Включение аналитики в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Включение аналитики Управление внутренними рисками Microsoft Purview обеспечивает два важных преимущества. Если аналитика включена, вы можете:

• Проводите оценку потенциальных внутренних рисков в организации без настройки политик внутренних рисков.
• Получите рекомендации по настройке пороговых параметров индикатора в режиме реального времени.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Проведение оценки внутренних рисков в организации

Управление внутренними рисками Microsoft Purview аналитика позволяет оценивать потенциальные внутренние риски в организации без настройки политик внутренних рисков. Эта оценка поможет вашей организации определить потенциальные области повышенного риска пользователей и определить тип и область политик управления внутренними рисками, которые вы можете настроить. Сканирование аналитики обеспечивает следующие преимущества для вашей организации:

• Простота настройки. Чтобы приступить к проверке аналитических данных, выберите Выполнить сканирование по запросу рекомендации аналитики или перейдите в раздел Параметры> предварительного анализа рискови включите аналитику.
• Конфиденциальность по умолчанию. Отсканированные результаты и аналитические сведения возвращаются как агрегированные и анонимные действия пользователей. Отдельные имена пользователей не идентифицируются рецензентами. Так как управление внутренними рисками не классифицирует какие-либо удостоверения в организации для аналитики, решение учитывает все имена участников-пользователей и удостоверения, которые могут быть вовлечены в данные, покидающие границу организации. Это могут быть учетные записи пользователей, системные учетные записи, гостевые учетные записи и т. д.
• Понимание потенциальных рисков с помощью консолидированной аналитики. Результаты сканирования помогут быстро определить потенциальные области риска для пользователей и определить, какая политика лучше всего поможет снизить эти риски.

Ознакомьтесь с видео аналитики внутренних рисков , чтобы понять, как аналитика может помочь ускорить выявление потенциальных внутренних рисков.

Области, проверенные

Аналитика проверяет действия по управлению рисками из нескольких источников, чтобы выявить аналитические сведения о потенциальных областях риска. В зависимости от текущей конфигурации аналитика ищет действия с квалифицирующими рисками в следующих областях:

• Журналы аудита Microsoft 365. Это основной источник для выявления большинства потенциально рискованных действий.
• Exchange Online. Включаемые во все проверки действия Exchange Online помогают определить действия, в которых данные во вложениях отправляются по электронной почте внешним контактам или службам.
• Microsoft Entra ID: во всех проверках журнал Microsoft Entra помогает выявлять рискованные действия, связанные с пользователями с удаленными учетными записями пользователей.
• Соединитель данных отдела кадров Microsoft 365. Если он настроен, события соединителя кадров помогают выявлять рискованные действия, связанные с пользователями, у которых есть даты увольнения или предстоящие даты прекращения.

Аналитические сведения от проверок основаны на одних и том же сигналах действий по управлению рисками, используемых политиками управления внутренними рисками, и результаты отчета на основе отдельных и последовательностей действий пользователей. Однако оценка рисков для аналитики основана на активности до 10 дней, в то время как политики внутренних рисков используют ежедневную активность для получения аналитических сведений. При первом включении и запуске аналитики в организации вы увидите результаты сканирования за один день. Если оставить аналитику включенной, вы увидите результаты каждой ежедневной проверки, добавляемой в аналитические отчеты за максимальный диапазон действий за предыдущие 10 дней.

Получение рекомендаций по настройке пороговых параметров индикаторов в режиме реального времени

Настройка политик вручную для снижения "шума" может занять очень много времени, и вам потребуется много проб и ошибок, чтобы определить нужную конфигурацию для политик. Если аналитика включена, вы можете получить аналитические сведения в режиме реального времени, которые помогут эффективно настроить выбор индикаторов и пороговых значений вхождения действий, чтобы не получать слишком мало или слишком много оповещений политики. Узнайте больше об использовании аналитики в режиме реального времени для управления объемом оповещений.

Включение аналитики и запуск проверки потенциальных внутренних рисков в организации

Чтобы включить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или "Глобальный администратор Microsoft 365 ".

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. На вкладке Обзор прокрутите вниз до карта Аналитика внутренних рисков, а затем в разделе Проверка на наличие внутренних рисков в организации выберите Запустить сканирование. Это включает проверку аналитики для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для проверки.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. На вкладке Обзор прокрутите вниз до карта Аналитика внутренних рисков, а затем в разделе Проверка на наличие внутренних рисков в организации выберите Запустить сканирование. Это включает проверку аналитики для вашей организации. Результаты сканирования аналитики могут занять до 48 часов, прежде чем аналитические сведения будут доступны в виде отчетов для проверки.

Совет

Вы также можете включить проверку в организации с помощью кнопки Параметры в верхней части любой страницы управления внутренними рисками. После нажатия кнопки выберите Аналитика, а затем включите параметр .

Просмотр аналитических сведений после первого сканирования аналитики

После завершения первой аналитической проверки для вашей организации члены группы ролей Администраторы управления внутренними рисками автоматически получат уведомление по электронной почте и смогут просматривать первоначальные аналитические сведения и рекомендации по потенциально рискованным действиям пользователей. Ежедневные проверки продолжаются, если вы не отключите аналитику для своей организации. Email уведомления администраторам предоставляются для каждой из трех область категорий для аналитики (утечки данных, кражи и кражи) после первого случая потенциально рискованных действий в вашей организации. Email уведомления не отправляются администраторам для последующего обнаружения действий по управлению рисками в результате ежедневных проверок.

Примечание.

Если параметр Аналитика отключен, а затем снова включен, автоматические Уведомления по электронной почте сбрасываются и Уведомления по электронной почте отправляются членам группы ролей Администраторы управления внутренними рисками для получения новых аналитических сведений о проверке.

Чтобы просмотреть потенциальные риски для вашей организации, перейдите на вкладку Обзор, а затем на карта Аналитика внутренних рисков выберите Просмотреть результаты.

Примечание.

Если проверка вашей организации не завершена, появится сообщение о том, что проверка по-прежнему активна.

Для завершенного анализа вы увидите потенциальные риски, обнаруженные в вашей организации, а также аналитические сведения и рекомендации по устранению этих рисков. Выявленные риски и конкретные аналитические сведения включаются в отчеты, сгруппированные по областям, общему числу пользователей (все типы учетных записей Microsoft Entra, включая учетные записи пользователей, гостей, систем и т. д.) с выявленными рисками, процентом этих пользователей с потенциально рискованной деятельностью и рекомендуемой политикой внутренних рисков для снижения этих рисков. К отчетам относятся:

• Аналитика утечек данных. Для всех пользователей, которые могут включать случайный общий доступ к информации за пределами организации или утечки данных пользователями со злонамеренными намерениями.
• Аналитика кражи данных. Для уходящих пользователей или пользователей с удаленными Microsoft Entra учетными записями, которые могут включать в себя рискованный обмен информацией за пределами организации или кражу данных пользователями со злонамеренными намерениями.
• Основные аналитические сведения о краже: для всех пользователей, которые могут включать общий доступ к данным за пределами вашей организации.

Чтобы отобразить дополнительные сведения для аналитических сведений, выберите Просмотреть сведения , чтобы отобразить область сведений для аналитических сведений. Область сведений содержит полные результаты аналитических сведений, рекомендации по политике внутренних рисков и кнопку Создать политику , чтобы быстро создать рекомендуемую политику. Если выбрать Создать политику , вы перейдете к мастеру политик и автоматически выбирает рекомендуемый шаблон политики, связанный с аналитическими сведениями. Например, если аналитика используется для действия кражи данных , шаблон политики кражи данных будет предварительно выбран в мастере политик.

Отключение аналитики

Чтобы отключить аналитику внутренних рисков, необходимо быть членом группы ролей "Управление внутренними рисками", "Администраторы управления внутренними рисками" или глобального администратора Microsoft 365.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Аналитика, а затем отключите этот параметр.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Нажмите кнопку Параметры и выберите Аналитика.
4. На странице Аналитика отключите параметр .

После отключения аналитики:

• Аналитические отчеты аналитики останутся статическими и не будут обновляться для новых рисков.
• Вы не сможете просматривать аналитику в режиме реального времени при настройке пороговых параметров индикатора для политик.