Начало работы с управлением внутренними рискамиGet started with insider risk management

Используйте инсайдерскую политику управления рисками для определения рискованных действий и средств управления для действий по оповещениям о рисках в организации.Use insider risk management policies to identify risky activities and management tools to act on risk alerts in your organization. Выполните следующие действия, чтобы настроить необходимые условия и настроить внутреннюю политику управления рисками.Complete the following steps to set up prerequisites and configure an insider risk management policy.

Важно!

Решение microsoft 365 по управлению рисками изнутри предоставляет параметр уровня клиента, чтобы помочь клиентам облегчить внутреннее управление на уровне пользователей.The Microsoft 365 insider risk management solution provides a tenant level option to help customers facilitate internal governance at the user level. Администраторы уровня клиента могут настроить разрешения для предоставления доступа к этому решению для членов организации и настроить соединители данных в центре соответствия требованиям Microsoft 365 для импорта соответствующих данных для поддержки идентификации потенциально рискованных действий на уровне пользователей.Tenant level administrators can set up permissions to provide access to this solution for members of your organization and set up data connectors in the Microsoft 365 compliance center to import relevant data to support user level identification of potentially risky activity. Клиенты признают, что сведения, связанные с поведением, характером или производительностью отдельного пользователя, связанными с занятостью, могут быть рассчитаны администратором и доступны другим пользователям организации.Customers acknowledge insights related to the individual user's behavior, character, or performance materially related to employment can be calculated by the administrator and made available to others in the organization. Кроме того, клиенты признают, что они должны проводить собственное полное расследование, связанное с поведением, характером или производительностью отдельного пользователя, материально связанными с занятостью, а не только полагаться на сведения из службы управления рисками, связанной с инсайдерской деятельностью.In addition, customers acknowledge that they must conduct their own full investigation related to the individual user's behavior, character, or performance materially related to employment, and not just rely on insights from the insider risk management service. Клиенты несут полную ответственность за использование службы управления рисками изнутри Microsoft 365 и любые связанные функции или службы в соответствии со всеми применимыми законами, в том числе законами, связанными с идентификацией отдельных пользователей и любыми действиями по исправлению.Customers are solely responsible for using the Microsoft 365 insider risk management service, and any associated feature or service in compliance with all applicable laws, including laws relating to individual user identification and any remediation actions.

Дополнительные сведения о том, как политики инсайдерского риска могут помочь вам управлять рисками в организации, см. в статью Управление рисками insider в Microsoft 365.For more information about how insider risk policies can help you manage risk in your organization, see Insider risk management in Microsoft 365.

Подписки и лицензированиеSubscriptions and licensing

Прежде чем начать работу с управлением рисками, необходимо подтвердить подписку на Microsoft 365 и все надстройки.Before you get started with insider risk management, you should confirm your Microsoft 365 subscription and any add-ons. Чтобы получить доступ к управлению рисками и использовать ее, организация должна иметь одну из следующих подписок или надстройок:To access and use insider risk management, your organization must have one of the following subscriptions or add-ons:

  • Подписка на Microsoft 365 E5 (платная или пробная версия)Microsoft 365 E5 subscription (paid or trial version)
  • Подписка microsoft 365 E3 + надстройка соответствия требованиям Microsoft 365 E5Microsoft 365 E3 subscription + the Microsoft 365 E5 Compliance add-on
  • Подписка microsoft 365 E3 + надстройка для управления рисками для инсайдеров Microsoft 365 E5Microsoft 365 E3 subscription + the Microsoft 365 E5 Insider Risk Management add-on
  • Подписка microsoft 365 A5 (платная или пробная версия)Microsoft 365 A5 subscription (paid or trial version)
  • Подписка microsoft 365 A3 + надстройка соответствия требованиям Microsoft 365 A5Microsoft 365 A3 subscription + the Microsoft 365 A5 Compliance add-on
  • Подписка microsoft 365 A3 + надстройка microsoft 365 A5 Для управления рискамиMicrosoft 365 A3 subscription + the Microsoft 365 A5 Insider Risk Management add-on
  • Подписка microsoft 365 G5 (платная или пробная версия)Microsoft 365 G5 subscription (paid or trial version)
  • Подписка microsoft 365 G3 + надстройка соответствия требованиям Microsoft 365 G5Microsoft 365 G3 subscription + the Microsoft 365 G5 Compliance add-on
  • Подписка microsoft 365 G3 + надстройка microsoft 365 G5 Insider Risk ManagementMicrosoft 365 G3 subscription + the Microsoft 365 G5 Insider Risk Management add-on
  • Подписка на Office 365 E3 + корпоративная мобильность и безопасность E3 + надстройка соответствия требованиям Microsoft 365 E5Office 365 E3 subscription + Enterprise Mobility and Security E3 + the Microsoft 365 E5 Compliance add-on

Пользователям, включенным в инсайдерскую политику управления рисками, должна быть назначена одна из вышеуказанных лицензий.Users included in insider risk management policies must be assigned one of the licenses above.

Если у вас нет существующего плана Microsoft 365 Enterprise E5 и вы хотите попробовать управление рисками изнутри, вы можете добавить Microsoft 365 в существующую подписку или зарегистрироваться на пробную попытку Microsoft 365 Enterprise E5. If you don't have an existing Microsoft 365 Enterprise E5 plan and want to try insider risk management, you can add Microsoft 365 to your existing subscription or sign up for a trial of Microsoft 365 Enterprise E5.

Шаг 1. Включить разрешения для управления рисками изнутриStep 1: Enable permissions for insider risk management

Важно!

После настройки групп ролей может потребоваться до 30 минут, чтобы разрешения группы ролей применялись к назначенным пользователям в вашей организации.After configuring your role groups, it may take up to 30 minutes for the role group permissions to apply to assigned users across your organization.

Существует четыре группы ролей, используемых для настройки разрешений для управления функциями управления рисками.There are four roles groups used to configure permissions to manage insider risk management features. Чтобы продолжить эти действия по настройке, администраторы клиента должны сначала назначить вас в группу "Управление рисками инсайдеров" или "Администратор управления рисками" (Insider Risk Management Admin).To continue with these configuration steps, your tenant administrators must first assign you to the Insider Risk Management or Insider Risk Management Admin role group. Чтобы получить доступ к функциям управления рисками и управлять ими после начальной конфигурации, пользователи должны быть членами по крайней мере одной группы ролей управления рисками.To access and manage insider risk management features after initial configuration, users must be a member of at least one insider risk management role group.

В зависимости от структуры команды управления соответствием требованиям вы можете назначать пользователей в определенные группы ролей для администрирования различных наборов функций управления внутренними рисками.Depending on the structure of your compliance management team, you have options to assign users to specific role groups to manage different sets of insider risk management features. Чтобы просмотреть вкладку Permissions в Центре обеспечения безопасности Office 365 & и управлять группами ролей, вам необходимо быть назначены группе ролей управления организацией или вам должна быть назначена роль управления ролью. To view the Permissions tab in the Office 365 Security & Compliance Center and manage role groups, you need to be assigned to the Organization Management role group or need to be assigned the Role Management role. Выберите из этих параметров групп ролей при настройке управления рисками изнутри:Choose from these role group options when configuring insider risk management:

Группа ролейRole group Разрешения ролиRole permissions
Управление рисками на инсайдерской сторонеInsider Risk Management Используйте эту группу ролей для управления внутренними рисками вашей организации в одной группе.Use this role group to manage insider risk management for your organization in a single group. Добавляя все учетные записи пользователей для назначенных администраторов, аналитиков, исследователей и аудиторов, можно настроить разрешения на управление рисками изнутри в одной группе.By adding all user accounts for designated administrators, analysts, investigators, and auditors you can configure insider risk management permissions in a single group. Эта группа ролей содержит все роли разрешений на управление рисками и связанные с ними разрешения.This role group contains all the insider risk management permission roles and associated permissions. Эта конфигурация является самым простым способом быстрого начала работы с управлением рисками изнутри и подходит для организаций, которые не нуждаются в отдельных разрешениях, определенных для отдельных групп пользователей.This configuration is the easiest way to quickly get started with insider risk management and is a good fit for organizations that do not need separate permissions defined for separate groups of users.
Администратор управления рисками изнутриInsider Risk Management Admin Используйте эту группу ролей, чтобы сначала настроить управление рисками инсайдеров, а затем сегрегировать администраторов инсайдерской группы риска в определенную группу.Use this role group to initially configure insider risk management and later to segregate insider risk administrators into a defined group. Пользователи этой группы ролей могут включить и просмотреть аналитические сведения и создать, прочитать, обновить и удалить политики управления рисками, глобальные параметры и назначения групп ролей.Users in this role group can enable and view analytics insights and create, read, update, and delete insider risk management policies, global settings, and role group assignments.
Аналитики по управлению внутренними рискамиInsider Risk Management Analysts Используйте эту группу для назначения разрешений пользователям, которые будут выступать в качестве аналитиков в случаях внутреннего риска.Use this group to assign permissions to users that will act as insider risk case analysts. Пользователи в этой группе ролей могут получать доступ ко всем уведомлениям об управлении рисками, делам, аналитическим сведениям и шаблонам уведомлений.Users in this role group can access and view all insider risk management alerts, cases, analytics insights, and notices templates. Они не могут получить доступ к проводнику контента с инсайдерской угрозой.They cannot access the insider risk Content explorer.
Исследователи управления внутренними рискамиInsider Risk Management Investigators Используйте эту группу для назначения разрешений пользователям, которые будут выступать в качестве исследователей данных внутренних рисков.Use this group to assign permissions to users that will act as insider risk data investigators. Пользователи этой группы ролей могут получать доступ ко всем предупреждениям, случаям, шаблонам уведомлений и обозревателю контента для всех случаев.Users in this role group can access to all insider risk management alerts, cases, notices templates, and the Content explorer for all cases.
Внутренние аудиторы по управлению рискамиInsider Risk Management Auditors Используйте эту группу для назначения разрешений пользователям, которые будут проверять действия по управлению рисками.Use this group to assign permissions to users that will audit insider risk management activities. Пользователи в этой группе ролей могут получить доступ к журналу аудита рисков инсайдерской группы.Users in this role group can access the insider risk audit log.

Примечание

Эти группы ролей в настоящее время не поддерживаются в привилегированном управлении удостоверениями (PIM).These role groups are currently not supported on Privileged Identity Management (PIM). Дополнительные данные о PIM см. в видеоролике Назначение ролей Azure AD в привилегированном управлении удостоверениями.To learn more about PIM, see Assign Azure AD roles in Privileged Identity Management.

Добавление пользователей в группу ролей для управления рисками изнутриAdd users to an insider risk management role group

Выполните следующие действия, чтобы добавить пользователей в группу ролей для управления рисками изнутри:Complete the following steps to add users to an insider risk management role group:

  1. https://protection.office.com/permissionsВпишитесь в использование учетных данных для учетной записи администратора в организации Microsoft 365.Sign into https://protection.office.com/permissions using credentials for an admin account in your Microsoft 365 organization.

  2. В Центре соответствия & требованиям безопасности перейдите к разрешениям.In the Security & Compliance Center, go to Permissions. Выберите ссылку для просмотра и управления ролями в Office 365.Select the link to view and manage roles in Office 365.

  3. Выберите группу ролей управления рисками, в которую необходимо добавить пользователей, а затем группу Изменить роль.Select the insider risk management role group you want to add users to, then select Edit role group.

  4. Выберите Выберите членов из левой области навигации, а затем выберите Изменить.Select Choose members from the left navigation pane, then select Edit.

  5. Выберите Добавить, а затем выберите почтовый ящик для всех пользователей, которые необходимо добавить в группу ролей.Select Add and then select the checkbox for all users you want to add to the role group.

  6. Выберите Добавить, а затем выберите Готово.Select Add, then select Done.

  7. Выберите Сохранить, чтобы добавить пользователей в группу ролей.Select Save to add the users to the role group. Выберите Close для выполнения действий.Select Close to complete the steps.

Шаг 2. Включить журнал аудита Microsoft 365Step 2: Enable the Microsoft 365 audit log

Управление рисками изнутри использует журналы аудита Microsoft 365 для анализа и действий пользователей, выявленных в анализах политик и аналитики.Insider risk management uses Microsoft 365 audit logs for user insights and activities identified in policies and analytics insights. Журналы аудита Microsoft 365 — это сводка всех действий в вашей организации, и политики управления рисками изнутри могут использовать эти действия для создания анализа политики.The Microsoft 365 audit logs are a summary of all activities within your organization and insider risk management policies may use these activities for generating policy insights.

Пошаговая инструкция по включению аудита см. в журнале Turn audit log search on or off.For step-by-step instructions to turn on auditing, see Turn audit log search on or off. После включения ведения аудита появится сообщение о подготовке журнала аудита, и через пару часов, когда она будет завершена, вы сможете начать поиск.After you turn on auditing, a message is displayed that says the audit log is being prepared and that you can run a search in a couple of hours after the preparation is complete. Это действие необходимо сделать только один раз.You only have to do this action once. Дополнительные сведения об использовании журнала аудита Microsoft 365 см. в журнале Search the audit.For more information about the using the Microsoft 365 audit log, see Search the audit log.

Шаг 3. Включить и просмотреть сведения об аналитике рисков для инсайдеров (необязательно)Step 3: Enable and view insider risk analytics insights (optional)

Внутренняя аналитика управления рисками позволяет проводить оценку потенциальных рисков, связанных с инсайдерской деятельностью в организации, без настройки каких-либо политик риска, связанных с инсайдерской деятельностью.Insider risk management analytics enables you to conduct an evaluation of potential insider risks in your organization without configuring any insider risk policies. Эта оценка может помочь организации определить потенциальные области повышенного риска пользователей и определить тип и область политики управления рисками, которые можно настроить.This evaluation can help your organization identify potential areas of higher user risk and help determine the type and scope of insider risk management policies you may consider configuring. Эта оценка также может помочь определить потребности в дополнительном лицензировании или будущей оптимизации существующих политик.This evaluation may also help you determine needs for additional licensing or future optimization of existing policies. Результаты проверки аналитики могут занять до 48 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.Analytics scan results may take up to 48 hours before insights are available as reports for review. Дополнительные сведения о аналитических сведениях см. в дополнительных сведениях о параметрах управления рисками insider: Analytics (preview) и ознакомьтесь с видеороликом Insider Risk Management Analytics, чтобы понять, как аналитика может помочь ускорить выявление потенциальных рисков, связанных с инсайдерской деятельностью, и помочь вам быстро принять меры.To learn more about analytics insights, see Insider risk management settings: Analytics (preview) and check out the Insider Risk Management Analytics video to help understand how analytics can help accelerate the identification of potential insider risks and help you to quickly take action.

Чтобы включить инсайдерской аналитики рисков, вы должны быть членом insider Risk Management, Insider Risk Management Admin или Microsoft 365 Global admin role group.To enable insider risk Analytics, you must be a member of the Insider Risk Management, Insider Risk Management Admin, or Microsoft 365 Global admin role group.

Выполните следующие действия, чтобы включить внутреннюю аналитику рисков:Complete the following steps to enable insider risk analytics:

  1. В центре соответствия требованиям Microsoft 365перейдите к управлению рисками insider.In the Microsoft 365 compliance center, go to Insider risk management.
  2. Выберите сканирование run on the Scan для оценки рисков, связанных с инсайдерской деятельностью, в карточке организации на вкладке Обзор управления рисками. Это действие включает сканирование аналитики для организации.Select Run scan on the Scan for insider risks in your organization card on the insider risk management Overview tab. This action turns on analytics scanning for your organization. Вы также можете включить сканирование в организации, переходя на параметры риска insider > Analytics (предварительный просмотр) и позволяя сканировать действия пользователей клиента для выявления потенциальных рисков, связанных с инсайдерской деятельностью.You can also turn on scanning in your organization by navigating to Insider risk settings > Analytics (preview) and enabling Scan your tenant's user activity to identify potential insider risks.
  3. На области сведений аналитики выберите сканирование run, чтобы запустить сканирование для организации.On the Analytics details pane, select Run scan to start the scan for your organization. Результаты проверки аналитики могут занять до 24 часов, прежде чем сведения будут доступны в качестве отчетов для проверки.Analytics scan results may take up to 24 hours before insights are available as reports for review.

Проанализировав аналитические сведения, выберите политики риска инсайдеров и настройте связанные с ними предпосылки, которые наилучшим образом соответствуют стратегии по смягчению рисков, связанных с инсайдерской деятельностью организации.After reviewing the analytics insights, choose the insider risk policies and configure the associated prerequisites that best meet your organization's insider risk mitigation strategy.

Шаг 4. Настройка необходимых условий для политикStep 4: Configure prerequisites for policies

Большинство политик управления рисками изнутри имеют необходимые условия, которые необходимо настроить для индикаторов политики для создания соответствующих оповещений о действиях.Most insider risk management policies have prerequisites that must be configured for policy indicators to generate relevant activity alerts. Настройте необходимые условия в зависимости от политик, которые планируется настроить для организации.Configure the appropriate prerequisites depending on the policies you plan to configure for your organization.

Настройка соединитетеля кадров Microsoft 365Configure Microsoft 365 HR connector

Управление рисками изнутри поддерживает импорт пользовательских и журнальных данных, импортируемых с платформ управления рисками и кадровых ресурсов.Insider risk management supports importing user and log data imported from 3rd-party risk management and human resources platforms. Соединители данных по персоналу (HR) Microsoft 365 позволяют получать данные о персонале из CSV-файлов, включая даты прекращения работы пользователей, последние даты работы, уведомления об улучшении производительности, действия по проверке производительности и состояние изменения уровня работы.The Microsoft 365 Human Resources (HR) data connector allows you to pull in human resources data from CSV files, including user termination dates, last employment dates, performance improvement plan notifications, performance review actions, and job level change status. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации.This data helps drive alert indicators in insider risk management policies and is an important part of configuring full risk management coverage in your organization. Если вы настроите несколько соединителю управления персоналом для организации, управление рисками изнутри автоматически извлекет индикаторы из всех соединители кадров.If you configure more than one HR connector for your organization, insider risk management will automatically pull indicators from all HR connectors.

Для использования следующих шаблонов политики требуется подключать персонал Microsoft 365:The Microsoft 365 HR connector is required when using the following policy templates:

  • Убывка кражи данных пользователейDeparting user data theft
  • Нарушения политики безопасности при отбытии пользователейSecurity policy violations by departing users
  • Нарушения политики безопасности недовольными пользователямиSecurity policy violations by disgruntled users
  • Утечка данных недовольными пользователямиData leaks by disgruntled users

В статье Настройка соединители для импорта статьи кадровой информации для пошагового руководства по настройке hr-соединиттеля Microsoft 365 для вашей организации.See the Set up a connector to import HR data article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization. После настройки соединитетеля управления персоналом вернись к этим шагам настройки.After you've configured the HR connector, return to these configuration steps.

Настройка политик предотвращения потери данных (DLP)Configure Data Loss Prevention (DLP) policies

Управление рисками для инсайдеров поддерживает использование политик DLP для выявления преднамеренного или случайного контакта конфиденциальной информации с нежелательными сторонами для оповещений ОДН высокого уровня серьезности.Insider risk management supports using DLP policies to help identify the intentional or accidental exposure of sensitive information to unwanted parties for High severity level DLP alerts. При настройке политики управления рисками с помощью любого из шаблонов утечки данных необходимо назначить политику определенной политики DLP.When configuring an insider risk management policy with any of the Data leaks templates, you must assign a specific DLP policy to the policy.

Политики DLP помогают определить пользователей для активации оценки рисков в управлении рисками для управления рисками с высокой степенью серьезности для конфиденциальной информации и являются важной частью настройки полного охвата управления рисками в организации.DLP policies help identify users to activate risk scoring in insider risk management for high severity DLP alerts for sensitive information and are an important part of configuring full risk management coverage in your organization. Дополнительные сведения об управлении рисками и интеграции политики DLP и планировании см. в таблице Политики управления рисками insider.For more information about insider risk management and DLP policy integration and planning considerations, see Insider risk management policies.

Важно!

Убедитесь, что вы завершили следующее:Make sure you've completed the following:

  • Вы понимаете и правильно настраиваете пользователей в области как политики управления рисками, так и политики управления рисками изнутри, чтобы получить ожидаемую страховку политики.You understand and properly configure the in-scope users in both the DLP and insider risk management policies to produce the policy coverage you expect.
  • Убедитесь, что параметр Отчеты об инцидентах в политике DLP для управления рисками изнутри, используемый с этими шаблонами, настроен для оповещений высокого уровня серьезности.Make sure the Incident reports setting in the DLP policy for insider risk management used with these templates are configured for High severity level alerts. Оповещений об управлении рисками из политик DLP с полем отчетов об инцидентах на уровне Low или Medium не создается.Insider risk management alerts won't be generated from DLP policies with the Incident reports field set at Low or Medium.

При использовании следующих шаблонов политики требуется политика DLP:A DLP policy is required when using the following policy templates:

  • Общие утечки данныхGeneral data leaks
  • Утечки данных приоритетными пользователямиData leaks by priority users

В статье Создание, тестирование и настройка статьи политики DLP пошаговые инструкции по настройке политик DLP для организации.See the Create, test, and tune a DLP policy article for step-by-step guidance to configure DLP policies for your organization. После настройки политики DLP вернись к этим шагам настройки.After you've configured a DLP policy, return to these configuration steps.

Настройка приоритетных групп пользователейConfigure priority user groups

Управление рисками в инсайдерской области включает поддержку назначения приоритетных групп пользователей политикам, чтобы помочь идентификации уникальных действий риска для пользователя с критическими позициями, высоким уровнем доступа к данным и сети, а также прошлой историей поведения с рисками.Insider risk management includes support for assigning priority user groups to policies to help identity unique risk activities for user with critical positions, high levels of data and network access, or a past history of risk behavior. Создание приоритетной группы пользователей и назначение пользователей политикам области групповой помощи с учетом уникальных обстоятельств, представленных этими пользователями.Creating a priority user group and assigning users to the group help scope policies to the unique circumstances presented by these users.

При использовании следующих шаблонов политики требуется приоритетная группа пользователей:A priority user group is required when using the following policy templates:

  • Нарушения политики безопасности приоритетными пользователямиSecurity policy violations by priority users
  • Утечки данных приоритетными пользователямиData leaks by priority users

Инструкции по созданию приоритетной группы пользователей см. в статье Начало работы с настройками управления рисками изнутри.See the Getting started with insider risk management settings article for step-by-step guidance to create a priority user group. После настройки приоритетной группы пользователей вернись к этим шагам настройки.After you've configured a priority user group, return to these configuration steps.

Настройка соединители физической плохой настройки (необязательный)Configure Physical badging connector (optional)

Управление рисками в инсайдерской области поддерживает импорт пользовательских и журнальных данных с платформ физического управления и доступа.Insider risk management supports importing user and log data from physical control and access platforms. Соединитель физической ненадежности позволяет получать данные доступа из файлов JSON, включая пользовательские ИД, ID точки доступа, время и даты доступа и состояние доступа.The Physical badging connector allows you to pull in access data from JSON files, including user IDs, access point IDs, access time and dates, and access status. Эти данные помогают управлять индикаторами оповещений в политиках управления внутренними рисками, а также являются важной частью настройки максимального охвата управления рисками в вашей организации.This data helps drive alert indicators in insider risk management policies and is an important part of configuring full risk management coverage in your organization. Если вы настроите несколько физических соединителю плохой настройки для организации, управление рисками изнутри автоматически извлекет индикаторы из всех соединителок физического ненадежного управления.If you configure more than one Physical badging connector for your organization, insider risk management automatically pulls indicators from all Physical badging connectors. Сведения из соединиттеля физического ненадежного использования добавок к другим инсайдерской сигналам риска при использовании всех шаблонов политики риска.Information from the Physical badging connector supplements other insider risk signals when using all insider risk policy templates.

Важно!

Чтобы политики управления рисками изнутри использовались и сопоставляют данные сигналов, связанных с отходами и прекращенными пользователями, с данными событий из платформ физического управления и доступа, необходимо также настроить HR-соединители Microsoft 365.For insider risk management policies to use and correlate signal data related to departing and terminated users with event data from your physical control and access platforms, you must also configure the Microsoft 365 HR connector. При включении соединитетеля физической плохой работы без включения hr-соединиттеля Microsoft 365 политики управления рисками будут обрабатывать события только для несанкционированного физического доступа пользователей в вашей организации.If you enable the Physical badging connector without enabling the Microsoft 365 HR connector, insider risk management policies will only process events for unauthorized physical access for users in your organization.

См. в статье Настройка соединители для импорта физической статьи данных о ненадежных данных для пошагового руководства по настройке соединитетеля физического ненадежного управления для организации.See the Set up a connector to import physical badging data article for step-by-step guidance to configure the Physical badging connector for your organization. После настройки соединитетеля вернись к этим шагам конфигурации.After you've configured the connector, return to these configuration steps.

Настройка Microsoft Defender для конечной точки (необязательно)Configure Microsoft Defender for Endpoint (optional)

Microsoft Defender for Endpoint — это корпоративная платформа безопасности конечной точки, предназначенная для предотвращения, обнаружения, обнаружения, обнаружения и реагирования на расширенные угрозы.Microsoft Defender for Endpoint is an enterprise endpoint security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats. Чтобы лучше фиксировать нарушения безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечных точек для действий, используемых в политиках, созданных из шаблонов политики нарушений безопасности для управления рисками.To have better visibility of security violations in your organization, you can import and filter Defender for Endpoint alerts for activities used in policies created from insider risk management security violation policy templates.

Если вы создаете политики нарушения безопасности, необходимо настроить Microsoft Defender для конечной точки в организации и включить Defender для конечной точки для интеграции управления рисками изнутри в Центре безопасности Defender для импорта оповещений о нарушениях безопасности.If you create security violation policies, you'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Дополнительные сведения о требованиях см. в статье Минимальные требования к Microsoft Defender для конечных точек.For more information about requirements, see the Minimum requirements for Microsoft Defender for Endpoints article.

Дополнительные функции настройки см. в статье Defender for Endpoint для пошагового руководства по настройке Defender for Endpoint для интеграции с управлением рисками.See the Configure advanced features in Defender for Endpoint article for step-by-step guidance to configure Defender for Endpoint for insider risk management integration. После настройки защитника Microsoft для конечной точки вернись к этим шагам настройки.After you've configured the Microsoft Defender for Endpoint, return to these configuration steps.

Шаг 5. Настройка параметров риска для инсайдеровStep 5: Configure insider risk settings

Параметры риска для инсайдеров применяются к всем политикам управления рисками, независимо от выбранного шаблона при создании политики.Insider risk settings apply to all insider risk management policies, regardless of the template you chose when creating a policy. Параметры настраиваются с помощью элемента управления параметрами внутреннего риска, расположенного в верхней части всех вкладок управления внутренними рисками.Settings are configured using the Insider risk settings control located at the top of all insider risk management tabs. Эти параметры управляют конфиденциальностью, индикаторами, окнами мониторинга и интеллектуальными обнаружениями.These settings control privacy, indicators, monitoring windows, and intelligent detections.

Перед настройкой политики определите следующие параметры риска для инсайдеров:Before configuring a policy, define the following insider risk settings:

  1. В центре соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите параметры риска Insider в правом верхнем углу любой страницы.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings from the top-right corner of any page.

  2. На странице Конфиденциальность выберите параметр конфиденциальности для отображения имен пользователей для оповещений о политике.On the Privacy page, select a privacy setting for displaying usernames for policy alerts.

  3. На странице Индикаторы выберите индикаторы оповещений, которые необходимо применить для всех политик риска, связанных с инсайдерской политикой.On the Indicators page, select the alert indicators you want to apply to all insider risk policies.

    Важно!

    Для получения оповещений о рискованных действиях, определенных в политиках, необходимо выбрать один или несколько индикаторов.In order to receive alerts for risky activity defined in your policies, you must select one or more indicators. Если индикаторы не настроены в Параметры, эти показатели не будут выбраны в политиках инсайдерского риска.If indicators aren't configured in Settings, the indicators won't be selectable in insider risk policies.

  4. На странице Таймфреймы политики выберите временные рамки политики, которые должны входить в силу для пользователя, когда они запускают совпадение для политики рисков, связанных с инсайдерской политикой.On the Policy timeframes page, select the policy timeframes to go into effect for a user when they trigger a match for an insider risk policy.

  5. На странице Интеллектуальные обнаружения настройте следующие параметры для политик риска, связанных с инсайдерской политикой:On the Intelligent detections page, configure the following settings for insider risk policies:

  6. На странице Экспорт оповещений в случае необходимости ввести экспорт инсайдерской информации о рисках с помощью API управления Office 365.On the Export alerts page, enable export of insider risk alert information using the Office 365 Management APIs if needed.

  7. На странице Группы приоритетов создайте группу пользователей приоритета и добавьте пользователей, если они не созданы в шаге 3.On the Priority user groups page, create a priority user group and add users if not created in Step 3.

  8. На странице Потоки Power Automate настройте поток из шаблонов потока инсайдерской угрозы или создайте новый поток.On the Power Automate flows page, configure a flow from insider risk flow templates or create a new flow. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.See the Getting started with insider risk management settings article for step-by-step guidance.

  9. На странице Priority assets настройте приоритетные активы для использования данных с физической платформы управления и доступа, импортируемой соединитетелем физической плохой настройки.On the Priority assets page, configure priority assets to use data from your physical control and access platform imported by the Physical badging connector. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.See the Getting started with insider risk management settings article for step-by-step guidance.

  10. На странице Microsoft Teams включайте интеграцию Microsoft Teams с управлением рисками, чтобы автоматически создать группу для совместной работы с пользователями.On the Microsoft Teams page, enable Microsoft Teams integration with insider risk management to automatically create a team for case or user collaboration. Инструкции по шагу см. в статье Начало работы с настройками управления рисками изнутри.See the Getting started with insider risk management settings article for step-by-step guidance.

  11. Выберите Сохранить, чтобы включить эти параметры для политик риска, связанных с инсайдерской помощью.Select Save to enable these settings for your insider risk policies.

Шаг 6. Создание политики управления рисками изнутриStep 6: Create an insider risk management policy

Политики управления внутренними рисками включают назначенных пользователей и определяют типы индикаторов риска, для которых настроена рассылка оповещений.Insider risk management policies include assigned users and define which types of risk indicators are configured for alerts. Прежде чем действия смогут инициировать оповещения, необходимо настроить политику.Before activities can trigger alerts, a policy must be configured. Используйте мастер политики для создания новых политик управления рисками изнутри.Use the policy wizard to create new insider risk management policies.

  1. В центре соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите вкладку Политики.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. Выберите Создать политику, чтобы открыть мастер политики.Select Create policy to open the policy wizard.

  3. На странице Шаблон политики выберите категорию политики, а затем выберите шаблон для новой политики.On the Policy template page, choose a policy category and then select the template for the new policy. Эти шаблоны созданы из условий и индикаторов, определяют действия риска, которые необходимо обнаружить и исследовать.These templates are made up of conditions and indicators that define the risk activities you want to detect and investigate. Просмотрите необходимые условия шаблона, запуск событий и обнаруженные действия, чтобы подтвердить, что этот шаблон политики соответствует вашим потребностям.Review the template prerequisites, triggering events, and detected activities to confirm this policy template fits your needs.

    Важно!

    В некоторых шаблонах политики есть необходимые условия, которые необходимо настроить для создания соответствующих оповещений.Some policy templates have prerequisites that must be configured for the policy to generate relevant alerts. Если вы не настроили необходимые условия политики, см. в шаге 4 выше.If you haven't configured the applicable policy prerequisites, see Step 4 above.

  4. Выберите Далее, чтобы продолжить.Select Next to continue.

  5. На странице Имя и описание выполните следующие поля:On the Name and description page, complete the following fields:

    • Имя (обязательно): Введите удобное имя для политики.Name (required): Enter a friendly name for the policy. Это имя нельзя изменить после создания политики.This name cannot be changed after the policy is created.
    • Описание (необязательно). Введите описание политики.Description (optional): Enter a description for the policy.
  6. Выберите Далее, чтобы продолжить.Select Next to continue.

  7. На странице Пользователи и группы выберите Включить всех пользователей и групп или включить определенных пользователей и групп, чтобы определить, какие пользователи или группы включены в политику, или если вы выбрали приоритетный шаблон, основанный на пользователях; выберите Добавить или изменить приоритетные группы пользователей.On the Users and groups page, select Include all users and groups or Include specific users and groups to define which users or groups are included in the policy, or if you've chosen a priority users-based template; select Add or edit priority user groups. Выбор Включить всех пользователей и групп будет искать запуска событий для всех пользователей и групп в вашей организации, чтобы начать назначение оценки риска для политики.Selecting Include all users and groups will look for triggering events for all users and groups in your organization to start assigning risk scores for the policy. Выбор Включить определенных пользователей и групп позволяет определить, какие пользователи и группы назначать политике.Selecting Include specific users and groups allows you to define which users and groups to assign to the policy.

  8. Выберите Далее, чтобы продолжить.Select Next to continue.

  9. На странице Контент для расставить приоритеты можно назначить (при необходимости) источники для расставить приоритеты, что повышает вероятность создания оповещения о высокой степени серьезности для этих источников.On the Content to prioritize page, you can assign (if needed) the sources to prioritize, which increases the chance of generating a high severity alert for these sources. Выберите один из следующих вариантов:Select one of the following choices:

    • В качестве приоритетного контента я хочу указать сайты SharePoint, метки конфиденциальности и/или типы конфиденциальной информации.I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content. Выбор этого параметра позволит страницам детализации в мастере настроить эти каналы.Selecting this option will enable detail pages in the wizard to configure these channels.
    • Я не хочу указывать приоритетный контент прямо сейчас (вы сможете это сделать после создания политики).I don't want to specify priority content right now (you'll be able to do this after the policy is created). Выбор этого параметра позволит пропустить страницы детализации канала в мастере.Selecting this option will skip the channel detail pages in the wizard.
  10. Выберите Далее, чтобы продолжить.Select Next to continue.

  11. Если вы выбрали, я хочу указать сайты SharePoint, метки конфиденциальности и/или типы конфиденциальной информации в качестве приоритетного контента на предыдущем шаге, вы увидите страницы сведений для сайтов SharePoint, типы конфиденциальной информации и метки "Чувствительность". If you selected I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content in the previous step, you'll see the detail pages for SharePoint sites, Sensitive info types, and Sensitivity labels. Используйте эти страницы для определения типов конфиденциальной информации SharePoint и меток конфиденциальности для определения приоритетов в политике.Use these detail pages to define the SharePoint, sensitive info types, and sensitivity labels to prioritize in the policy.

    • Сайты SharePoint. Выберите добавить сайт SharePoint и выберите сайты SharePoint, к которые вы имеете доступ, и которые необходимо уделить приоритетам.SharePoint sites: Select Add SharePoint site and select the SharePoint sites you have access to and want to prioritize. Например, "group1@contoso.sharepoint.com/sites/group1".For example, "group1@contoso.sharepoint.com/sites/group1".
    • Тип конфиденциальной информации. Выберите тип конфиденциальной информации и выберите типы конфиденциальности, которые необходимо уставить приоритетам.Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. Например, "Номер банковского счета в США" и "Номер кредитной карты".For example, "U.S. Bank Account Number" and "Credit Card Number".
    • Метки чувствительности. Выберите метку Добавить метку чувствительности и выберите метки, которые необходимо узаконить.Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. Например, "Конфиденциальный" и "Секретный".For example, "Confidential" and "Secret".
  12. Выберите Далее, чтобы продолжить.Select Next to continue.

  13. На странице Индикаторы и события запуска вы увидите индикаторы, которые вы определили как доступные на странице Индикаторы параметров риска insider. > On the Indicators and triggering events page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. Если в начале мастера выбран шаблон утечки данных, необходимо выбрать политику DLP из списка отсевов политики DLP, чтобы включить индикаторы запуска политики или выбрать встроенное событие запуска.If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy or select the built-in triggering event.

    Важно!

    Если индикаторы на этой странице не могут быть выбраны, необходимо выбрать индикаторы, которые необходимо включить для всех политик.If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies. Вы можете использовать кнопку Включить индикаторы в мастере или выбрать индикаторы на странице Индикаторы политики управления рисками insider. > > You can use the Turn on indicators button in the wizard or select indicators on the Insider risk management > Settings > Policy indicators page.

    Выберите индикаторы, которые необходимо применить к политике.Select the indicators you want to apply to the policy. Если вы предпочитаете не использовать параметры порогового значения политики по умолчанию для этих показателей, отключите рекомендуемые Корпорацией Майкрософт пороговые значения использования по умолчанию и введите пороговые значения для каждого выбранного индикатора.If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator.

    • Если вы выбрали хотя бы один индикатор Office или Device, выберите ускорители оценки риска по мере необходимости. If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. Ускорители оценки риска применимы только к выбранным индикаторам.Risk score boosters are only applicable for selected indicators.
    • Если вы выбрали шаблон политики кражи данных или утечки данных, выберите один или несколько методов обнаружения последовательности и метод совокупного обнаружения эксфильтрации для применения к политике.If you've selected a Data theft or Data leaks policy template, select one or more Sequence detection methods and a Cumulative exfiltration detection method to apply to the policy.
  14. Выберите Далее, чтобы продолжить.Select Next to continue.

  15. На странице Пороги индикатора выберите вариант использования пороговых значений индикаторов по умолчанию или указать настраиваемые пороговые значения для отдельных индикаторов.On the Indicator thresholds page, select the option to use default indicator thresholds or to specify custom thresholds for individual indicators. Для каждого индикатора выберите соответствующий уровень для создания желаемого уровня оповещений о действии.For each indicator, choose the appropriate level to generate the desired level of activity alerts.

  16. Выберите Далее, чтобы продолжить.Select Next to continue.

  17. На странице Обзор просмотрите параметры, выбранные для политики, и любые предложения или предупреждения для выбранных вами выборов.On the Review page, review the settings you've chosen for the policy and any suggestions or warnings for your selections. Выберите Изменить, чтобы изменить любое из значений политики, или выберите Отправка для создания и активации политики.Select Edit to change any of the policy values or select Submit to create and activate the policy.

Дальнейшие действияNext steps

После завершения этих действий по созданию первой политики управления рисками изнутри вы начнете получать оповещения из индикаторов активности примерно через 24 часа.After you've completed these steps to create your first insider risk management policy, you'll start to receive alerts from activity indicators after about 24 hours. Настройка дополнительных политик по мере необходимости с помощью руководства в шаге 4 этой статьи или действий в Создании новой политики риска для инсайдеров.Configure additional policies as needed using the guidance in Step 4 of this article or the steps in Create a new insider risk policy.

Дополнительные данные о расследовании оповещений об инсайдерской опасности и панели мониторинга оповещений см. в рубрике Оповещение об управлении рисками.To learn more about investigating insider risk alerts and the Alerts dashboard, see Insider risk management alerts.