في الحالات التي تكون فيها هناك حاجة إلى مراجعة قانونية إضافية لنشاط مخاطر المستخدم. يؤدي هذا التصعيد إلى فتح حالة eDiscovery جديدة Microsoft Purview (Premium) في مؤسستك Microsoft 365. يوفر eDiscovery (Premium) سير عمل من طرف إلى طرف للحفاظ على المحتوى الذي يستجيب للتحقيقات القانونية الداخلية والخارجية لمؤسستك وجمعه ومراجعته وتحليله وتصديره. كما يتيح لفريقك القانوني إدارة سير عمل إعلام الاحتجاز القانوني بأكمله للتواصل مع أمناء الحفظ المعنيين بقضية ما. يساعد التصعيد إلى حالة eDiscovery (Premium) من حالة إدارة المخاطر الداخلية فريقك القانوني على اتخاذ الإجراء المناسب وإدارة الاحتفاظ بالمحتوى. لمعرفة المزيد حول حالات eDiscovery (Premium)، راجع نظرة عامة على Microsoft Purview eDiscovery (Premium).

لتصعيد الحالة إلى تحقيق مستخدم:

  1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب "الحالات".
  2. حدد حالة، ثم حدد الزر "تصعيد للتحقيق " على شريط أدوات إجراء الحالة.
  3. في مربع الحوار "تصعيد للتحقيق "، أدخل اسما لتحقيق المستخدم الجديد. إذا لزم الأمر، أدخل ملاحظات حول الحالة وحدد Escalate.
  4. راجع حقول الإشعار وقم بالتحديث حسب الاقتضاء. ستتجاوز القيم المدخلة هنا القيم الموجودة في القالب.
  5. حدد "تأكيد " لإنشاء حالة تحقيق المستخدم أو حدد "إلغاء الأمر" لإغلاق مربع الحوار دون إنشاء حالة تحقيق مستخدم جديدة.

بعد تصعيد حالة إدارة المخاطر الداخلية إلى حالة تحقيق مستخدم جديدة، يمكنك مراجعة الحالة الجديدة في منطقة eDiscoveryAdvanced > في مدخل التوافق في Microsoft Purview.

تشغيل المهام التلقائية مع تدفقات Power Automate للحالة

باستخدام تدفقات Power Automate الموصى بها، يمكن لمحققي المخاطر والمحللين اتخاذ إجراءات بسرعة من أجل:

  • طلب معلومات من الموارد البشرية أو العمل حول مستخدم في حالة مخاطر من الداخل
  • إعلام المدير عندما يكون لدى المستخدم تنبيه مخاطر من الداخل
  • إنشاء سجل لحالة إدارة المخاطر الداخلية في ServiceNow
  • إعلام المستخدمين عند إضافتهم إلى نهج المخاطر الداخلية

لتشغيل تدفقات Power Automate أو إدارتها أو إنشاؤها لحالة إدارة المخاطر الداخلية:

  1. حدد Automate على شريط أدوات إجراء الحالة.
  2. اختر تدفق Power Automate للتشغيل، ثم حدد Run flow.
  3. بعد اكتمال التدفق، حدد «Done».

لمعرفة المزيد حول تدفقات Power Automate لإدارة المخاطر الداخلية، راجع بدء استخدام إعدادات إدارة المخاطر الداخلية.

عرض فريق Microsoft Teams لحالة الأحرف أو إنشاؤه

عند تمكين تكامل Microsoft Teams لإدارة المخاطر الداخلية في الإعدادات، يتم إنشاء فريق Microsoft Teams تلقائيا في كل مرة يتم فيها تأكيد تنبيه وإنشاء حالة. يمكن لمحققي المخاطر والمحللين فتح Microsoft Teams بسرعة والانتقال مباشرة إلى الفريق لحالة ما عن طريق تحديد عرض Microsoft Teams الفريق على شريط أدوات إجراءات الحالة.

بالنسبة للحالات التي يتم فتحها قبل تمكين تكامل فريق Microsoft، يمكن لمحققي المخاطر والمحللين إنشاء فريق Microsoft Teams جديد لحالة ما عن طريق تحديد إنشاء فريق Microsoft Teams على شريط أدوات إجراءات الحالة.

عند حل حالة ما، سيتم أرشفة فريق Microsoft المقترن تلقائيا (مخفي وتحويله إلى للقراءة فقط).

لمعرفة المزيد حول Microsoft Teams لإدارة المخاطر الداخلية، راجع بدء استخدام إعدادات إدارة المخاطر الداخلية.

حل الحالة

بعد أن يكمل محللو المخاطر والمحققون مراجعتهم والتحقيق فيهم، يمكن حل الحالة للعمل على جميع التنبيهات المضمنة حاليا في الحالة. يؤدي حل الحالة إلى إضافة تصنيف حل، وتغيير حالة الحالة إلى مغلقة، وتتم إضافة أسباب إجراء الحل تلقائيا إلى قائمة انتظار ملاحظات الحالة على لوحة معلومات ملاحظات الحالة . يتم حل الحالات إما على النحو:

  • غير ضار: تصنيف الحالات التي يتم فيها تقييم تنبيهات مطابقة النهج على أنها منخفضة المخاطر أو غير خطيرة أو إيجابية خاطئة.
  • انتهاك النهج المؤكد: تصنيف الحالات التي يتم فيها تقييم تنبيهات مطابقة النهج على أنها خطرة أو خطيرة أو نتيجة لنوايا ضارة.

لحل حالة ما:

  1. في مدخل التوافق في Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد علامة التبويب "الحالات".
  2. حدد حالة، ثم حدد الزر "حل حالة الأحرف" على شريط أدوات إجراء الحالة.
  3. في مربع الحوار "حل حالة الأحرف"، حدد " حل كعنصر تحكم قائمة منسدلة" لتحديد تصنيف الحل لحالة الأحرف. الخيارات غير ضارة أو تم تأكيد انتهاك النهج.
  4. في مربع الحوار "حل حالة الأحرف "، أدخل أسباب تصنيف الحل في الحقل النصي "الإجراء المتخذ ".
  5. حدد "حل " لإغلاق الحالة أو حدد "إلغاء الأمر" لإغلاق مربع الحوار دون حل الحالة.