الملاحظات

بدء استخدام إعدادات إدارة المخاطر الداخلية

  • مقالة
  • قراءة خلال 46 دقائق

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

تنطبق إعدادات إدارة المخاطر الداخلية على جميع نهج إدارة المخاطر الداخلية، بغض النظر عن القالب الذي تختاره عند إنشاء نهج. يتم تكوين الإعدادات باستخدام عنصر تحكم إعدادات مخاطر Insider الموجود في أعلى جميع صفحات إدارة المخاطر الداخلية. تتحكم هذه الإعدادات في مكونات النهج للمجالات التالية:

قبل البدء وإنشاء نهج إدارة المخاطر الداخلية، من المهم فهم هذه الإعدادات واختيار مستويات الإعدادات الأفضل لاحتياجات التوافق لمؤسستك.

الخصوصية

يعد حماية خصوصية المستخدمين الذين لديهم تطابقات في النهج أمرا مهما ويمكن أن يساعد في تعزيز الموضوعية في مراجعات التحقيق في البيانات وتحليلها لتنبيهات المخاطر الداخلية. بالنسبة للمستخدمين الذين لديهم تطابق في نهج المخاطر الداخلية، يمكنك اختيار أحد الإعدادات التالية:

  • إظهار إصدارات مجهولة الهوية من أسماء المستخدمين: يتم إخفاء هوية أسماء المستخدمين لمنع المسؤولين ومحققي البيانات والمراجعين من رؤية الأشخاص المرتبطين بتنبيهات النهج. على سبيل المثال، قد يظهر مستخدم 'Grace Taylor' باسم مستعار عشوائي مثل 'AnonIS8-988' في جميع مجالات تجربة إدارة المخاطر الداخلية. يؤدي اختيار هذا الإعداد إلى إخفاء هوية جميع المستخدمين الذين لديهم تطابقات النهج الحالية والسابقة وينطبق على كافة النهج. لن تتوفر معلومات ملف تعريف المستخدم في تنبيه المخاطر الداخلية وتفاصيل الحالة عند اختيار هذا الخيار. ومع ذلك، يتم عرض أسماء المستخدمين عند إضافة مستخدمين جدد إلى النهج الموجودة أو عند تعيين مستخدمين إلى نهج جديدة. إذا اخترت إيقاف تشغيل هذا الإعداد، فسيتم عرض أسماء المستخدمين لجميع المستخدمين الذين لديهم تطابقات النهج الحالية أو السابقة.

    هام

    للحفاظ على التكامل المرجعي للمستخدمين الذين لديهم تنبيهات أو حالات مخاطر من الداخل في Microsoft 365 أو أنظمة أخرى، لا يتم الاحتفاظ بإخفاء أسماء المستخدمين للتنبيهات المصدرة. ستعرض التنبيهات التي تم تصديرها أسماء المستخدمين لكل تنبيه.

  • لا تظهر إصدارات مجهولة الهوية من أسماء المستخدمين: يتم عرض أسماء المستخدمين لجميع تطابقات النهج الحالية والسابقة للتنبيهات والحالات. يتم عرض معلومات ملف تعريف المستخدم (الاسم والعنوان والاسم المستعار والمؤسسة أو القسم) للمستخدم لجميع تنبيهات إدارة المخاطر الداخلية وحالاتها.

إعدادات خصوصية إدارة المخاطر من Insider.

المؤشرات

تحدد قوالب نهج المخاطر الداخلية نوع أنشطة المخاطر التي تريد الكشف عنها والتحقيق فيها. يستند كل قالب نهج إلى مؤشرات محددة تتوافق مع مشغلات وأنشطة مخاطر محددة. يتم تعطيل جميع المؤشرات بشكل افتراضي، ويجب عليك تحديد مؤشر نهج واحد أو أكثر قبل تكوين نهج إدارة المخاطر الداخلية.

يتم تشغيل التنبيهات بواسطة النهج عندما يقوم المستخدمون بتنفيذ الأنشطة المتعلقة بمؤشرات النهج التي تلبي الحد المطلوب. تستخدم إدارة المخاطر الداخلية نوعين من المؤشرات:

  • تشغيل الأحداث: الأحداث التي تحدد ما إذا كان المستخدم نشطا في نهج إدارة المخاطر الداخلية. إذا تمت إضافة مستخدم إلى نهج إدارة المخاطر الداخلية لا يحتوي على حدث تشغيل، فلا يتم تقييم نشاط المستخدم بواسطة النهج. على سبيل المثال، تتم إضافة المستخدم A إلى نهج تم إنشاؤه من سرقة البيانات عن طريق مغادرة قالب نهج المستخدمين ويتم تكوين النهج وموصل الموارد البشرية Microsoft 365 بشكل صحيح. حتى يكون لدى المستخدم A تاريخ إنهاء تم الإبلاغ عنه من قبل موصل الموارد البشرية، لا يتم تقييم أنشطة المستخدم A من خلال نهج إدارة المخاطر الداخلية هذا للمخاطر. مثال آخر لحدث التشغيل هو إذا كان المستخدم لديه تنبيه نهج DLP عالي الخطورة عند استخدام نهج تسرب البيانات .
  • مؤشرات النهج: المؤشرات المضمنة في نهج إدارة المخاطر الداخلية المستخدمة لتحديد درجة المخاطر لمستخدم داخل النطاق. يتم تنشيط مؤشرات النهج هذه فقط بعد حدوث حدث تشغيل للمستخدم. بعض الأمثلة على مؤشرات النهج هي عندما يقوم المستخدم بنسخ البيانات إلى خدمات التخزين السحابية الشخصية أو أجهزة التخزين المحمولة، أو إذا تمت إزالة حساب مستخدم من Azure Active Directory، أو إذا كان المستخدم يشارك الملفات والمجلدات الداخلية مع جهات خارجية غير مصرح بها.

يمكن أيضا استخدام مؤشرات نهج معينة لتخصيص أحداث التشغيل لقوالب نهج معينة. عند تكوينها في معالج النهج لتسريبات البيانات العامة أو تسرب البيانات بواسطة قوالب المستخدمين ذات الأولوية ، تسمح لك هذه المؤشرات بمزيد من المرونة والتخصيص لنهجك وعندما يكون المستخدمون في نطاق نهج. بالإضافة إلى ذلك، يمكنك تحديد حدود النشاط الفردية لمؤشرات التشغيل هذه لمزيد من التحكم الدقيق في النهج.

يتم تقسيم مؤشرات النهج إلى المجالات التالية. يمكنك اختيار المؤشرات لتنشيط حدود أحداث المؤشر وتخصيصها لكل مستوى مؤشر عند إنشاء نهج مخاطر من الداخل:

  • مؤشرات Office: تتضمن مؤشرات النهج لمواقع SharePoint Microsoft Teams ومراسلة البريد الإلكتروني.
  • مؤشرات الجهاز: تتضمن مؤشرات النهج لنشاط مثل مشاركة الملفات عبر الشبكة أو مع الأجهزة. تتضمن المؤشرات الأنشطة التي تتضمن جميع أنواع الملفات، باستثناء نشاط الملفات القابلة للتنفيذ (.exe) ومكتبة الارتباطات الديناميكية (.dll). إذا قمت بتحديد مؤشرات الجهاز، تتم معالجة النشاط للأجهزة التي تحتوي على أجهزة Windows 10 الإصدار 1809 أو الإصدارات الأحدث وأجهزة macOS (Catalina 10.15 أو أحدث). بالنسبة إلى كل من أجهزة Windows وmacOS، يجب أولا إلحاق الأجهزة بمدخل التوافق. تتضمن مؤشرات الجهاز أيضا الكشف عن إشارة المستعرض لمساعدة مؤسستك على اكتشاف إشارات النقل غير المصرح به للعمل عليها للملفات غير القابلة للتنفيذ التي يتم عرضها أو نسخها أو مشاركتها أو طباعتها في Microsoft Edge وGoogle Chrome. لمزيد من المعلومات حول تكوين أجهزة Windows للتكامل مع المخاطر الداخلية، راجع قسم تمكين مؤشرات الجهاز والأجهزة Windows التالية في هذه المقالة. لمزيد من المعلومات حول تكوين أجهزة macOS للتكامل مع المخاطر الداخلية، راجع القسم التالي تمكين مؤشرات الجهاز وأجهزة macOS الملحقة في هذه المقالة. لمزيد من المعلومات حول الكشف عن إشارة المستعرض، راجع التعرف على اكتشاف إشارة مستعرض إدارة المخاطر الداخلية وتكوينه.
  • مؤشر انتهاك نهج الأمان (معاينة): تتضمن هذه المؤشرات مؤشرات من Microsoft Defender لنقطة النهاية تتعلق بتثبيت برامج غير معتمدة أو ضارة أو تجاوز عناصر التحكم في الأمان. لتلقي التنبيهات في إدارة المخاطر الداخلية، يجب أن يكون لديك ترخيص نشط ل Defender لنقطة النهاية وتم تمكين تكامل المخاطر الداخلية. لمزيد من المعلومات حول تكوين Defender لنقطة النهاية من أجل تكامل إدارة المخاطر الداخلية، راجع تكوين الميزات المتقدمة في Microsoft Defender لنقطة النهاية.
  • مؤشرات الوصول إلى السجلات الصحية (معاينة): تتضمن مؤشرات النهج للوصول إلى السجلات الطبية للمرضى. على سبيل المثال، يمكن مشاركة محاولة الوصول إلى السجلات الطبية للمرضى في سجلات نظام السجلات الطبية الإلكترونية (EMR) مع نهج الرعاية الصحية لإدارة المخاطر الداخلية. لتلقي هذه الأنواع من التنبيهات في إدارة المخاطر الداخلية، يجب أن يكون لديك موصل بيانات خاص بالرعاية الصحية وموصل بيانات الموارد البشرية الذي تم تكوينه.
  • مؤشرات الوصول المادي (معاينة): تتضمن مؤشرات النهج للوصول الفعلي إلى الأصول الحساسة. على سبيل المثال، يمكن مشاركة محاولة الوصول إلى منطقة مقيدة في سجلات نظام التالفة الفعلية مع نهج إدارة المخاطر الداخلية. لتلقي هذه الأنواع من التنبيهات في إدارة المخاطر الداخلية، يجب أن يكون لديك الأصول المادية ذات الأولوية الممكنة في إدارة المخاطر الداخلية وموصل بيانات التالفة المادية التي تم تكوينها. لمعرفة المزيد حول تكوين الوصول الفعلي، راجع قسم الوصول الفعلي ذي الأولوية في هذه المقالة.
  • مؤشرات Microsoft Defender for Cloud Apps (معاينة): تتضمن مؤشرات النهج من التنبيهات المشتركة من Defender for Cloud Apps. يبدأ الكشف عن الحالات الشاذة التي تم تمكينها تلقائيا في Defender for Cloud Apps على الفور في اكتشاف النتائج وتجميعها، واستهداف العديد من الحالات السلوكية الشاذة عبر المستخدمين والأجهزة والأجهزة المتصلة بشبكتك. لتضمين هذه الأنشطة في تنبيهات نهج إدارة المخاطر الداخلية، حدد مؤشر واحد أو أكثر في هذا القسم. لمعرفة المزيد حول تحليلات Defender for Cloud Apps واكتشاف الشذوذ، راجع الحصول على التحليلات السلوكية واكتشاف الحالات الشاذة.
  • أدوات تعزيز درجة المخاطر: وتشمل هذه رفع درجة المخاطر للنشاط الذي يتجاوز نشاط المستخدم المعتاد ليوم واحد أو للمستخدمين الذين تم حل الحالات السابقة كخرق للنهج. يؤدي تمكين تعزيز نقاط المخاطر إلى زيادة درجات المخاطر واحتمال وجود تنبيهات لهذه الأنواع من الأنشطة. بالنسبة إلى النشاط الذي يتجاوز نشاط المستخدم المعتاد ليوم واحد، يتم تعزيز الدرجات إذا انحرف النشاط المكتشف عن السلوك النموذجي للمستخدم. بالنسبة للمستخدمين الذين تم حل الحالات السابقة كمخالفة للنهج، يتم تعزيز الدرجات إذا تم حل أكثر من حالة واحدة في السابق كمخالفة للنهج المؤكد. لا يمكن تحديد أدوات تحسين نقاط المخاطر إلا إذا تم تحديد مؤشر واحد أو أكثر.

في بعض الحالات، قد تحتاج إلى الحد من مؤشرات نهج المخاطر الداخلية التي يتم تطبيقها على نهج المخاطر الداخلية في مؤسستك. يمكنك إيقاف تشغيل مؤشرات النهج لمجالات معينة عن طريق تعطيلها من جميع نهج المخاطر الداخلية. يمكن تعديل أحداث التشغيل فقط للنهج التي تم إنشاؤها من تسرب البيانات العامة أو تسرب البيانات بواسطة قوالب المستخدمين ذات الأولوية . لا تحتوي النهج التي تم إنشاؤها من جميع القوالب الأخرى على مؤشرات أو أحداث تشغيل قابلة للتخصيص.

لتحديد مؤشرات نهج المخاطر الداخلية التي تم تمكينها في جميع نهج المخاطر الداخلية، انتقل إلى إعدادات > المخاطر في Insider وحدد مؤشر نهج واحد أو أكثر. لا يمكن تكوين المؤشرات المحددة في صفحة إعدادات المؤشرات بشكل فردي عند إنشاء نهج مخاطر من الداخل أو تحريره في معالج النهج.

ملاحظة

قد يستغرق الأمر عدة ساعات ليظهر المستخدمون الجدد الذين تمت إضافتهم يدويا في لوحة معلومات المستخدمين. قد تستغرق أنشطة 90 يوما السابقة لهؤلاء المستخدمين ما يصل إلى 24 ساعة لعرضها. لعرض الأنشطة للمستخدمين الذين تمت إضافتهم يدويا، حدد المستخدم على لوحة معلومات المستخدمين وافتح علامة تبويب نشاط المستخدم في جزء التفاصيل.

تمكين مؤشرات الجهاز وإلحاق الأجهزة Windows

لتمكين مراقبة أنشطة المخاطر على الأجهزة Windows وتضمين مؤشرات النهج لهذه الأنشطة، يجب أن تفي أجهزة Windows بالمتطلبات التالية ويجب إكمال خطوات الإلحاق التالية.

الخطوة 1: إعداد نقاط النهاية

تأكد من أن الأجهزة Windows 10 التي تخطط لإعداد التقارير عنها في إدارة المخاطر الداخلية تفي بهذه المتطلبات.

  1. يجب أن يكون قيد التشغيل Windows 10 x64 النسخة 1809 أو أحدث ويجب أن يكون قد قام بتثبيت تحديث Windows 10 (OS Build 17763.1075) من 20 فبراير 2020.
  2. يجب أن يكون حساب المستخدم المستخدم لتسجيل الدخول إلى الجهاز Windows 10 حساب Azure Active Directory (AAD (دليل Azure النشط)) نشطا. قد يكون الجهاز Windows 10 AAD (دليل Azure النشط) أو AAD (دليل Azure النشط) مختلطا أو Active Directory منضما أو مسجلا AAD (دليل Azure النشط).
  3. تثبيت مستعرض Microsoft Edge على جهاز نقطة النهاية لمراقبة الإجراءات لنشاط تحميل السحابة. راجع تنزيل Microsoft Edge الجديدة استنادا إلى Chromium.

الخطوة 2: إلحاق الأجهزة

يجب تمكين مراقبة الجهاز وإلحاق نقاط النهاية الخاصة بك قبل أن تتمكن من مراقبة أنشطة إدارة المخاطر الداخلية على جهاز. يتم اتخاذ الإجراءين في مدخل توافق Microsoft Purview.

عندما تريد إلحاق الأجهزة التي لم يتم إلحاقها بعد، ستقوم بتنزيل البرنامج النصي المناسب ونشره كما هو موضح في الخطوات التالية.

إذا كان لديك بالفعل أجهزة مضمنة في Microsoft Defender لنقطة النهاية، فستظهر بالفعل في قائمة الأجهزة المدارة. اتبع الخطوة 3: إذا كانت لديك أجهزة مضمنة في Microsoft Defender لنقطة النهاية في القسم التالي.

في سيناريو النشر هذا، ستقوم بإلحاق الأجهزة التي لم يتم إلحاقها بعد، وتريد فقط مراقبة أنشطة المخاطر الداخلية على أجهزة Windows 10.

  1. افتح مدخل الامتثال ل Microsoft Purview.

  2. افتح صفحة إعدادات مدخل التوافق واختر "إلحاق الأجهزة".

    ملاحظة

    على الرغم من أن تمكين إلحاق الجهاز يستغرق عادة حوالي 60 ثانية، يرجى السماح بما يصل إلى 30 دقيقة قبل التعامل مع دعم Microsoft.

  3. اختر إدارة الأجهزة لفتح قائمة الأجهزة . ستكون القائمة فارغة حتى تقوم بإلحاق الأجهزة.

  4. اختر "إلحاق" لبدء عملية الإلحاق.

  5. اختر الطريقة التي تريد نشرها على هذه الأجهزة الإضافية من قائمة أسلوب النشر ثم قم بتنزيل الحزمة.

  6. اتبع الإجراءات المناسبة في أدوات وأساليب الإلحاق للأجهزة Windows 10. ينقلك هذا الارتباط إلى صفحة منتقل إليها حيث يمكنك الوصول إلى الإجراءات Microsoft Defender لنقطة النهاية التي تتطابق مع حزمة النشر التي حددتها في الخطوة 5:

    • إلحاق أجهزة Windows 10 باستخدام نهج المجموعة
    • إلحاق أجهزة Windows باستخدام Microsoft Endpoint Configuration Manager
    • إلحاق أجهزة Windows 10 باستخدام أدوات إدارة الجهاز الأجهزة المحمولة
    • إلحاق أجهزة Windows 10 باستخدام برنامج نصي محلي
    • إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير الثابتة.

بمجرد الانتهاء من ذلك وإلحاق نقطة النهاية، يجب أن تكون مرئية في قائمة الأجهزة وستبدأ نقطة النهاية في الإبلاغ عن سجلات نشاط التدقيق إلى إدارة المخاطر الداخلية.

ملاحظة

تخضع هذه التجربة لفرض الترخيص. بدون الترخيص المطلوب، لن تكون البيانات مرئية أو يمكن الوصول إليها.

الخطوة 3: إذا كانت لديك أجهزة مضمنة في Microsoft Defender لنقطة النهاية

إذا تم نشر Microsoft Defender لنقطة النهاية بالفعل وتوجد نقاط نهاية للإبلاغ فيها، فستظهر كل نقاط النهاية هذه في قائمة الأجهزة المدارة. يمكنك الاستمرار في إلحاق الأجهزة الجديدة في إدارة المخاطر الداخلية لتوسيع التغطية باستخدام الخطوة 2: قسم إلحاق الأجهزة .

  1. افتح مدخل الامتثال ل Microsoft Purview.
  2. افتح صفحة إعدادات مدخل التوافق واختر تمكين مراقبة الجهاز.
  3. اختر إدارة الأجهزة لفتح قائمة الأجهزة . يجب أن تشاهد قائمة الأجهزة التي تقوم بالفعل بالإبلاغ في Microsoft Defender لنقطة النهاية.
  4. اختر "إلحاق" إذا كنت بحاجة إلى إلحاق المزيد من الأجهزة.
  5. اختر الطريقة التي تريد نشرها على هذه الأجهزة الإضافية من قائمة أسلوب النشر ثم قم بتنزيل الحزمة.
  6. اتبع الإجراءات المناسبة في أدوات وأساليب الإلحاق للأجهزة Windows 10. ينقلك هذا الارتباط إلى صفحة منتقل إليها حيث يمكنك الوصول إلى الإجراءات Microsoft Defender لنقطة النهاية التي تتطابق مع حزمة النشر التي حددتها في الخطوة 5:
    • إلحاق أجهزة Windows 10 باستخدام نهج المجموعة
    • إلحاق أجهزة Windows باستخدام Microsoft Endpoint Configuration Manager
    • إلحاق أجهزة Windows 10 باستخدام أدوات إدارة الجهاز الأجهزة المحمولة
    • إلحاق أجهزة Windows 10 باستخدام برنامج نصي محلي
    • إلحاق أجهزة البنية الأساسية لسطح المكتب الظاهري (VDI) غير الثابتة.

بمجرد الانتهاء من ذلك وإلحاق نقطة النهاية، يجب أن تكون مرئية ضمن جدول الأجهزة وستبدأ نقطة النهاية في الإبلاغ عن سجلات نشاط التدقيق إلى إدارة المخاطر الداخلية.

ملاحظة

تخضع هذه التجربة لفرض الترخيص. بدون الترخيص المطلوب، لن تكون البيانات مرئية أو يمكن الوصول إليها.

تمكين مؤشرات الجهاز وتهيئة أجهزة macOS

يمكن إلحاق أجهزة macOS (Catalina 10.15 أو أحدث) في Microsoft 365 لدعم نهج إدارة المخاطر الداخلية باستخدام إما Intune أو JAMF Pro. لمزيد من المعلومات وإرشادات التكوين، راجع إعداد أجهزة macOS في Microsoft 365 نظرة عامة (معاينة).

إعدادات مستوى المؤشر (معاينة)

عند إنشاء نهج في معالج النهج، يمكنك تكوين كيفية تأثير العدد اليومي لأحداث المخاطر على درجة المخاطر لتنبيهات المخاطر الداخلية. تساعدك إعدادات المؤشر هذه على التحكم في كيفية تأثير عدد تكرارات أحداث المخاطر في مؤسستك على درجة المخاطر، وبالتالي خطورة التنبيه المقترنة بهذه الأحداث. إذا كنت تفضل ذلك، يمكنك أيضا اختيار الاحتفاظ بمستويات عتبة الحدث الافتراضية الموصى بها من قبل Microsoft لجميع المؤشرات الممكنة.

على سبيل المثال، تقرر تمكين مؤشرات SharePoint في إعدادات نهج المخاطر الداخلية وتعيين حدود مخصصة لأحداث SharePoint عند تكوين مؤشرات لنهج تسرب بيانات المخاطر الداخلية الجديد. أثناء العمل في معالج نهج المخاطر الداخلية، يمكنك تكوين ثلاثة مستويات أحداث يومية مختلفة لكل مؤشر SharePoint للتأثير على درجة المخاطر للتنبيهات المرتبطة بهذه الأحداث.

إعدادات المؤشر المخصصة لإدارة المخاطر من Insider.

بالنسبة إلى مستوى الحدث اليومي الأول، يمكنك تعيين الحد عند 10 أحداث أو أكثر في اليوم للحصول على تأثير أقل على درجة المخاطر للأحداث، و20 حدثا أو أكثر في اليوم الواحد للتأثير المتوسط على درجة المخاطر للأحداث، و30 حدثا أو أكثر في اليوم تأثير أعلى على درجة المخاطر للأحداث. تعني هذه الإعدادات بشكل فعال:

  • إذا كانت هناك أحداث SharePoint من 1 إلى 9 تقع بعد تشغيل الحدث، فإن درجات المخاطر تتأثر بحد أدنى ولا تميل إلى إنشاء تنبيه.
  • إذا كان هناك من 10 إلى 19 SharePoint الأحداث التي تحدث بعد حدث التشغيل، فإن درجة المخاطر تكون أقل بطبيعتها وتميل مستويات خطورة التنبيه إلى أن تكون عند مستوى منخفض.
  • إذا كان هناك من 20 إلى 29 SharePoint الأحداث التي تحدث بعد التشغيل، فإن درجة الخطر أعلى بطبيعتها وتميل مستويات خطورة التنبيه إلى أن تكون على مستوى متوسط.
  • إذا كان هناك 30 أو أكثر من الأحداث SharePoint التي تحدث بعد التشغيل، تكون درجة المخاطر أعلى بطبيعتها وتميل مستويات خطورة التنبيه إلى أن تكون على مستوى عال.

خيار آخر لحدود النهج هو تعيين حدث تشغيل النهج إلى نشاط أعلى من مقدار النشاط اليومي المعتاد للمستخدمين. بدلا من تعريفها بواسطة إعدادات حد معينة، يتم تخصيص كل حد ديناميكيا للأنشطة الشاذة التي تم الكشف عنها لمستخدمي النهج داخل النطاق. إذا كان نشاط الحد للأنشطة غير الطبيعية مدعوما لمؤشر فردي، يمكنك تحديد أن النشاط أعلى من نشاط المستخدم المعتاد لليوم في معالج النهج لهذا المؤشر. إذا لم يكن هذا الخيار مدرجا، فلن يتوفر تشغيل النشاط الشاذ للمؤشر. إذا كان النشاط أعلى من نشاط المستخدم المعتاد لليوم يتم سرده لمؤشر، ولكن ليس قابلا للتحديد، فأنت بحاجة إلى تمكين هذا الخيار في مؤشرات Insider risk settingsPolicy > .

أطر زمنية للنهج

تسمح لك الأطر الزمنية للنهج بتحديد فترات المراجعة السابقة والمستقبلية التي يتم تشغيلها بعد مطابقة النهج استنادا إلى الأحداث والأنشطة لقوالب نهج إدارة المخاطر الداخلية. استنادا إلى قالب النهج الذي تختاره، تتوفر الأطر الزمنية التالية للنهج:

  • نافذة التنشيط: متوفرة لكافة قوالب النهج، نافذة التنشيط هي عدد الأيام المحدد الذي يتم تنشيط النافذة فيه بعد حدث التشغيل. يتم تنشيط النافذة لمدة 1 إلى 30 يوما بعد وقوع حدث تشغيل لأي مستخدم معين إلى النهج. على سبيل المثال، قمت بتكوين نهج إدارة المخاطر الداخلية وتعيين نافذة التنشيط إلى 30 يوما. لقد مرت عدة أشهر منذ تكوين النهج، ويحدث حدث تشغيل لأحد المستخدمين المضمنين في النهج. يقوم حدث التشغيل بتنشيط نافذة التنشيط ويكون النهج نشطا لهذا المستخدم لمدة 30 يوما بعد وقوع حدث التشغيل.
  • الكشف عن النشاط السابق: متوفر لكافة قوالب النهج، الكشف عن النشاط السابق هو عدد الأيام المحدد الذي يتم تنشيط النافذة فيه قبل حدث التشغيل. يتم تنشيط النافذة لمدة 0 إلى 90 يوما قبل وقوع حدث تشغيل لأي مستخدم معين إلى النهج. على سبيل المثال، قمت بتكوين نهج إدارة المخاطر الداخلية وتعيين الكشف عن النشاط السابق إلى 90 يوما. لقد مرت عدة أشهر منذ تكوين النهج، ويحدث حدث تشغيل لأحد المستخدمين المضمنين في النهج. يقوم حدث التشغيل بتنشيط الكشف عن النشاط السابق ويجمع النهج الأنشطة التاريخية لهذا المستخدم لمدة 90 يوما قبل حدث التشغيل.

إعدادات الإطار الزمني لإدارة المخاطر الداخلية.

عمليات الكشف الذكية

تساعد إعدادات الكشف الذكي على تحسين كيفية معالجة عمليات الكشف عن الأنشطة المحفوفة بالمخاطر للتنبيهات. في بعض الحالات، قد تحتاج إلى تحديد أنواع الملفات التي يجب تجاهلها، أو تريد فرض مستوى الكشف للأحداث اليومية لتعزيز درجات المخاطر للمستخدمين. استخدم هذه الإعدادات للتحكم في استثناءات نوع الملف، وتعزيز درجة المخاطر لنشاط غير عادي، وحدود وحدة تخزين الملفات.

استثناءات نوع الملف

لاستبعاد أنواع ملفات معينة من كافة مطابقة نهج إدارة المخاطر الداخلية، أدخل ملحقات نوع الملف مفصولة بفواصل. على سبيل المثال، لاستبعاد أنواع معينة من ملفات الموسيقى من تطابقات النهج، يمكنك إدخال aac,mp3,wav,wma في حقل استثناءات نوع الملف . سيتم تجاهل الملفات ذات هذه الملحقات من قبل جميع نهج إدارة المخاطر الداخلية.

الحد الأدنى لعدد الأحداث اليومية لتعزيز درجة النشاط غير المعتاد

باستخدام هذا الإعداد، يمكنك تحديد عدد الأحداث اليومية المطلوبة لتعزيز درجة المخاطر للنشاط الذي يعتبر غير عادي للمستخدم. على سبيل المثال، لنفترض أنك تدخل 25 لمعزز المخاطر هذا. إذا كان المستخدم متوسط 10 تنزيلات للملفات خلال ال 30 يوما الماضية، ولكن النهج اكتشف أنه قام بتنزيل 20 ملفا في يوم واحد، فلن يتم تعزيز درجة هذا النشاط على الرغم من أنه غير معتاد على هذا المستخدم لأن عدد الملفات التي قام بتنزيلها في ذلك اليوم كان أقل من العدد الذي أدخلته لمحسن المخاطر هذا.

وحدة تخزين التنبيه

يتم تعيين درجة مخاطر معينة لأنشطة المستخدم التي تكتشفها نهج المخاطر الداخلية، والتي تحدد بدورها خطورة التنبيه (منخفضة، متوسطة، عالية). بشكل افتراضي، سنقوم بإنشاء كمية معينة من التنبيهات منخفضة ومتوسطة وعالية الخطورة، ولكن يمكنك زيادة أو تقليل مستوى الصوت ليناسب احتياجاتك. لضبط حجم التنبيهات لجميع نهج إدارة المخاطر الداخلية، اختر أحد الإعدادات التالية:

  • تنبيهات أقل: سترى جميع التنبيهات عالية الخطورة، وتنبيهات أقل متوسطة الخطورة، ولا توجد تنبيهات منخفضة الخطورة. يعني مستوى الإعداد هذا أنك قد تفوت بعض الإيجابيات الحقيقية.
  • وحدة التخزين الافتراضية: سترى جميع التنبيهات عالية الخطورة وكمية متوازنة من التنبيهات المتوسطة والمنخفضة الخطورة.
  • مزيد من التنبيهات: سترى جميع التنبيهات متوسطة وعالية الخطورة ومعظم التنبيهات منخفضة الخطورة. قد ينتج عن مستوى الإعداد هذا المزيد من الإيجابيات الخاطئة.

Microsoft Defender لنقطة النهاية (معاينة)

Microsoft Defender لنقطة النهاية هو نظام أساسي لأمان نقطة نهاية المؤسسة مصمم لمساعدة شبكات المؤسسة على منع التهديدات المتقدمة واكتشافها والتحقيق فيها والاستجابة لها. للحصول على رؤية أفضل لانتهاكات الأمان في مؤسستك، يمكنك استيراد تنبيهات Defender لنقطة النهاية وتصفيتها للأنشطة المستخدمة في النهج التي تم إنشاؤها من قوالب نهج انتهاك أمان إدارة المخاطر الداخلية.

اعتمادا على أنواع الإشارات التي تهتم بها، يمكنك اختيار استيراد التنبيهات إلى إدارة المخاطر الداخلية استنادا إلى حالة فرز تنبيه Defender لنقطة النهاية. يمكنك تعريف حالة واحدة أو أكثر من حالات فرز التنبيه التالية في الإعدادات العمومية لاستيراد:

  • غير معروف
  • الجديد
  • قيد التقدم
  • حل

يتم استيراد التنبيهات من Defender لنقطة النهاية يوميا. استنادا إلى حالة الفرز التي تختارها، قد ترى أنشطة مستخدم متعددة لنفس التنبيه الذي تتغير فيه حالة الفرز في Defender لنقطة النهاية.

على سبيل المثال، إذا قمت بتحديد "جديد" و"قيد التقدم" و"تم الحل" لهذا الإعداد، عند إنشاء تنبيه Microsoft Defender لنقطة النهاية وكانت الحالة جديدة، يتم استيراد نشاط تنبيه أولي للمستخدم في خطر داخلي. عندما تتغير حالة فرز Defender لنقطة النهاية إلى قيد التقدم، يتم استيراد نشاط ثان لهذا التنبيه للمستخدم في خطر داخلي. عند تعيين حالة فرز Defender لنقطة النهاية النهائية " تم الحل "، يتم استيراد نشاط ثالث لهذا التنبيه للمستخدم في خطر داخلي. تسمح هذه الوظيفة للباحثين بمتابعة تقدم تنبيهات Defender لنقطة النهاية واختيار مستوى الرؤية الذي يتطلبه التحقيق الخاص بهم.

هام

ستحتاج إلى تكوين Microsoft Defender لنقطة النهاية في مؤسستك وتمكين Defender لنقطة النهاية لتكامل إدارة المخاطر الداخلية في مركز أمان Defender لاستيراد تنبيهات انتهاك الأمان. لمزيد من المعلومات حول تكوين Defender لنقطة النهاية من أجل تكامل إدارة المخاطر الداخلية، راجع تكوين الميزات المتقدمة في Defender لنقطة النهاية.

المجالات

تساعدك إعدادات المجال على تحديد مستويات المخاطر للأنشطة لمجالات معينة. تتضمن هذه الأنشطة مشاركة الملفات أو إرسال رسائل البريد الإلكتروني أو تنزيل المحتوى أو تحميله. من خلال تحديد المجالات في هذه الإعدادات، يمكنك زيادة أو تقليل تسجيل المخاطر للنشاط الذي يحدث مع هذه المجالات.

استخدم "إضافة مجال" لتعريف مجال لكل من إعدادات المجال. بالإضافة إلى ذلك، يمكنك استخدام أحرف البدل للمساعدة في مطابقة تباينات المجالات الجذر أو المجالات الفرعية. على سبيل المثال، لتحديد sales.wingtiptoys.com support.wingtiptoys.com، يمكنك استخدام إدخال حرف البدل '*.wingtiptoys.com' لمطابقة هذه المجالات الفرعية (وأي نطاق فرعي آخر على المستوى نفسه). لتحديد مجالات فرعية متعددة المستويات لمجال جذر، يجب تحديد خانة الاختيار "تضمين المجالات الفرعية متعددة المستويات ".

لكل من إعدادات المجال التالية، يمكنك إدخال ما يصل إلى 500 مجال:

  • المجالات غير مسموح بها: من خلال تحديد المجالات غير مسموح بها، سيكون للنشاط الذي يحدث مع هذه المجالات درجات مخاطر أعلى . بعض الأمثلة هي الأنشطة التي تتضمن مشاركة المحتوى مع شخص ما (مثل إرسال بريد إلكتروني إلى شخص ما له عنوان gmail.com) وعندما يقوم المستخدمون بتنزيل المحتوى إلى جهاز من أحد هذه المجالات غير مسموح بها.

  • المجالات المسموح بها: سيتم تجاهل نشاط معين متعلق بالمجالات المسموح بها من قبل النهج الخاصة بك ولن ينشئ تنبيهات. وتشمل هذه الأنشطة ما يلي:

    • البريد الإلكتروني المرسل إلى المجالات الخارجية
    • الملفات والمجلدات والمواقع المشتركة مع المجالات الخارجية
    • الملفات التي تم تحميلها إلى مجالات خارجية (باستخدام مستعرض Microsoft Edge)

    من خلال تحديد المجالات المسموح بها في الإعدادات، يتم التعامل مع هذا النشاط مع هذه المجالات بطريقة مماثلة لكيفية التعامل مع نشاط المؤسسة الداخلية. على سبيل المثال، قد تتضمن المجالات المضافة إلى الأنشطة هنا مشاركة المحتوى مع شخص من خارج مؤسستك (مثل إرسال بريد إلكتروني إلى شخص ما بعنوان gmail.com).

  • مجالات الجهات الخارجية: إذا كانت مؤسستك تستخدم مجالات تابعة لجهة خارجية لأغراض العمل (مثل التخزين السحابي)، فقم بتضمينها هنا حتى تتمكن من تلقي تنبيهات للنشاط المتعلق بمؤشر الجهاز ، فاستخدم مستعرضا لتنزيل المحتوى من موقع تابع لجهة خارجية.

تصدير التنبيهات

يمكن تصدير معلومات تنبيه إدارة المخاطر الداخلية إلى معلومات الأمان وإدارة الأحداث (SIEM) وحلول الاستجابة التلقائية لتنسيق الأمان (SOAR) باستخدام مخطط واجهة برمجة تطبيقات نشاط الإدارة Office 365. يمكنك استخدام واجهات برمجة تطبيقات نشاط الإدارة Office 365 لتصدير معلومات التنبيه إلى تطبيقات أخرى قد تستخدمها مؤسستك لإدارة معلومات المخاطر الداخلية أو تجميعها. يتم تصدير معلومات التنبيه وإتاحتها كل 60 دقيقة عبر واجهات برمجة تطبيقات نشاط الإدارة Office 365.

إذا كانت مؤسستك تستخدم Microsoft Sentinel، يمكنك أيضا استخدام موصل بيانات إدارة المخاطر الداخلية الجاهز لاستيراد معلومات تنبيه المخاطر الداخلية إلى Sentinel. لمزيد من المعلومات، راجع Insider Risk Management (IRM) (Preview) في مقالة Microsoft Sentinel.

هام

للحفاظ على التكامل المرجعي للمستخدمين الذين لديهم تنبيهات أو حالات مخاطر من الداخل في Microsoft 365 أو أنظمة أخرى، لا يتم الاحتفاظ بإخفاء أسماء المستخدمين للتنبيهات المصدرة. ستعرض التنبيهات التي تم تصديرها أسماء المستخدمين لكل تنبيه.

لاستخدام واجهات برمجة التطبيقات لمراجعة معلومات تنبيه المخاطر الداخلية:

  1. تمكين دعم واجهة برمجة تطبيقات نشاط الإدارة Office 365 في إدارة > المخاطر ل Insider الإعدادات > تنبيهاتExport. بشكل افتراضي، يتم تعطيل هذا الإعداد لمؤسستك Microsoft 365.
  2. تصفية أنشطة التدقيق Office 365 الشائعة بواسطة SecurityComplianceAlerts.
  3. تصفية SecurityComplianceAlerts حسب فئة InsiderRiskManagement .

إعدادات تنبيه تصدير إدارة المخاطر الداخلية.

تحتوي معلومات التنبيه على معلومات من مخطط تنبيه الأمان والتوافق والمخطط الشائع لواجهة برمجة تطبيقات نشاط الإدارة Office 365.

يتم تصدير الحقول والقيم التالية لتنبيهات إدارة المخاطر الداخلية لمخطط تنبيه التوافق & الأمان:

معلمة التنبيه الوصف
نوع التنبيه نوع التنبيه مخصص.
معرف التنبيه المعرف الفريد العمومي للتنبيه. تنبيهات إدارة المخاطر الداخلية قابلة للتغيير. مع تغير حالة التنبيه، يتم إنشاء سجل جديد بنفس AlertID. يمكن استخدام معرف التنبيه هذا لربط التحديثات الخاصة بالتنبيه.
الفئة فئة التنبيه هي InsiderRiskManagement. يمكن استخدام هذه الفئة للتمييز بين هذه التنبيهات وتنبيهات الأمان الأخرى & Compliance.
تعليقات التعليقات الافتراضية للتنبيه. القيم هي تنبيه جديد (يتم تسجيله عند إنشاء تنبيه) وتحديث التنبيه (يتم تسجيله عند وجود تحديث للتنبيه). استخدم AlertID لربط التحديثات لتنبيه.
البيانات تتضمن بيانات التنبيه معرف المستخدم الفريد واسم المستخدم الأساسي والتاريخ والوقت (UTC) عند تشغيل المستخدم في نهج.
الاسم اسم النهج لنهج إدارة المخاطر الداخلية الذي أنشأ التنبيه.
معرف النهج المعرف الفريد العمومي لسياسة إدارة المخاطر الداخلية التي أدت إلى التنبيه.
شده خطورة التنبيه. القيم عالية أو متوسطة أو منخفضة.
مصدر مصدر التنبيه. القيمة هي Office 365 الأمان & التوافق.
حاله حالة التنبيه. القيم نشطة (مراجعة الاحتياجات في المخاطر الداخلية)، التحقيق (المؤكد في مخاطر insider)، تم الحل (تم الحل في مخاطر insider)، تم تجاهلها (تم تجاهلها في المخاطر الداخلية).
الإصدار إصدار مخطط تنبيه الأمان والتوافق.

يتم تصدير الحقول والقيم التالية لتنبيهات إدارة المخاطر الداخلية للمخطط الشائع لواجهة برمجة تطبيقات نشاط الإدارة Office 365.

  • Userid
  • معرف
  • نوع السجل
  • وقت الإنشاء
  • العمليه
  • معرف المؤسسة
  • نوع المستخدم
  • UserKey

مجموعات المستخدمين ذات الأولوية (معاينة)

قد يواجه المستخدمون في مؤسستك مستويات مختلفة من المخاطر استنادا إلى وضعهم أو مستوى وصولهم إلى المعلومات الحساسة أو محفوظات المخاطر. يمكن أن يساعد تحديد أولويات فحص أنشطة هؤلاء المستخدمين وتسجيلها في تنبيهك إلى المخاطر المحتملة التي قد تكون لها عواقب أعلى على مؤسستك. تساعد مجموعات المستخدمين ذات الأولوية في إدارة المخاطر الداخلية على تحديد المستخدمين في مؤسستك الذين يحتاجون إلى فحص أقرب وتسجيل مخاطر أكثر حساسية. إلى جانب انتهاكات نهج الأمان من قبل المستخدمين ذوي الأولوية وتسريبات البيانات بواسطة قوالب نهج المستخدمين ذات الأولوية ، فإن المستخدمين الذين تمت إضافتهم إلى مجموعة مستخدمين ذات أولوية لديهم احتمال متزايد لتنبيهات المخاطر الداخلية والتنبيهات ذات مستويات خطورة أعلى.

إعدادات مجموعة المستخدمين ذات الأولوية لإدارة المخاطر من Insider.

بدلا من أن تكون مفتوحة للمراجعة من قبل جميع المحللين والباحثين، قد تحتاج مجموعات المستخدمين ذات الأولوية أيضا إلى تقييد أنشطة المراجعة لمستخدمين محددين أو مجموعات أدوار المخاطر الداخلية. يمكنك اختيار تعيين المستخدمين الفرديين ومجموعات الأدوار لمراجعة المستخدمين والتنبيهات والحالات والتقارير لكل مجموعة مستخدمين ذات أولوية. يمكن أن يكون لمجموعات المستخدمين ذات الأولوية أذونات مراجعة معينة لإدارة المخاطر المضمنة في Insider، ومحللو إدارة المخاطر من Insider، ومجموعات أدوار محققي إدارة المخاطر من Insider ، أو مجموعة واحدة أو أكثر من مجموعات الأدوار هذه، أو إلى مجموعة مخصصة من المستخدمين.

على سبيل المثال، تحتاج إلى الحماية من تسرب البيانات لمشروع سري للغاية حيث يمكن للمستخدمين الوصول إلى المعلومات الحساسة. يمكنك اختيار إنشاء مجموعة المستخدمين ذات الأولوية للمستخدمين Project السرية للمستخدمين في مؤسستك الذين يعملون على هذا المشروع. بالإضافة إلى ذلك، يجب ألا يكون لدى مجموعة المستخدمين ذات الأولوية هذه مستخدمين وتنبيهات وحالات وتقارير مقترنة بمجموعة مرئية لجميع مسؤولي إدارة المخاطر الداخلية الافتراضية والمحللين والتحريين. في الإعدادات، يمكنك إنشاء مجموعة المستخدمين ذات الأولوية للمستخدمين Project السرية وتعيين مستخدمين كمراجعين يمكنهم عرض البيانات المتعلقة بالمجموعات. باستخدام معالج النهج وتسريبات البيانات بواسطة قالب نهج المستخدمين ذي الأولوية، يمكنك إنشاء نهج جديد وتعيين مجموعة المستخدمين ذات الأولوية Project السرية للمستخدمين إلى النهج. الأنشطة التي يتم فحصها بواسطة النهج لأعضاء مجموعة المستخدمين ذات أولوية المستخدمين Project السرية أكثر حساسية للمخاطر والأنشطة التي يقوم بها هؤلاء المستخدمون من المرجح أن تنشئ تنبيها ولها تنبيهات ذات مستويات خطورة أعلى.

إنشاء مجموعة مستخدمين ذات أولوية

لإنشاء مجموعة مستخدمين ذات أولوية جديدة، ستستخدم عناصر تحكم الإعداد في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview. لإنشاء مجموعة مستخدمين ذات أولوية، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin .

أكمل الخطوات التالية لإنشاء مجموعة مستخدمين ذات أولوية:

  1. في مدخل توافق Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد إعدادات مخاطر Insider.
  2. حدد صفحة مجموعات المستخدمين ذات الأولوية (معاينة ).
  3. في صفحة مجموعات المستخدمين ذات الأولوية (معاينة)، حدد "Create priority user group " لبدء معالج إنشاء المجموعة.
  4. في صفحة الاسم والوصف ، أكمل الحقول التالية:
    • الاسم (مطلوب): أدخل اسما مألوفا لمجموعة المستخدمين ذات الأولوية. لا يمكنك تغيير اسم مجموعة المستخدمين ذات الأولوية بعد إكمال المعالج.
    • الوصف (اختياري): أدخل وصفا لمجموعة المستخدمين ذات الأولوية.
  5. حدد "التالي " للمتابعة.
  6. في صفحة "اختيار الأعضاء "، حدد "اختيار الأعضاء " للبحث وحدد حسابات المستخدمين الممكنة للبريد المضمنة في المجموعة أو حدد خانة الاختيار "تحديد كل " لإضافة كل المستخدمين في مؤسستك إلى المجموعة. حدد "إضافة " للمتابعة أو "إلغاء الأمر " للإغلاق دون إضافة أي مستخدمين إلى المجموعة.
  7. حدد "التالي " للمتابعة.
  8. في صفحة اختيار الأشخاص الذين يمكنهم عرض هذه المجموعة ، يجب تحديد الأشخاص الذين يمكنهم مراجعة المستخدمين والتنبيهات والحالات والتقارير لمجموعة المستخدمين ذات الأولوية. يجب تعيين مستخدم واحد على الأقل أو مجموعة دور إدارة المخاطر الداخلية. حدد اختيار المستخدمين ومجموعات الأدوار وحدد المستخدمين أو مجموعات دور إدارة المخاطر الداخلية التي تريد تعيينها إلى مجموعة المستخدمين ذات الأولوية. حدد "إضافة" لتعيين المستخدمين أو مجموعات الأدوار المحددة إلى المجموعة.
  9. حدد "التالي" للمتابعة.
  10. في صفحة المراجعة ، راجع الإعدادات التي اخترتها لمجموعة المستخدمين ذات الأولوية. حدد " تحرير الارتباطات" لتغيير أي من قيم المجموعة أو حدد "إرسال " لإنشاء مجموعة المستخدمين ذات الأولوية وتنشيطها.
  11. في صفحة التأكيد، حدد "تم " لإنهاء المعالج.

تحديث مجموعة مستخدمين ذات أولوية

لتحديث مجموعة مستخدمين ذات أولوية موجودة، ستستخدم عناصر تحكم الإعداد في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview. لتحديث مجموعة مستخدمين ذات أولوية، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin .

أكمل الخطوات التالية لتحرير مجموعة مستخدمين ذات أولوية:

  1. في مدخل توافق Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد إعدادات مخاطر Insider.
  2. حدد صفحة مجموعات المستخدمين ذات الأولوية (معاينة ).
  3. حدد مجموعة المستخدمين ذات الأولوية التي تريد تحريرها وحدد "تحرير المجموعة".
  4. في صفحة الاسم والوصف ، قم بتحديث حقل الوصف إذا لزم الأمر. لا يمكنك تحديث اسم مجموعة المستخدمين ذات الأولوية. حدد "التالي " للمتابعة.
  5. في الصفحة "اختيار أعضاء "، أضف أعضاء جدد إلى المجموعة باستخدام عنصر تحكم "اختيار الأعضاء ". لإزالة مستخدم من المجموعة، حدد "X" إلى جانب المستخدم الذي تريد إزالته. حدد "التالي " للمتابعة.
  6. في "اختيار الأشخاص الذين يمكنهم عرض صفحة المجموعة هذه"، أضف المستخدمين أو مجموعات الأدوار أو أزلها التي يمكنها مراجعة المستخدمين والتنبيهات والحالات والتقارير لمجموعة المستخدمين ذات الأولوية.
  7. حدد "التالي " للمتابعة.
  8. في صفحة المراجعة ، راجع إعدادات التحديث التي اخترتها لمجموعة المستخدمين ذات الأولوية. حدد " تحرير الارتباطات" لتغيير أي من قيم المجموعة أو حدد "إرسال " لتحديث مجموعة المستخدمين ذات الأولوية.
  9. في صفحة التأكيد، حدد "تم " لإنهاء المعالج.

حذف مجموعة مستخدمين ذات أولوية

لحذف مجموعة مستخدمين ذات أولوية موجودة، ستستخدم عناصر تحكم الإعداد في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview. لحذف مجموعة مستخدمين ذات أولوية، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin .

هام

سيؤدي حذف مجموعة مستخدمين ذات أولوية إلى إزالتها من أي نهج نشط تم تعيينها إليه. إذا حذفت مجموعة مستخدمين ذات أولوية تم تعيينها إلى نهج نشط، فلن يحتوي النهج على أي مستخدمين في النطاق وسيكون خاملا بشكل فعال ولن ينشئ تنبيهات.

أكمل الخطوات التالية لحذف مجموعة مستخدمين ذات أولوية:

  1. في مدخل توافق Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد إعدادات مخاطر Insider.
  2. حدد صفحة مجموعات المستخدمين ذات الأولوية (معاينة ).
  3. حدد مجموعة المستخدمين ذات الأولوية التي تريد تحريرها وحدد "حذف" من قائمة لوحة المعلومات.
  4. في مربع الحوار "حذف "، حدد "نعم " لحذف مجموعة المستخدمين ذات الأولوية أو حدد "إلغاء الأمر " للعودة إلى لوحة المعلومات.

الأصول المادية ذات الأولوية (معاينة)

يعد تحديد الوصول إلى الأصول المادية ذات الأولوية وربط نشاط الوصول بأحداث المستخدم مكونا مهما في البنية الأساسية للامتثال. تمثل هذه الأصول المادية مواقع ذات أولوية في مؤسستك، مثل مبنى الشركة أو مراكز البيانات أو غرف الخوادم. قد ترتبط أنشطة المخاطر الداخلية بالمستخدمين الذين يعملون ساعات غير عادية، ويحاولون الوصول إلى هذه المناطق الحساسة أو الآمنة غير المصرح بها، وطلبات الوصول إلى المناطق عالية المستوى دون الحاجة المشروعة.

مع تمكين الأصول المادية ذات الأولوية وتكوين موصل بيانات التالفة المادية ، تدمج إدارة المخاطر الداخلية الإشارات من أنظمة التحكم والوصول المادية مع أنشطة مخاطر المستخدم الأخرى. من خلال فحص أنماط السلوك عبر أنظمة الوصول المادي وربط هذه الأنشطة بأحداث المخاطر الداخلية الأخرى، يمكن أن تساعد إدارة المخاطر الداخلية المحققين والمحللين في الامتثال على اتخاذ قرارات استجابة أكثر استنارة للتنبيهات. يتم تسجيل الوصول إلى الأصول المادية ذات الأولوية وتحديدها في رؤى مختلفة عن الوصول إلى الأصول غير ذات الأولوية.

على سبيل المثال، لدى مؤسستك نظام معالجة للمستخدمين الذين يراقبون ويوافقون على الوصول الفعلي إلى مناطق العمل العادية والمناطق الحساسة للمشروع. لديك العديد من المستخدمين الذين يعملون على مشروع حساس وسيعود هؤلاء المستخدمون إلى مناطق أخرى في مؤسستك عند اكتمال المشروع. مع اقتراب اكتمال المشروع الحساس، تريد التأكد من أن عمل المشروع يظل سريا وأن الوصول إلى مناطق المشروع يخضع لتحكم مشدد.

يمكنك اختيار تمكين موصل بيانات التالفة الفعلية في Microsoft 365 لاستيراد معلومات الوصول من نظام التالفة الفعلي وتحديد الأصول المادية ذات الأولوية في إدارة المخاطر الداخلية. من خلال استيراد المعلومات من نظام التالفة الخاص بك وربط معلومات الوصول المادي بأنشطة المخاطر الأخرى المحددة في إدارة المخاطر الداخلية، تلاحظ أن أحد المستخدمين في المشروع يصل إلى مكاتب المشروع بعد ساعات العمل العادية ويصدر أيضا كميات كبيرة من البيانات إلى خدمة تخزين سحابية شخصية من منطقة العمل العادية. قد يشير نشاط الوصول الفعلي هذا المرتبط بنشاط الإنترنت إلى إمكانية سرقة البيانات وتوافق المحققين والمحللين الذين يمكنهم اتخاذ الإجراءات المناسبة كما تمليها الظروف لهذا المستخدم.

الأصول المادية ذات الأولوية لإدارة المخاطر من الداخل.

تكوين الأصول المادية ذات الأولوية

لتكوين الأصول المادية ذات الأولوية، ستقوم بتكوين موصل التالفة المادي واستخدام عناصر تحكم الإعداد في حل إدارة المخاطر Insider في مدخل توافق Microsoft Purview. لتكوين الأصول المادية ذات الأولوية، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin.

أكمل الخطوات التالية لتكوين الأصول المادية ذات الأولوية:

  1. اتبع خطوات التكوين لإدارة المخاطر الداخلية في مقالة بدء استخدام إدارة المخاطر الداخلية . في الخطوة 3، تأكد من تكوين موصل الريش الفعلي.

    هام

    لكي تستخدم نهج إدارة المخاطر الداخلية بيانات الإشارات المتعلقة بالمستخدمين المغادرين والمنهيين وبيانات الأحداث من الأنظمة الأساسية للتحكم الفعلي والوصول، يجب أيضا تكوين موصل الموارد البشرية Microsoft 365. إذا قمت بتمكين موصل التالفة الفعلي دون تمكين موصل الموارد البشرية Microsoft 365، فستقوم نهج إدارة المخاطر الداخلية بمعالجة الأحداث فقط لأنشطة الوصول الفعلي للمستخدمين في مؤسستك.

  2. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد الأصول المادية لإعدادات > المخاطر ل Insider.

  3. في صفحة الأصول المادية ذات الأولوية ، يمكنك إما إضافة معرفات الأصول المادية التي تريد مراقبتها يدويا لأحداث الأصول التي تم استيرادها بواسطة موصل التالفة المادي أو استيراد ملف .csv لكافة معرفات الأصول المادية التي تم استيرادها بواسطة موصل التالفة المادي: أ) لإضافة معرفات الأصول المادية يدويا، اختر إضافة الأصول المادية ذات الأولوية، أدخل معرف أصل فعلي، ثم حدد "إضافة". أدخل معرفات الأصول المادية الأخرى ثم حدد "Add priority physical assets " لحفظ جميع الأصول التي تم إدخالها. ب) لإضافة قائمة بمعرفات الأصول المادية من ملف .csv، اختر استيراد الأصول المادية ذات الأولوية. من مربع الحوار "مستكشف الملفات"، حدد الملف .csv الذي ترغب في استيراده، ثم حدد "فتح". تتم إضافة معرفات الأصول الفعلية من ملفات .csv إلى القائمة.

  4. انتقل إلى صفحة مؤشرات النهج في الإعدادات.

  5. في صفحة مؤشرات النهج ، انتقل إلى قسم مؤشرات الوصول الفعلي وحدد خانة الاختيار للوصول الفعلي بعد الإنهاء أو فشل الوصول إلى الأصول الحساسة.

  6. حدد "حفظ " لتكوينه والخروج منه.

حذف أصل فعلي ذي أولوية

لحذف أصل فعلي ذي أولوية موجود، ستستخدم عناصر تحكم الإعداد في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview. لحذف أصل فعلي ذي أولوية، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin.

هام

يؤدي حذف أحد الأصول المادية ذات الأولوية إلى إزالته من الفحص بواسطة أي نهج نشط تم تضمينه فيه مسبقا. لا يتم حذف التنبيهات التي تم إنشاؤها بواسطة الأنشطة المقترنة بالأصول المادية ذات الأولوية.

أكمل الخطوات التالية لحذف أصل فعلي ذي أولوية:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر في Insider وحدد الأصول المادية لإعدادات > المخاطر ل Insider.
  2. في صفحة الأصول المادية ذات الأولوية ، حدد الأصل الذي تريد حذفه.
  3. حدد "حذف " في قائمة الإجراءات لحذف الأصل.

تدفقات Power Automate (معاينة)

Microsoft Power Automate هي خدمة سير عمل تقوم بأتمتة الإجراءات عبر التطبيقات والخدمات. باستخدام التدفقات من القوالب أو التي تم إنشاؤها يدويا، يمكنك أتمتة المهام الشائعة المقترنة بهذه التطبيقات والخدمات. عند تمكين تدفقات Power Automate لإدارة المخاطر الداخلية، يمكنك أتمتة المهام المهمة للحالات والمستخدمين. يمكنك تكوين تدفقات Power Automate لاسترداد معلومات المستخدم والتنبيه وحالة الأحرف ومشاركة هذه المعلومات مع المساهمين والتطبيقات الأخرى، بالإضافة إلى أتمتة الإجراءات في إدارة المخاطر الداخلية، مثل النشر إلى ملاحظات الحالة. تنطبق Power Automate التدفقات على الحالات وأي مستخدم في نطاق النهج.

لا يحتاج العملاء الذين لديهم اشتراكات Microsoft 365 تتضمن إدارة المخاطر الداخلية إلى تراخيص Power Automate إضافية لاستخدام قوالب إدارة المخاطر الداخلية الموصى بها Power Automate. يمكن تخصيص هذه القوالب لدعم مؤسستك وتغطية سيناريوهات إدارة المخاطر الداخلية الأساسية. إذا اخترت استخدام ميزات Power Automate المتميزة في هذه القوالب، أو إنشاء قالب مخصص باستخدام موصل Microsoft Purview، أو استخدام قوالب Power Automate لمناطق التوافق الأخرى في Microsoft 365، فقد تحتاج إلى المزيد من تراخيص Power Automate.

يتم توفير قوالب Power Automate التالية للعملاء لدعم أتمتة العمليات لمستخدمي إدارة المخاطر الداخلية وحالاتهم:

  • إعلام المستخدمين عند إضافتهم إلى نهج المخاطر الداخلية: هذا القالب للمؤسسات التي لديها نهج داخلية أو خصوصية أو متطلبات تنظيمية يجب إعلام المستخدمين عندما يخضعون لنهج إدارة المخاطر الداخلية. عند تكوين هذا التدفق وتحديده لمستخدم في صفحة المستخدمين ، يتم إرسال رسالة بريد إلكتروني للمستخدمين ومديريهم عند إضافة المستخدم إلى نهج إدارة المخاطر الداخلية. يدعم هذا القالب أيضا تحديث قائمة SharePoint مستضافة على موقع SharePoint للمساعدة في تعقب تفاصيل رسالة الإعلام مثل التاريخ/الوقت ومستلم الرسالة. إذا اخترت إخفاء هوية المستخدمين في إعدادات الخصوصية، فلن تعمل التدفقات التي تم إنشاؤها من هذا القالب كما هو مقصود بحيث يتم الحفاظ على خصوصية المستخدم. تتوفر Power Automate التدفقات باستخدام هذا القالب على لوحة معلومات المستخدمين.

  • طلب معلومات من الموارد البشرية أو الأعمال حول مستخدم في حالة مخاطر من الداخل: عند العمل على حالة ما، قد يحتاج محللو المخاطر الداخلية والمحققون إلى استشارة الموارد البشرية أو أصحاب المصلحة الآخرين لفهم سياق أنشطة الحالة. عند تكوين هذا التدفق وتحديده لحالة ما، يرسل المحللون والمحققون رسالة بريد إلكتروني إلى أصحاب المصلحة في مجال الموارد البشرية والأعمال الذين تم تكوينهم لهذا التدفق. يتم إرسال رسالة لكل مستلم مع خيارات استجابة تم تكوينها مسبقا أو قابلة للتخصيص. عندما يحدد المستلمون خيار استجابة، يتم تسجيل الاستجابة كملاحظة حالة وتتضمن معلومات المستلم والتاريخ/الوقت. إذا اخترت إخفاء هوية المستخدمين في إعدادات الخصوصية، فلن تعمل التدفقات التي تم إنشاؤها من هذا القالب كما هو مقصود بحيث يتم الحفاظ على خصوصية المستخدم. تتوفر Power Automate التدفقات باستخدام هذا القالب على لوحة معلومات الحالات.

  • إعلام المدير عندما يكون لدى المستخدم تنبيه مخاطر من الداخل: قد تحتاج بعض المؤسسات إلى إعلام إدارة فوري عندما يكون لدى المستخدم تنبيه لإدارة المخاطر الداخلية. عند تكوين هذا التدفق وتحديده، يتم إرسال رسالة بريد إلكتروني إلى مدير مستخدم الحالة مع المعلومات التالية حول جميع تنبيهات الحالة:

    • النهج المعمول به للتنبيه
    • تاريخ/وقت التنبيه
    • مستوى خطورة التنبيه

    يحدث التدفق تلقائيا ملاحظات الحالة التي تم إرسال الرسالة بها وأنه تم تنشيط التدفق. إذا اخترت إخفاء هوية المستخدمين في إعدادات الخصوصية، فلن تعمل التدفقات التي تم إنشاؤها من هذا القالب كما هو مقصود بحيث يتم الحفاظ على خصوصية المستخدم. تتوفر Power Automate التدفقات باستخدام هذا القالب على لوحة معلومات الحالات.

  • إنشاء سجل لحالة المخاطر الداخلية في ServiceNow: هذا القالب مخصص للمؤسسات التي تريد استخدام حل ServiceNow لتعقب حالات إدارة المخاطر الداخلية. في حالة ما، يمكن لمحللين ومحققي المخاطر من الداخل إنشاء سجل للحالة في ServiceNow. يمكنك تخصيص هذا القالب لتعبئة الحقول المحددة في ServiceNow استنادا إلى متطلبات مؤسستك. تتوفر Power Automate التدفقات باستخدام هذا القالب على لوحة معلومات الحالات. لمزيد من المعلومات حول حقول ServiceNow المتوفرة، راجع المقالة المرجعية ServiceNow Connector .

إنشاء تدفق Power Automate من قالب إدارة المخاطر الداخلية

لإنشاء تدفق Power Automate من قالب إدارة المخاطر الداخلية الموصى به، ستستخدم عناصر تحكم الإعدادات في حل إدارة المخاطر Insider في مدخل توافق Microsoft Purview أو خيار إدارة تدفقات Power Automate من عنصر التحكم Automate عند العمل مباشرة في لوحات معلومات الحالات أو المستخدمين.

لإنشاء تدفق Power Automate في منطقة الإعدادات، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin. لإنشاء تدفق Power Automate باستخدام خيار إدارة تدفقات Power Automate، يجب أن تكون عضوا في مجموعة دور إدارة المخاطر الداخلية واحدة على الأقل.

أكمل الخطوات التالية لإنشاء تدفق Power Automate من قالب إدارة المخاطر الداخلية الموصى به:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر ل Insider وحدد إعدادات > مخاطر Insider Power Automate التدفقات. يمكنك أيضا الوصول من صفحات لوحات معلومات "الحالات" أو "المستخدمون" عن طريق اختيار تدفقات Power Automate AutomateManage > .
  2. في صفحة تدفقات Power Automate، حدد قالبا موصى به من قوالب إدارة المخاطر في Insider التي قد تعجبك في القسم الموجود على الصفحة.
  3. يسرد التدفق الاتصالات المضمنة اللازمة للتدفق وسيلاحظ ما إذا كانت حالات الاتصال متوفرة. إذا لزم الأمر، قم بتحديث أي اتصالات لا يتم عرضها على أنها متوفرة. حدد متابعة.
  4. بشكل افتراضي، يتم تكوين التدفقات الموصى بها مسبقا مع إدارة المخاطر الداخلية الموصى بها وحقول بيانات الخدمة Microsoft 365 المطلوبة لإكمال المهمة المعينة للتدفق. إذا لزم الأمر، قم بتخصيص مكونات التدفق باستخدام عنصر تحكم إظهار الخيارات المتقدمة وتكوين الخصائص المتوفرة لمكون التدفق.
  5. إذا لزم الأمر، أضف أي خطوات أخرى إلى التدفق عن طريق تحديد الزر "خطوة جديدة ". في معظم الحالات، لا ينبغي أن تكون هناك حاجة إلى ذلك للقوالب الافتراضية الموصى بها.
  6. حدد "حفظ مسودة " لحفظ التدفق لمزيد من التكوين أو حدد "حفظ" لإكمال تكوين التدفق.
  7. حدد "إغلاق" للعودة إلى صفحة تدفق Power Automate. سيتم إدراج القالب الجديد كتدفق على علامات تبويب التدفقات الخاصة بي ، وسيتوفر تلقائيا من عنصر تحكم القائمة المنسدلة Automate عند العمل مع حالات إدارة المخاطر الداخلية للمستخدم الذي يقوم بإنشاء التدفق.

هام

إذا كان المستخدمون الآخرون في مؤسستك بحاجة إلى الوصول إلى التدفق، فيجب مشاركة التدفق.

إنشاء تدفق Power Automate مخصص لإدارة المخاطر الداخلية

قد تكون بعض العمليات وسير العمل لمؤسستك خارج قوالب تدفق إدارة المخاطر الداخلية الموصى بها وقد تحتاج إلى إنشاء تدفقات Power Automate مخصصة لمناطق إدارة المخاطر الداخلية. Power Automate التدفقات مرنة وتدعم التخصيص الشامل، ولكن هناك خطوات يجب اتخاذها للتكامل مع ميزات إدارة المخاطر الداخلية.

أكمل الخطوات التالية لإنشاء قالب Power Automate مخصص لإدارة المخاطر الداخلية:

  1. تحقق من ترخيص تدفق Power Automate: لإنشاء تدفقات Power Automate مخصصة تستخدم مشغلات إدارة المخاطر الداخلية، ستحتاج إلى ترخيص Power Automate. لا تتطلب قوالب تدفق إدارة المخاطر الداخلية الموصى بها ترخيصا إضافيا ويتم تضمينها كجزء من ترخيص إدارة المخاطر الداخلية.
  2. إنشاء تدفق تلقائي: إنشاء تدفق يقوم بتنفيذ مهمة واحدة أو أكثر بعد تشغيله بواسطة حدث إدارة المخاطر من الداخل. للحصول على تفاصيل حول كيفية إنشاء تدفق تلقائي، راجع إنشاء تدفق في Power Automate.
  3. حدد موصل Microsoft Purview: ابحث عن موصل Microsoft Purview وحدده. يتيح هذا الموصل مشغلات وإجراءات إدارة المخاطر الداخلية. لمزيد من المعلومات حول الموصلات، راجع مقالة نظرة عامة حول مرجع الموصل .
  4. اختر مشغلات إدارة المخاطر الداخلية لتدفقك: تحتوي إدارة المخاطر الداخلية على مشغلين متاحين لتدفقات Power Automate المخصصة:
    • لحالة إدارة المخاطر الداخلية المحددة: يمكن تحديد التدفقات مع هذا المشغل من صفحة لوحة معلومات حالات إدارة المخاطر الداخلية.
    • لمستخدم محدد لإدارة المخاطر الداخلية: يمكن تحديد التدفقات مع هذا المشغل من صفحة لوحة معلومات مستخدمي إدارة المخاطر الداخلية.
  5. اختر إجراءات إدارة المخاطر الداخلية لتدفقك: يمكنك الاختيار من بين عدة إجراءات لإدارة المخاطر الداخلية لتضمينها في التدفق المخصص:
    • الحصول على تنبيه إدارة المخاطر الداخلية
    • الحصول على حالة إدارة المخاطر الداخلية
    • الحصول على مستخدم إدارة المخاطر الداخلية
    • الحصول على تنبيهات إدارة المخاطر الداخلية لحالة ما
    • إضافة ملاحظة حالة إدارة المخاطر الداخلية

مشاركة تدفق Power Automate

بشكل افتراضي، تتوفر تدفقات Power Automate التي أنشأها المستخدم فقط لهذا المستخدم. لكي يتمكن مستخدمو إدارة المخاطر الداخلية الآخرين من الوصول إلى التدفق واستخدامه، يجب أن يشارك منشئ التدفق التدفق. لمشاركة تدفق، ستستخدم عناصر تحكم الإعدادات في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview أو خيار "إدارة تدفقات Power Automate" من عنصر التحكم "أتمتة" عند العمل مباشرة في صفحات لوحة معلومات "الحالات" أو "المستخدمون". بمجرد مشاركة تدفق، يمكن لكل شخص تمت مشاركته معه الوصول إلى التدفق في القائمة المنسدلة لعنصر التحكم Automate في لوحات معلومات "Case" و"User".

لمشاركة تدفق Power Automate في منطقة الإعدادات، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin. لمشاركة تدفق Power Automate مع خيار إدارة تدفقات Power Automate، يجب أن تكون عضوا في مجموعة دور إدارة المخاطر الداخلية واحدة على الأقل.

أكمل الخطوات التالية لمشاركة تدفق Power Automate:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر ل Insider وحدد إعدادات > مخاطر Insider Power Automate التدفقات. يمكنك أيضا الوصول من صفحات لوحات معلومات "الحالات" أو "المستخدمون" عن طريق اختيار تدفقات Power Automate AutomateManage > .
  2. في صفحة تدفقات Power Automate، حدد علامة التبويب "تدفقاتي" أو "الفريق".
  3. حدد التدفق المطلوب مشاركته، ثم حدد "مشاركة " من قائمة خيارات التدفق.
  4. في صفحة مشاركة التدفق، أدخل اسم المستخدم أو المجموعة التي تريد إضافتها كمالك للتدفق.
  5. في مربع الحوار "الاتصال المستخدم "، حدد "موافق " للإقرار بأن المستخدم أو المجموعة المضافة سيكون لها حق الوصول الكامل إلى التدفق.

تحرير تدفق Power Automate

لتحرير تدفق، ستستخدم عناصر تحكم الإعدادات في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview أو خيار إدارة تدفقات Power Automate من عنصر التحكم Automate عند العمل مباشرة في لوحات معلومات الحالات أو المستخدمين.

لتحرير تدفق Power Automate في منطقة الإعدادات، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin. لتحرير تدفق Power Automate باستخدام خيار إدارة تدفقات Power Automate، يجب أن تكون عضوا في مجموعة دور إدارة المخاطر الداخلية واحدة على الأقل.

أكمل الخطوات التالية لتحرير تدفق Power Automate:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر ل Insider وحدد إعدادات > مخاطر Insider Power Automate التدفقات. يمكنك أيضا الوصول من صفحات لوحات معلومات "الحالات" أو "المستخدمون" عن طريق اختيار تدفقات Power Automate AutomateManage > .
  2. في صفحة تدفقات Power Automate، حدد تدفقا لتحريره وحدد "تحرير" من قائمة التحكم في التدفق.
  3. حدد علامة الحذف > الإعدادات لتغيير إعداد مكون تدفق أو علامة > الحذف لحذف مكون تدفق.
  4. حدد "حفظ" ثم "إغلاق " لإكمال تحرير التدفق.

حذف تدفق Power Automate

لحذف تدفق، ستستخدم عناصر تحكم الإعدادات في حل إدارة المخاطر ل Insider في مدخل توافق Microsoft Purview أو خيار "إدارة تدفقات Power Automate" من عنصر التحكم Automate عند العمل مباشرة في لوحات معلومات "الحالات" أو "المستخدمون". عند حذف تدفق، تتم إزالته كخيار لجميع المستخدمين.

لحذف تدفق Power Automate في منطقة الإعدادات، يجب أن تكون عضوا في مجموعة دور Insider Risk Management أو Insider Risk Management Admin. لحذف تدفق Power Automate باستخدام خيار إدارة تدفقات Power Automate، يجب أن تكون عضوا في مجموعة دور إدارة المخاطر الداخلية واحدة على الأقل.

أكمل الخطوات التالية لحذف تدفق Power Automate:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر ل Insider وحدد إعدادات > مخاطر Insider Power Automate التدفقات. يمكنك أيضا الوصول من صفحات لوحات معلومات "الحالات" أو "المستخدمون" عن طريق اختيار تدفقات Power Automate AutomateManage > .
  2. في صفحة تدفقات Power Automate، حدد تدفقا لحذفه وحدد "حذف" من قائمة التحكم في التدفق.
  3. في مربع حوار تأكيد الحذف، حدد "حذف " لإزالة التدفق أو حدد "إلغاء الأمر" لإنهاء إجراء الحذف.

Microsoft Teams (معاينة)

يمكن لمحللين ومحققي الامتثال بسهولة استخدام Microsoft Teams للتعاون في حالات إدارة المخاطر الداخلية. يمكنهم التنسيق والتواصل مع المساهمين الآخرين في Microsoft Teams من أجل:

  • تنسيق أنشطة الاستجابة ومراجعتها للحالات في قنوات Teams الخاصة
  • مشاركة الملفات والأدلة المتعلقة بحالات فردية وتخزينها بأمان
  • تعقب أنشطة الاستجابة التي يقوم بها المحللون والمحققون ومراجعتها

بعد تمكين Microsoft Teams لإدارة المخاطر الداخلية، يتم إنشاء فريق Microsoft Teams مخصص في كل مرة يتم فيها تأكيد تنبيه وإنشاء حالة. بشكل افتراضي، يتضمن الفريق تلقائيا جميع أعضاء Insider Risk Management، ومحللو Insider Risk Management، ومجموعات أدوار محققي إدارة المخاطر من Insider (ما يصل إلى 100 مستخدم أولي). يمكن إضافة مساهمين إضافيين في المؤسسة إلى الفريق بعد إنشائه، حسب الاقتضاء. بالنسبة للحالات الحالية التي تم إنشاؤها قبل تمكين Microsoft Teams، يمكن للمحللين والباحثين اختيار إنشاء فريق Microsoft Teams جديد عند العمل في حالة ما إذا لزم الأمر. بمجرد حل الحالة المقترنة في إدارة المخاطر الداخلية، تتم أرشفة الفريق تلقائيا (يتم نقله إلى مخفي وقراءة فقط).

لمزيد من المعلومات حول كيفية استخدام الفرق والقنوات في Microsoft Teams، راجع نظرة عامة على الفرق والقنوات في Microsoft Teams.

تمكين دعم Microsoft Teams للحالات أمر سريع وسهل التكوين. لتمكين Microsoft Teams لإدارة المخاطر الداخلية، أكمل الخطوات التالية:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إعدادات المخاطر الخاصة بإدارة > المخاطر في Insider.
  2. حدد صفحة Microsoft Teams.
  3. تمكين تكامل Microsoft Teams لإدارة المخاطر الداخلية.
  4. حدد "حفظ " لتكوينه والخروج منه.

Microsoft Teams إدارة المخاطر الداخلية.

إنشاء فريق Microsoft Teams للحالات الموجودة

إذا قمت بتمكين دعم Microsoft Teams لإدارة المخاطر الداخلية بعد أن تكون لديك حالات موجودة، فستحتاج إلى إنشاء فريق لكل حالة يدويا حسب الحاجة. بعد تمكين دعم Microsoft Teams في إعدادات إدارة المخاطر الداخلية، ستنشئ الحالات الجديدة تلقائيا فريق Microsoft Teams جديد.

يحتاج المستخدمون إلى إذن لإنشاء مجموعات Microsoft 365 في مؤسستك لإنشاء فريق Microsoft Teams من حالة. لمزيد من المعلومات حول إدارة الأذونات مجموعات Microsoft 365، راجع إدارة الأشخاص الذين يمكنهم إنشاء مجموعات Microsoft 365.

لإنشاء فريق لحالة ما، ستستخدم عنصر تحكم إنشاء فريق Microsoft عند العمل مباشرة في حالة موجودة. أكمل الخطوات التالية لإنشاء فريق جديد:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى Insider risk managementCases > وحدد حالة موجودة.
  2. في قائمة إجراءات الحالة، حدد "إنشاء فريق Microsoft".
  3. في حقل اسم الفريق، أدخل اسما لفريق Microsoft Teams الجديد.
  4. حدد إنشاء فريق Microsoft ثم حدد "إغلاق".

اعتمادا على عدد المستخدمين المعينين لمجموعات دور إدارة المخاطر الداخلية، قد يستغرق الأمر 15 دقيقة حتى تتم إضافة جميع المحققين والمحللين إلى فريق Microsoft Teams لحالة ما.

تحليلات

تمكنك تحليلات المخاطر الداخلية من إجراء تقييم للمخاطر الداخلية المحتملة في مؤسستك دون تكوين أي نهج مخاطر من الداخل. يمكن أن يساعد هذا التقييم مؤسستك على تحديد المجالات المحتملة ذات مخاطر المستخدم الأعلى والمساعدة في تحديد نوع ونطاق نهج إدارة المخاطر الداخلية التي قد تفكر في تكوينها. توفر عمليات فحص التحليلات المزايا التالية لمؤسستك:

  • من السهل تكوين: للبدء في عمليات المسح الضوئي للتحليلات، يمكنك تحديد تشغيل الفحص عند مطالبتك بتوصية التحليلات أو الانتقال إلى إعدادات > المخاطر InsiderAnalytics وتمكين التحليلات.
  • الخصوصية حسب التصميم: يتم إرجاع نتائج الفحص والرؤى كنشاط مستخدم مجمع ومجهول الهوية، ولا يمكن تحديد أسماء المستخدمين الفردية من قبل المراجعين.
  • فهم المخاطر المحتملة من خلال الرؤى الموحدة: يمكن أن تساعدك نتائج الفحص على تحديد مجالات المخاطر المحتملة للمستخدمين بسرعة والنهج الأفضل للمساعدة في التخفيف من هذه المخاطر.

اطلع على فيديو Insider Risk Management Analytics للمساعدة في فهم كيف يمكن أن تساعد التحليلات في تسريع تحديد المخاطر الداخلية المحتملة وتساعدك على اتخاذ إجراء بسرعة.

تفحص التحليلات أحداث نشاط المخاطر من عدة مصادر للمساعدة في تحديد الرؤى حول مجالات المخاطر المحتملة. استنادا إلى التكوين الحالي، تبحث التحليلات عن أنشطة المخاطر المؤهلة في المجالات التالية:

  • Microsoft 365 سجلات التدقيق: مضمنة في جميع عمليات الفحص، هذا هو المصدر الأساسي لتحديد معظم الأنشطة التي يحتمل أن تكون محفوفة بالمخاطر.
  • Exchange Online: يساعد نشاط Exchange Online المضمن في جميع عمليات الفحص على تحديد الأنشطة التي يتم فيها إرسال البيانات الموجودة في المرفقات عبر البريد الإلكتروني إلى جهات الاتصال أو الخدمات الخارجية.
  • Azure Active Directory: مضمن في جميع عمليات الفحص، يساعد محفوظات Azure Active Directory على تحديد الأنشطة المحفوفة بالمخاطر المقترنة بالمستخدمين الذين لديهم حسابات مستخدمين محذفة.
  • Microsoft 365 موصل بيانات الموارد البشرية: إذا تم تكوينه، تساعد أحداث موصل الموارد البشرية في تحديد الأنشطة المحفوفة بالمخاطر المقترنة بالمستخدمين الذين لديهم تواريخ إنهاء مؤقتة أو قادمة.

تستند تحليلات التحليلات المعرفية من عمليات الفحص إلى نفس إشارات نشاط المخاطر المستخدمة من قبل نهج إدارة المخاطر الداخلية ونتائج التقارير استنادا إلى كل من أنشطة المستخدم الفردية والتسلسلية. ومع ذلك، يستند تسجيل المخاطر للتحليلات إلى ما يصل إلى 10 أيام من النشاط بينما تستخدم نهج المخاطر الداخلية النشاط اليومي للحصول على نتائج التحليلات. عند تمكين التحليلات وتشغيلها لأول مرة في مؤسستك، سترى نتائج الفحص ليوم واحد. إذا تركت التحليلات ممكنة، فسترى نتائج كل عملية فحص يومية تمت إضافتها إلى تقارير التحليلات للحصول على الحد الأقصى لنطاق النشاط العشرة أيام السابقة.

تمكين التحليلات وبدء الفحص

لتمكين تحليلات المخاطر الداخلية، يجب أن تكون عضوا في Insider Risk Management أو Insider Risk Management Admin أو Microsoft 365 Global admin role group. أكمل الخطوات التالية لتمكين تحليلات المخاطر الداخلية:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر في Insider.
  2. حدد "تشغيل الفحص " على "المسح الضوئي" بحثا عن المخاطر الداخلية في بطاقة مؤسستك على علامة التبويب "نظرة عامة على إدارة المخاطر من الداخل". يؤدي ذلك إلى تشغيل فحص التحليلات لمؤسستك. يمكنك أيضا تشغيل الفحص في مؤسستك من خلال الانتقال إلى إعدادات > المخاطر InsiderAnalytics وتمكين فحص نشاط مستخدم المستأجر لتحديد المخاطر الداخلية المحتملة.
  3. في جزء "Analytics details "، حدد "Run scan " لبدء الفحص لمؤسستك. قد تستغرق نتائج فحص التحليلات ما يصل إلى 48 ساعة قبل توفر نتائج التحليلات كتقارير للمراجعة.

إعدادات تحليلات إدارة المخاطر من Insider.

عرض رؤى التحليلات وإنشاء نهج جديدة

بعد اكتمال فحص التحليلات الأول لمؤسستك، سيتلقى أعضاء مجموعة دور مسؤول إدارة المخاطر في Insider إعلاما بالبريد الإلكتروني تلقائيا ويمكنهم عرض الرؤى الأولية والتوصيات لأنشطة يحتمل أن تكون محفوفة بالمخاطر من قبل المستخدمين. تستمر عمليات الفحص اليومية ما لم تقم بإيقاف تشغيل التحليلات لمؤسستك. يتم توفير إعلامات البريد الإلكتروني للمسؤولين لكل فئة من الفئات الثلاث داخل النطاق للتحليلات (تسرب البيانات والسرقة والتسريب) بعد المثيل الأول للنشاط في مؤسستك. لا يتم إرسال إعلامات البريد الإلكتروني إلى المسؤولين للكشف عن نشاط المتابعة الناتج عن عمليات الفحص اليومية. إذا تم تعطيل التحليلات في إدارة > المخاطر في Insider الإعدادات > تم تعطيلAnalytics ثم إعادة تمكينها في مؤسستك، تتم إعادة تعيين إعلامات البريد الإلكتروني التلقائية ويتم إرسال رسائل البريد الإلكتروني إلى أعضاء مجموعة دور مسؤول إدارة المخاطر في Insider للحصول على رؤى فحص جديدة.

لعرض المخاطر المحتملة لمؤسستك، انتقل إلى علامة التبويب "نظرة عامة " وحدد "عرض النتائج " على بطاقة تحليلات المخاطر ل Insider . إذا لم يكتمل الفحص لمؤسستك، فسترى رسالة تفيد بأن الفحص لا يزال نشطا.

تقرير تحليلات إدارة المخاطر من Insider عن بطاقة جاهزة.

بالنسبة إلى عمليات الفحص المكتملة، سترى المخاطر المحتملة المكتشفة في مؤسستك والرؤى والتوصيات لمعالجة هذه المخاطر. يتم تضمين المخاطر المحددة والرؤى المحددة في التقارير المجمعة حسب المنطقة، والعدد الإجمالي للمستخدمين الذين لديهم مخاطر محددة، والنسبة المئوية لهؤلاء المستخدمين الذين لديهم أنشطة يحتمل أن تكون محفوفة بالمخاطر، ونهج المخاطر الداخلية الموصى به للمساعدة في التخفيف من هذه المخاطر. تتضمن التقارير ما يلي:

  • تحليلات تسرب البيانات: الأنشطة لجميع المستخدمين التي قد تتضمن الإفراط في المشاركة العرضية للمعلومات خارج مؤسستك أو تسرب البيانات من قبل المستخدمين الذين لديهم هدف ضار.
  • رؤى سرقة البيانات: أنشطة للمستخدمين المغادرين أو المستخدمين الذين لديهم حسابات Azure Active Directory المحذوفة التي قد تتضمن مشاركة خطرة للمعلومات خارج مؤسستك أو سرقة البيانات من قبل المستخدمين الذين لديهم هدف ضار.
  • أفضل رؤى النقل غير المصرح به: الأنشطة التي يقوم بها جميع المستخدمين والتي قد تتضمن مشاركة البيانات خارج مؤسستك.

تقرير نظرة عامة على تحليلات إدارة المخاطر من Insider.

لعرض مزيد من المعلومات للحصول على نتيجة تحليلات، حدد "عرض التفاصيل " لعرض جزء التفاصيل للحصول على نتيجة التحليل. يتضمن جزء التفاصيل نتائج التحليلات الكاملة، وتوصيات نهج المخاطر الداخلية، والزر "إنشاء نهج " لمساعدتك على إنشاء النهج الموصى به بسرعة. يؤدي تحديد "إنشاء نهج" إلى ينقلك إلى معالج النهج ويحدد تلقائيا قالب النهج الموصى به المتعلق بالرؤى. على سبيل المثال، إذا كانت نتيجة التحليلات الخاصة بنشاط تسرب البيانات ، فسيتم تحديد قالب نهج تسرب البيانات العامة مسبقا في معالج النهج نيابة عنك.

تقرير تفاصيل تحليلات إدارة المخاطر من Insider.

إيقاف تشغيل التحليلات

لإيقاف تشغيل تحليلات المخاطر الداخلية، يجب أن تكون عضوا في Insider Risk Management أو Insider Risk Management Admin أو Microsoft 365 Global admin role group. بعد تعطيل التحليلات، ستظل تقارير التحليلات المعرفية ثابتة ولن يتم تحديثها للمخاطر الجديدة.

أكمل الخطوات التالية لإيقاف تشغيل تحليلات المخاطر الداخلية:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إدارة المخاطر في Insider.
  2. حدد صفحة Insider risk settingsAnalytics > .
  3. في صفحة Analytics ، أوقف تشغيل فحص نشاط مستخدم المستأجر لتحديد المخاطر الداخلية المحتملة.

إعلامات المسؤول

ترسل إعلامات المسؤول تلقائيا إعلاما بالبريد الإلكتروني إلى مجموعات أدوار إدارة المخاطر الداخلية القابلة للتحديد. يمكنك تمكين الإعلامات وتعيين مجموعات الأدوار التي ستتلقى الإعلامات للسيناريوهات التالية:

  • أرسل رسالة إعلام بالبريد الإلكتروني عند إنشاء التنبيه الأول لنهج جديد. يتم التحقق من النهج كل 24 ساعة لا يتم إرسال التنبيهات والإشعارات لأول مرة على التنبيهات اللاحقة للنهج.
  • أرسل بريدا إلكترونيا يوميا عند إنشاء تنبيهات جديدة عالية الخطورة. يتم فحص النهج كل 24 ساعة للتنبيهات عالية الخطورة.
  • إرسال بريد إلكتروني أسبوعي يلخص النهج التي تحتوي على تحذيرات لم يتم حلها

إذا قمت بتمكين تحليلات إدارة المخاطر الداخلية لمؤسستك، فسيتلقى أعضاء مجموعة دور مسؤول إدارة المخاطر في Insider إعلاما بالبريد الإلكتروني تلقائيا للحصول على رؤى التحليلات الأولية لتسريب البيانات والسرقة وأنشطة النقل غير المصرح به.

إذا كنت تفضل تعطيل إعلامات المسؤول والتحليلات، فأكمل الخطوات التالية:

  1. في مدخل الامتثال ل Microsoft Purview، انتقل إلى إعدادات المخاطر الخاصة بإدارة > المخاطر في Insider.

  2. حدد صفحة إعلامات المسؤول .

  3. قم بإلغاء تحديد خانة الاختيار للخيارات التالية حسب الاقتضاء:

    • إرسال رسالة إعلام بالبريد الإلكتروني عند إنشاء التنبيه الأول لنهج جديد
    • إرسال إعلام بالبريد الإلكتروني عند توفر نظرة ثاقبة جديدة في Analytics
    • إرسال إعلام بالبريد الإلكتروني عند إيقاف تشغيل Analytics

  4. حدد "حفظ " لتكوينه والخروج منه.