Принятие мер в отношении случаев управления внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Случаи являются сердцем управления внутренними рисками и позволяют глубоко исследовать проблемы, созданные индикаторами риска, определенными в политике, и принимать меры по их решению. Случаи создаются вручную на основе оповещений в ситуациях, когда для решения проблемы, связанной с соответствием требованиям для пользователя, требуются дальнейшие действия. Каждый случай ограничен одним пользователем, и несколько оповещений для пользователя могут быть добавлены в существующий или новый случай.

Изучив детали дела, вы можете выполнить следующие действия:

• Отправка пользователю уведомления
• Разрешение дела как доброкачественного
• Предоставление доступа к делу экземпляру ServiceNow или получателю электронной почты
• Эскалация дела для исследования обнаружения электронных данных (Premium)

Общие сведения о том, как расследуются и управляются случаи в управлении внутренними рисками в управлении внутренними рисками, см. в видео о расследовании и эскалации внутренних рисков.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Панель мониторинга вариантов

Панель мониторинга случаев управления внутренними рисками позволяет просматривать случаи и работать с ней. Каждое мини-приложение отчета на панели мониторинга отображает сведения за последние 30 дней.

• Активные случаи: общее число активных расследуемых случаев.
• Дела за последние 30 дней: общее количество созданных обращений, отсортированных по активному и закрытому состоянию.
• Статистика: среднее время активных обращений, указанное в часах, днях или месяцах.

В очереди обращений перечислены все активные и закрытые обращения для вашей организации в дополнение к текущему состоянию следующих атрибутов обращения:

• Идентификатор обращения: идентификатор дела.
• Имя обращения: имя случая, определяемое при подтверждении оповещения и создании дела.
• Состояние: состояние дела, активно или закрыто.
• Пользователь: пользователь для дела. Если включена анонимизация для имен пользователей, отображается анонимная информация.
• Время открытия дела: время, прошедшее с момента открытия дела.
• Всего оповещений политики: количество совпадений политик, включенных в дело. Это число может увеличиться при добавлении новых оповещений к делу.
• Последнее обновление регистра: время, прошедшее с момента добавления заметки или изменения в состоянии дела.
• Последнее обновление: имя аналитика по управлению внутренними рисками или следователя, которые последний раз обновляли дело.

Примечание.

Если ваши политики ограничены одной или несколькими административными единицами, право владения делом может быть предоставлено только пользователям управления внутренними рисками с соответствующими разрешениями группы ролей, а пользователь, выделенный в оповещении, должен находиться в область подразделения администрирования. Например, если административное область применяется только к пользователям в Германии, пользователь управления внутренними рисками может видеть только оповещения для пользователей в Германии. Неограниченные администраторы могут просматривать все случаи для всех пользователей в организации.

Используйте элемент управления Поиск для поиска идентификатора регистра или поиска определенного текста в именах регистров. Используйте фильтр вариантов для сортировки вариантов по следующим атрибутам:

• Состояние
• Время открытия дела, дата начала и дата окончания
• Последнее обновление:, дата начала и дата окончания

Назначение дела

Если вы являетесь администратором с соответствующими разрешениями, вы можете назначить право владения делом себе или пользователю управления внутренними рисками с ролью "Управление внутренними рисками", "Аналитик по управлению внутренними рисками" или "Следователь по управлению внутренними рисками". После назначения дела его также можно переназначить пользователю с любой из этих же ролей. Вы можете назначить обращение только одному администратору за раз.

Если администратор назначен к делу, можно выполнить фильтрацию по администратору.

Назначение дела на панели мониторинга "Обращения"

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. На панели мониторинга Варианты выберите варианты, которые нужно назначить.
5. На панели кнопок над очередью обращений выберите Назначить.
6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
7. Нажмите Назначить.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. На панели мониторинга Варианты выберите варианты, которые нужно назначить.
5. На панели кнопок над очередью обращений выберите Назначить.
6. В области Назначение владельца в правой части экрана найдите администратора с соответствующими разрешениями, а затем установите флажок для этого администратора.
7. Нажмите Назначить.

Назначение дела на странице сведений о случаях

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите дело.
5. В области сведений о случае слева от кнопки Разрешить обращение выберите Назначить.
6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите дело.
5. В области сведений о случае слева от кнопки Разрешить обращение выберите Назначить.
6. В списке Рекомендуемые контакты выберите соответствующего администратора.

Фильтрация вариантов

В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди обращений может оказаться сложной задачей. Использование фильтров вариантов может помочь аналитикам и следователям сортировать дела по нескольким атрибутам. Чтобы отфильтровать оповещения на панели мониторинга Варианты, выберите элемент управления Фильтр . Варианты можно фильтровать по одному или нескольким атрибутам:

• Состояние. Выберите одно или несколько значений состояния, чтобы отфильтровать список вариантов. Параметры : Активный и Закрытый.
• Время открытия дела. Выберите даты начала и окончания, когда дело было открыто.
• Последнее обновление. Выберите даты начала и окончания, когда было обновлено дело.

Фильтрация вариантов, сохранение представления набора фильтров, настройка столбцов или поиск оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации проверка большой очереди обращений может оказаться сложной задачей. Чтобы отслеживать случаи, вы можете:

• Фильтрация вариантов по различным атрибутам.
• Сохраните представление набора фильтров для повторного использования позже.
• Отображение или скрытие столбцов.
• Поиск оповещения.

Фильтрация вариантов

1. Выберите Добавить фильтр.

2. Выберите один или несколько из следующих атрибутов:

   Атрибут	Описание
   Кому назначено	Администратор, которому назначено оповещение для рассмотрения (если назначено).
   Последнее обновление дела	Даты начала и окончания последнего обновления дела.
   Состояние	Текущее состояние дела. Параметры : Активный и Закрытый.
   Время открытия дела	Начальная и конечная даты открытия дела.

   Выбираемые атрибуты добавляются на панель фильтра.

3. Выберите атрибут на панели фильтра, а затем выберите значение для фильтрации. Например, выберите атрибут Дата последнего действия , введите или выберите даты в полях Дата начала и Дата окончания , а затем нажмите кнопку Применить.

   Совет

   Если вы хотите начать заново в любой момент, выберите Сбросить все на панели фильтров.

Сохранение представления набора фильтров для повторного использования позже

1. После применения фильтров, как описано в предыдущей процедуре, нажмите кнопку Сохранить над панелью фильтров, введите имя для набора фильтров и нажмите кнопку Сохранить.

   Набор фильтров добавляется как карта над панелью фильтра. Он содержит число, показывающее количество вариантов, соответствующих условиям в наборе фильтров.

   Примечание.

   Можно сохранить до пяти наборов фильтров. Если вам нужно удалить набор фильтров, нажмите кнопку с многоточием (три точки) в правом верхнем углу карта и нажмите кнопку Удалить.

2. Чтобы повторно применить сохраненный набор фильтров, просто выберите карта для набора фильтров.

Отображение или скрытие столбцов

1. В правой части страницы выберите Настроить столбцы.

2. Установите или снимите флажки для столбцов, которые нужно отобразить или скрыть.

Параметры столбцов сохраняются в сеансах и браузерах.

Поиск для оповещений

Используйте элемент управления Поиск для поиска имени участника-пользователя (UPN), назначенного имени администратора или идентификатора оповещения.

Изучение дела

Более глубокое исследование оповещений об управлении внутренними рисками имеет решающее значение для принятия надлежащих корректирующих действий. Случаи управления внутренними рисками — это центральный инструмент управления, который позволяет глубже ознакомиться с историей действий пользователей, подробными сведениями об оповещениях, последовательностью событий риска, а также для изучения содержимого и сообщений, подверженных рискам. Аналитики рисков и следователи также используют варианты для централизации отзывов и примечаний, а также для обработки разрешения случаев.

При выборе дела открываются средства управления делами, а аналитики и исследователи могут вникнуть в детали дел.

Обзор дела

Вкладка Обзор дела содержит сведения о случае для аналитиков рисков и следователей. Он содержит следующие сведения в области Об этом случае.

• Идентификатор обращения: идентификатор дела.
• Состояние: текущее состояние дела, активно или закрыто.
• Case created on : дата и время создания дела.
• Оценка риска пользователя: текущий вычисляемый уровень риска пользователя для обращения. Эта оценка вычисляется каждые 24 часа и использует оценки риска оповещений из всех активных оповещений, связанных с пользователем. При обнаружении пользователя как потенциального пользователя с высоким влиянием или пользователя, являющегося членом приоритетной группы пользователей , активируется повышение уровня риска в разделе Индикаторы политики на странице параметров управления внутренними рисками , на странице Сведения о пользователе содержатся подробные сведения об расчетном уровне риска пользователя.
• Email: псевдоним электронной почты пользователя для обращения.
• Организация или отдел: организация или отдел, которым назначен пользователь.
• Имя руководителя: имя руководителя пользователя.
• Адрес электронной почты руководителя. Псевдоним электронной почты руководителя пользователя.

Вкладка Обзор вариантов также содержит раздел Оповещения , содержащий следующие сведения об оповещениях соответствия политик, связанных с делом:

• Соответствие политике: имя политики управления внутренними рисками, связанной с оповещениями о совпадениях о потенциально рискованных действиях пользователей, которые могут привести к инциденту безопасности.
• Состояние: состояние оповещения.
• Серьезность: серьезность оповещения.
• Время обнаружения: время, прошедшее с момента создания оповещения.

Оповещения

На вкладке Оповещения перечислены текущие оповещения, включенные в дело. Новые оповещения могут быть добавлены в существующее дело, и они будут добавлены в очередь оповещений по мере их назначения. В очереди перечислены следующие атрибуты оповещения:

• Оповещение
• Идентификатор оповещения
• Состояние
• Серьезность
• Время обнаружения

Выберите оповещение из очереди, чтобы отобразить страницу сведений об оповещении .

Используйте элемент управления поиск для поиска идентификатора оповещения или поиска определенного текста в именах оповещений. Используйте фильтр оповещений для сортировки вариантов по следующим атрибутам:

• Состояние
• Серьезность
• Время обнаружения, дата начала и дата окончания

Используйте элемент управления filter для фильтрации оповещений по нескольким атрибутам, включая:

• Состояние. Выберите одно или несколько значений состояния для фильтрации списка оповещений. Доступные параметры: Подтверждено, Закрыто, Требуется проверкаи Устранено.
• Серьезность. Выберите один или несколько уровней серьезности риска оповещений, чтобы отфильтровать список оповещений. Возможные варианты: Высокий, Среднийи Низкий.
• Время обнаружения. Выберите даты начала и окончания, когда было создано оповещение.
• Политика. Выберите одну или несколько политик для фильтрации оповещений, созданных выбранными политиками.

Действия пользователей

Вкладка Действия пользователя позволяет аналитикам рисков и следователям просматривать сведения о действиях пользователей и использовать визуальное представление всех потенциально рискованных действий, связанных с оповещениями о рисках и случаями, чтобы определить, могут ли эти рискованные действия привести к инциденту безопасности. Например, в рамках процесса рассмотрения оповещений аналитикам может потребоваться просмотреть все действия по рискам, связанные с делом, для получения дополнительных сведений. В случаях специалисты по анализу рисков могут просматривать сведения о действиях пользователей и пузырьковую диаграмму, чтобы помочь понять общее область действий по риску, связанных с делом. Дополнительные сведения о диаграмме Активности пользователей см. в статье Действия по управлению внутренними рисками .

Обозреватель действий (предварительная версия)

Вкладка Обозреватель действий позволяет аналитикам рисков и следователям просматривать сведения о действиях, связанных с оповещениями о рисках. Например, в рамках действий по управлению делом следователям и аналитикам может потребоваться просмотреть все действия по риску, связанные с делом, для получения дополнительных сведений. С помощью обозревателя действий проверяющие могут быстро изучить временная шкала обнаруженных потенциально опасных действий, а также выявить и фильтровать все действия, связанные с оповещениями.

Дополнительные сведения об обозревателе действий см. в статье Действия по управлению внутренними рисками .

Улики

Вкладка Судебно-медицинские доказательства позволяет следователям за рисками просматривать визуальные записи, связанные с действиями по рискам, включенными в дела. Например, в рамках действий по управлению делами следователям может потребоваться помочь прояснить контекст проверяемой активности пользователя. Просмотр фактических клипов действия может помочь следователю определить, является ли действие пользователя потенциально рискованным и может ли привести к инциденту безопасности.

Дополнительные сведения о судебно-медицинских доказательствах см. в статье Сведения о судебно-медицинских доказательствах управления внутренними рисками .

Обозреватель содержимого

Вкладка "Обозреватель содержимого " позволяет следователям за рисками просматривать копии всех отдельных файлов и сообщений электронной почты, связанных с оповещениями о рисках. Например, если оповещение создается, когда пользователь скачивает сотни файлов из SharePoint Online и действие активирует оповещение политики, все скачанные файлы для оповещения записываются и копируются в дело управления внутренними рисками из исходных источников хранилища.

Обозреватель содержимого — это мощный инструмент с базовыми и расширенными функциями поиска и фильтрации. Дополнительные сведения об использовании обозревателя содержимого см. в статье Управление внутренними рисками.

Примечания к обращению

На вкладке "Заметки к делу" аналитики рисков и следователи делятся комментариями, отзывами и аналитическими сведениями о своей работе по делу. Заметки являются постоянными дополнениями к делу и не могут быть изменены или удалены после сохранения заметки. Когда дело создается из оповещения, комментарии, введенные в диалоговом окне Подтвердить оповещения и создать случай внутреннего риска, автоматически добавляются в качестве заметки к делу.

На панели мониторинга заметок к обращению отображаются заметки пользователя, создавшего заметку, и время, прошедшее с момента сохранения заметки. Чтобы найти в текстовом поле заметки к регистру конкретный ключевое слово, нажмите кнопку Поиск на панели мониторинга обращения и введите определенную ключевое слово.

Добавление заметки к обращению

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите случай, а затем перейдите на вкладку Заметки о регистре .
5. Выберите Добавить примечание к обращению.
6. В диалоговом окне Добавление заметки о регистре введите примечание.
7. Нажмите кнопку Сохранить , чтобы добавить примечание в дело.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите случай, а затем перейдите на вкладку Заметки о регистре .
5. Выберите Добавить примечание к обращению.
6. В диалоговом окне Добавление заметки о регистре введите примечание.
7. Нажмите кнопку Сохранить , чтобы добавить примечание в дело.

Участники

Вкладка Участники в деле — это место, где аналитики и исследователи рисков могут добавлять в дело других проверяющих. По умолчанию все пользователи, назначенные следователям по управлению внутренними рисками и роли Управления внутренними рисками , перечислены в качестве участников для каждого активного и закрытого дела.

Временный доступ к делу можно предоставить, добавив пользователя в качестве участник, но со следующими ограничениями:

• Аналитики и следователи могут добавлять участников
• Аналитики не могут быть добавлены в качестве участников
• Участники не могут добавлять участников

Участники имеют все функции управления делами для конкретного случая, за исключением следующих:

• Разрешение на подтверждение или отклонение оповещений
• Разрешение на изменение участников для дел

Добавление участник в дело

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите вариант, а затем перейдите на вкладку Участники .
5. Выберите Добавить участник.
6. В диалоговом окне Добавление участник начните вводить имя пользователя, которого нужно добавить, а затем выберите пользователя из списка рекомендуемых пользователей. Этот список создается из Microsoft Entra ID подписки клиента.
7. Выберите Добавить, чтобы добавить пользователя в качестве участник.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите вариант, а затем перейдите на вкладку Участники .
5. Выберите Добавить участник.
6. В диалоговом окне Добавление участник начните вводить имя пользователя, которого нужно добавить, а затем выберите пользователя из списка рекомендуемых пользователей. Этот список создается из Microsoft Entra ID подписки клиента.
7. Выберите Добавить, чтобы добавить пользователя в качестве участник.

Действия с делом

Специалисты по анализу рисков могут принять меры по делу одним из нескольких способов в зависимости от серьезности дела, истории риска пользователя и руководящих принципов риска вашей организации. В некоторых ситуациях может потребоваться передать дело пользователю или анализ данных для совместной работы с другими областями организации и более глубокого изучения рисков. Управление внутренними рисками тесно интегрировано с другими решениями Microsoft Purview, чтобы помочь вам в комплексном управлении разрешениями.

Отправка уведомления по электронной почте

В большинстве случаев действия пользователей, создающие оповещения о внутренних рисках, непреднамеренно или случайны. Отправка уведомления с напоминанием пользователю по электронной почте является эффективным методом для документирования проверки и действий, а также является способом напоминания пользователям о корпоративных политиках или указания им на обучение по обновлению. Уведомления создаются на основе шаблонов уведомлений, созданных для инфраструктуры управления внутренними рисками.

Важно помнить, что отправка уведомления по электронной почте пользователю не разрешает дело как закрытое. В некоторых случаях может потребоваться оставить дело открытым после отправки уведомления пользователю, чтобы найти дополнительные действия по риску, не открывая новое дело. Если необходимо разрешить дело после отправки уведомления, необходимо выбрать Рассмотрение дела в качестве последующего шага после отправки уведомления.

Отправка уведомления пользователю, назначенному для обращения

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите дело, а затем нажмите кнопку Отправить уведомление по электронной почте на панели инструментов действия дела.
5. В диалоговом окне Отправка уведомления по электронной почте выберите раскрывающийся список Выберите шаблон уведомления , чтобы выбрать шаблон уведомления. Этот выбор предварительно заполняет другие поля в уведомлении.
6. Просмотрите поля уведомлений и обновите их соответствующим образом. Введенные значения переопределяют значения в шаблоне.
7. Нажмите кнопку Отправить , чтобы отправить уведомление пользователю. Все отправленные уведомления добавляются в очередь заметок о обращении на панели мониторинга заметок о обращении .

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите дело, а затем нажмите кнопку Отправить уведомление по электронной почте на панели инструментов действия дела.
5. В диалоговом окне Отправка уведомления по электронной почте выберите раскрывающийся список Выберите шаблон уведомления , чтобы выбрать шаблон уведомления. Этот выбор предварительно заполняет другие поля в уведомлении.
6. Просмотрите поля уведомлений и обновите их соответствующим образом. Введенные значения переопределяют значения в шаблоне.
7. Нажмите кнопку Отправить , чтобы отправить уведомление пользователю. Все отправленные уведомления добавляются в очередь заметок о обращении на панели мониторинга заметок о обращении .

Передать для исследования

Эскалация дела для исследования пользователей в ситуациях, когда требуется дополнительная юридическая проверка для действий пользователя, связанных с рисками. Эта эскалация открывает новое дело Microsoft Purview eDiscovery (Премиум) в организации Microsoft 365. eDiscovery (премиум) обеспечивает комплексный рабочий процесс для сохранения, сбора, проверки, анализа и экспорта содержимого, используемого во внутренних и внешних судебных разбирательствах в вашей организации. Он также позволяет группе юристов управлять всем рабочим процессом уведомления об удержании по юридическим причинам, чтобы общаться с хранителями, участвующими в деле. Эскалация до дела eDiscovery (Premium) из дела по управлению внутренними рисками помогает вашей юридической команде принять соответствующие меры и управлять сохранением содержимого. Дополнительные сведения о случаях обнаружения электронных данных (Premium) см. в статье Обзор Microsoft Purview eDiscovery (Premium).

Передача дела в исследование пользователя

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите дело, а затем нажмите кнопку Эскалация для исследования на панели инструментов действия дела.
5. В диалоговом окне Эскалация для исследования введите имя для нового исследования пользователей. При необходимости введите заметки о случае и нажмите кнопку Эскалация.
6. Просмотрите поля уведомлений и обновите их соответствующим образом. Введенные значения переопределяют значения в шаблоне.
7. Выберите Подтвердить , чтобы создать дело для исследования пользователей.

После того как дело по управлению внутренними рисками было передано в новое дело по расследованию пользователей, вы можете просмотреть новое дело в области eDiscovery>Advanced на портале Microsoft Purview.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите дело, а затем нажмите кнопку Эскалация для исследования на панели инструментов действия дела.
5. В диалоговом окне Эскалация для исследования введите имя для нового исследования пользователей. При необходимости введите заметки о случае и нажмите кнопку Эскалация.
6. Просмотрите поля уведомлений и обновите их соответствующим образом. Введенные значения переопределяют значения в шаблоне.
7. Выберите Подтвердить , чтобы создать дело для исследования пользователей.

После того как дело по управлению внутренними рисками было передано в новое дело по расследованию пользователей, вы можете просмотреть новое дело в области eDiscovery>Advanced в Портал соответствия требованиям Microsoft Purview.

Выполнение автоматизированных задач с помощью потоков Power Automate для обращения

Используя рекомендуемые потоки Power Automate, специалисты по рискам и аналитики могут быстро принять меры для:

• Запросите у отдела кадров или компании сведения о пользователе в случае инсайдерского риска.
• Уведомлять руководителя, когда у пользователя есть оповещение о внутренних рисках.
• Создайте запись для обращения по управлению внутренними рисками в ServiceNow.
• Уведомлять пользователей о добавлении в политику внутренних рисков.

Запуск, управление и создание потоков Power Automate для обращения по управлению внутренними рисками:

1. Выберите Автоматизировать на панели инструментов действия обращения.
2. Выберите поток Power Automate для запуска, а затем выберите Запустить поток.
3. После завершения потока нажмите кнопку Готово.

Дополнительные сведения о потоках Power Automate для управления внутренними рисками см. в статье Начало работы с параметрами управления внутренними рисками.

Просмотр или создание команды Microsoft Teams для этого дела

Если интеграция Microsoft Teams для управления внутренними рисками включена в параметрах, команда Microsoft Teams автоматически создается при каждом подтверждении оповещения и создании обращения. Специалисты по анализу рисков и аналитики могут быстро открыть Microsoft Teams и перейти непосредственно к команде по делу, выбрав Просмотреть команду Microsoft Teams на панели инструментов действий по делу.

Для случаев, открытых перед включением интеграции с Microsoft Team, следователи по рискам и аналитики могут создать новую команду Microsoft Teams для дела, выбрав Создать команду Microsoft Teams на панели инструментов действия дела.

При разрешении проблемы связанная команда Майкрософт будет автоматически архивирована (скрыта и преобразована в режим только для чтения).

Дополнительные сведения о Microsoft Teams для управления внутренними рисками см. в статье Начало работы с параметрами управления внутренними рисками.

Решение проблемы

После того как аналитики рисков и следователи завершили свою проверку и расследование, дело может быть разрешено, чтобы действовать по всем оповещениям, включенным в настоящее время в дело. При разрешении дела добавляется классификация разрешения, изменяется состояние обращения на Закрыто, а причины действий по разрешению автоматически добавляются в очередь заметок о обращении на панели мониторинга заметок о обращении . Дела разрешаются как:

• Доброкачественные. Классификация для случаев, когда оповещения о совпадении политики оцениваются как низкий риск, несерьёзные или ложноположительные.
• Подтвержденное нарушение политики. Классификация для случаев, когда оповещения о совпадении политик оцениваются как рискованные, серьезные или являются результатом злонамеренного намерения.

Разрешение обращения

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Выберите Варианты в области навигации слева.
4. Выберите случай, а затем нажмите кнопку Разрешить обращение на панели инструментов действия обращения.
5. В диалоговом окне Разрешение случая выберите раскрывающийся список Разрешить как , чтобы выбрать классификацию разрешения для дела. Возможные варианты: Доброкачественное или Подтвержденное нарушение политики.
6. В диалоговом окне Разрешение случая введите причины для классификации разрешения в текстовом поле Действие.
7. Выберите Разрешить, чтобы закрыть дело.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview, используя учетные данные для учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите на вкладку Варианты .
4. Выберите случай, а затем нажмите кнопку Разрешить обращение на панели инструментов действия обращения.
5. В диалоговом окне Разрешение случая выберите раскрывающийся список Разрешить как , чтобы выбрать классификацию разрешения для дела. Возможные варианты: Доброкачественное или Подтвержденное нарушение политики.
6. В диалоговом окне Разрешение случая введите причины для классификации разрешения в текстовом поле Действие.
7. Выберите Разрешить, чтобы закрыть дело.