Настройка интеллектуальных обнаружений в управлении внутренними рисками

Важно!

Управление внутренними рисками Microsoft Purview сопоставляет различные сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет клиентам создавать политики для управления безопасностью и соответствием требованиям. Созданные с учетом конфиденциальности по умолчанию, пользователи по умолчанию псевдонимизированы, а элементы управления доступом на основе ролей и журналы аудита позволяют обеспечить конфиденциальность на уровне пользователя.

Для настройки глобальных исключений можно использовать параметр Интеллектуальное обнаружение в Управление внутренними рисками Microsoft Purview. Например, может потребоваться исключить определенные типы файлов или домены из оценки риска. Вы также можете использовать параметр Интеллектуальное обнаружение для настройки объема оповещений или импорта Microsoft Defender для конечной точки оповещений.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Игнорировать вложения подписей электронной почты (предварительная версия)

Одним из main источников "шума" в политиках управления внутренними рисками являются изображения в подписях электронной почты, которые часто обнаруживаются как вложения в сообщениях электронной почты. Это может привести к ложноположительным срабатываниям пользователей, отправляющего потенциально конфиденциальные файлы по электронной почте. Если выбран индикатор Отправка сообщения электронной почты с вложениями получателям за пределами организации , то вложение оценивается как и любое другое вложение электронной почты, отправленное за пределы организации, даже если единственным элементом вложения является подпись электронной почты. В этой ситуации вы можете исключить вложения подписей электронной почты из оценки, включив параметр Игнорировать вложения подписей электронной почты .

Включение этого параметра значительно устраняет шум от вложений подписей электронной почты, но не полностью устраняет все шумы. Это связано с тем, что только вложение подписи электронной почты отправителя электронной почты (лицо, который инициирует сообщение электронной почты или отвечает на сообщение электронной почты) исключается из оценки. Вложение подписи для всех пользователей в строке Кому, КОПИЯ или СКК будет по-прежнему оценено. Кроме того, если кто-то изменяет подпись электронной почты, новая подпись должна быть профилирована, что может вызвать шум оповещений в течение короткого периода времени.

Примечание.

Параметр Игнорировать вложения подписи электронной почты по умолчанию отключен.

Обнаружение действий файлов

Чтобы исключить определенные типы файлов из всех сопоставлений политик управления внутренними рисками, введите расширения типов файлов, разделенные запятыми. Например, чтобы исключить определенные типы музыкальных файлов из соответствия политике, введите aac,mp3,wav,wma в поле Исключения типов файлов . Файлы с этими расширениями будут игнорироваться всеми политиками управления внутренними рисками.

Том оповещений

Потенциально рискованным действиям, обнаруженным политиками внутренних рисков, назначается определенная оценка риска, которая, в свою очередь, определяет серьезность оповещения (низкий, средний, высокий). По умолчанию управление внутренними рисками создает определенное количество оповещений с низким, средним и высоким уровнем серьезности, но вы можете увеличить или уменьшить объем в соответствии с вашими потребностями.

Чтобы настроить объем оповещений для всех политик управления внутренними рисками, выберите один из следующих параметров:

• Меньше оповещений. Вы увидите все оповещения с высоким уровнем серьезности, меньше оповещений средней серьезности и без оповещений с низким уровнем серьезности. Вы можете пропустить некоторые истинные положительные параметров, если выбрать этот уровень параметров.
• Том по умолчанию. Вы увидите все оповещения с высоким уровнем серьезности и сбалансированное количество оповещений средней и низкой серьезности.
• Дополнительные оповещения. Вы увидите все оповещения средней и высокой серьезности, а также большинство оповещений с низким уровнем серьезности. Этот уровень параметров может привести к дополнительным ложным срабатываниям.

Microsoft Defender для конечной точки состояния оповещений

Важно!

Необходимо настроить Microsoft Defender для конечной точки в организации и включить Defender для конечной точки для интеграции управления внутренними рисками в Центре безопасности Defender для импорта оповещений о нарушениях безопасности. Дополнительные сведения о настройке Defender для конечной точки для интеграции управления внутренними рисками см. в статье Настройка расширенных функций в Defender для конечной точки.

Microsoft Defender для конечной точки — это платформа безопасности конечных точек предприятия, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы корпоративных сетей. Чтобы обеспечить лучшую видимость нарушений безопасности в организации, можно импортировать и фильтровать оповещения Defender для конечной точки для действий, используемых в политиках, созданных на основе шаблонов политик нарушения безопасности управления внутренними рисками.

В зависимости от типа интересующих вас сигналов можно импортировать оповещения в управление внутренними рисками на основе состояния рассмотрения оповещений Defender для конечной точки. Вы можете определить одно или несколько из следующих состояний рассмотрения оповещений в глобальных параметрах для импорта:

• Unknown
• Создать
• Выполняется
• Устранено

Оповещения из Defender для конечной точки импортируются ежедневно. В зависимости от выбранного состояния рассмотрения вы можете увидеть несколько действий пользователей для того же оповещения, что и изменение состояния рассмотрения в Defender для конечной точки.

Например, если для этого параметра выбраны пункты Создать, Выполняется и Разрешено, то при создании оповещения Microsoft Defender для конечной точки и состоянии "Новое", для пользователя в системе управления внутренними рисками импортируется действие первоначального оповещения. Когда состояние рассмотрения Defender для конечной точки меняется на Выполняется, импортируется второе действие для этого оповещения. Когда задается окончательное состояние рассмотрения Defender для конечной точки Resolved , импортируется третье действие для этого оповещения. Эта функция позволяет следователям следить за развитием оповещений Defender для конечной точки и выбирать уровень видимости, необходимый для их исследования.

Домены

Параметры домена помогают определить уровни риска для действий по управлению рисками для определенных доменов. Эти действия включают общий доступ к файлам, отправку сообщений электронной почты, скачивание содержимого или отправку содержимого. Указав домены в этих параметрах, можно увеличить или уменьшить оценку рисков для действий по управлению рисками, выполняемых с этими доменами.

Используйте команду Добавить домен, чтобы определить домен для каждого из параметров домена. Кроме того, можно использовать подстановочные знаки для сопоставления вариантов корневых доменов или поддоменов. Например, чтобы указать sales.wingtiptoys.com и support.wingtiptoys.com, используйте подстановочные знаки "*.wingtiptoys.com" для сопоставления этих поддоменов (и любого другого поддомена на том же уровне). Чтобы указать многоуровневые поддомены для корневого домена, необходимо выбрать поле Включить многоуровневые поддомены проверка.

Для каждого из следующих параметров домена можно ввести до 500 доменов:

• Не разрешенные домены: При указании не разрешенного домена действия по управлению рисками, которые происходят с этим доменом, будут иметь более высокую оценку риска. Например, может потребоваться указать действия, связанные с предоставлением общего доступа к содержимому (например, отправка электронной почты кому-либо с gmail.com адресом), или действия, связанные с загрузкой содержимого на устройство из не разрешенного домена.

• Разрешенные домены: Действия по управлению рисками, связанные с доменом, указанным в разделе Разрешенные домены , будут игнорироваться политиками и не будут создавать оповещения. К этим действиям относятся:

  • Email, отправленные во внешние домены
  • Файлы, папки и сайты, к которым предоставлен доступ внешним доменам
  • Файлы, отправленные во внешние домены (с помощью браузера Microsoft Edge)

  При указании разрешенного домена действия по управлению рисками с этим доменом обрабатываются так же, как и внутренние действия организации. Например, домен, добавленный в раздел Разрешенные домены , может включать действие, включающее предоставление общего доступа к содержимому кому-либо за пределами организации (например, отправка электронной почты пользователю с gmail.com адресом).

• Сторонние домены: Если ваша организация использует сторонние домены для бизнес-целей (например, облачное хранилище), включите их сюда, чтобы вы могли получать оповещения о потенциально рискованных действиях, связанных с индикатором устройства, используйте браузер для скачивания содержимого со стороннего сайта.

Исключения путей к файлам

При указании путей к файлам для исключения действия пользователей, сопоставленные с определенными индикаторами и происходящие в этих расположениях пути к файлам, не будут создавать оповещения политики. Примеры включают копирование или перемещение файлов в системную папку или путь к общей сетевой папке. Для исключения можно ввести до 500 путей к файлам.

Добавление путей к файлам для исключения

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.
5. В разделе Исключения пути к файлам выберите Добавить пути к файлам для исключения.
6. В области Добавление пути к файлу введите точный сетевой ресурс или путь к устройству, чтобы исключить из оценки рисков.

Вы также можете использовать * и *([0-9]) для обозначения конкретных папок и подстановочных знаков и вложенных папок, которые следует исключить. Дополнительные сведения см. в следующих примерах.

Пример	Описание
\\ms.temp\LocalFolder\ или C:\temp	Исключает файлы непосредственно из папки и всех вложенных папок для каждого пути к файлу, начиная с введенного префикса.
\public\local\	Исключает файлы из каждого пути к файлу, содержащего введенное значение. Совпадает с "C:\Users\Public\local\", "C:\Users\User1\Public\local" и "\\ms.temp\Public\local".
C:\Users\*\Desktop	Соответствует C:\Users\user1\Desktop и C:\Users\user2\Desktop.
C:\Users\*(2)\Desktop	Соответствует C:\Users\user1\Desktop и C:\Users\user2\Shared\Desktop.

7. Выберите Добавить пути к файлам.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите в раздел Параметры>Интеллектуальные обнаружения.
4. В разделе Исключение пути к файлу выберите Добавить пути к файлам для исключения.
5. В области Добавление пути к файлу введите точный сетевой ресурс или путь к устройству, чтобы исключить из оценки рисков.

Вы также можете использовать * и *([0-9]) для обозначения конкретных папок и подстановочных знаков и вложенных папок, которые следует исключить. Дополнительные сведения см. в следующих примерах.

Пример	Описание
\\ms.temp\LocalFolder\ или C:\temp	Исключает файлы непосредственно из папки и всех вложенных папок для каждого пути к файлу, начиная с введенного префикса.
\public\local\	Исключает файлы из каждого пути к файлу, содержащего введенное значение. Совпадает с "C:\Users\Public\local\", "C:\Users\User1\Public\local" и "\\ms.temp\Public\local".
C:\Users\*\Desktop	Соответствует C:\Users\user1\Desktop и C:\Users\user2\Desktop.
C:\Users\*(2)\Desktop	Соответствует C:\Users\user1\Desktop и C:\Users\user2\Shared\Desktop.

6. Выберите Добавить пути к файлам.

Примечание.

Чтобы удалить исключение пути к файлу, выберите исключение пути к файлу и нажмите кнопку Удалить.

Исключения пути к файлам по умолчанию

По умолчанию несколько путей к файлам автоматически исключаются из создания оповещений политики. Действия в этих путях к файлам обычно являются неопасными и потенциально могут увеличить объем оповещений, не являющихся действиями. При необходимости можно отменить выбор для этих исключений пути к файлам по умолчанию, чтобы включить оценку рисков для действий в этих расположениях.

Исключения пути к файлам по умолчанию:

• \Users\*\AppData
• \Users\*\AppData\Local
• \Users\*\AppData\Local\Roaming
• \Users\*\AppData\Local\Local\Temp

Подстановочные знаки в этих путях указывают, что все уровни папок между \Users и \AppData включены в исключение. Например, действия в C:\Users\Test1\AppData\Local и C:\Users\Test2\AppData\Local, C:\Users\Test3\AppData\Local (и т. д.) будут включены и не оцениваются на риск в рамках выбора исключения \Users\*\AppData\Local .

Исключения типов конфиденциальной информации (предварительная версия)

Исключенные типы конфиденциальной информации сопоставляются с индикаторами и триггерами, связанными с файлами, для конечной точки, SharePoint, Teams, OneDrive и Exchange. Эти исключенные типы рассматриваются как типы не конфиденциальных сведений. Если файл содержит любой тип конфиденциальной информации, указанный в этом разделе, он будет оценен как риск, но не будет отображаться как действия с содержимым, связанным с типами конфиденциальной информации. Полный список типов конфиденциальной информации см. в разделе Определения сущностей типов конфиденциальной информации.

Вы можете выбрать типы конфиденциальной информации, которые будут исключены из списка всех доступных (встроенных и настраиваемых) типов, доступных в клиенте. Можно выбрать до 500 типов конфиденциальной информации, которые будут исключены.

Примечание.

Список исключений типов конфиденциальной информации имеет приоритет над списком содержимого с приоритетом .

Исключить типы конфиденциальной информации

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.
5. В разделе Типы конфиденциальной информации выберите Добавить типы конфиденциальной информации для исключения.
6. В области Добавление или изменение типов конфиденциальной информации выберите типы, которые нужно исключить.
7. Нажмите Добавить.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите в раздел Параметры>Интеллектуальные обнаружения.
4. В разделе Типы конфиденциальной информации выберите Добавить типы конфиденциальной информации для исключения.
5. В области Добавление или изменение типов конфиденциальной информации выберите типы, которые нужно исключить.
6. Нажмите Добавить.

Примечание.

Чтобы удалить исключение типа конфиденциальной информации, выберите исключение и нажмите кнопку Удалить.

Исключение обучаемого классификатора (предварительная версия)

Исключенные обучаемые классификаторы сопоставляются с индикаторами и триггерами, связанными с действиями, связанными с файлами, для SharePoint, Teams, OneDrive и Exchange. Если какой-либо файл содержит любой обучаемый классификатор, указанный в этом разделе, файл будет оценен по рискам, но не будет отображаться как действие, связанное с содержимым, связанным с обучаемыми классификаторами. Полный список предварительно обученных классификаторов см. в разделе Определения классификаторов с возможностью обучения.

Вы можете выбрать обучаемые классификаторы, которые будут исключены из списка всех доступных (встроенных и настраиваемых) типов, доступных в клиенте. Управление внутренними рисками по умолчанию исключает некоторые обучаемые классификаторы, включая угрозы, ненормативную лексику, целевые домогательства, оскорбительные формулировки и дискриминацию. Можно выбрать до 500 обучаемых классификаторов, которые будут исключены.

Примечание.

При необходимости можно выбрать обучаемые классификаторы, которые будут включены в список содержимого с приоритетом .

Исключить обучаемые классификаторы

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.
5. В разделе Обучаемые классификаторы выберите Добавить обучаемые классификаторы для исключения.
6. На панели Добавление или изменение обучаемых классификаторов выберите классификаторы, которые нужно исключить.
7. Нажмите Добавить.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите в раздел Параметры>Интеллектуальные обнаружения.
4. В разделе Обучаемые классификаторы выберите Добавить обучаемые классификаторы для исключения.
5. На панели Добавление или изменение обучаемых классификаторов выберите классификаторы, которые нужно исключить.
6. Нажмите Добавить.

Примечание.

Чтобы удалить исключение обучаемых классификаторов, выберите исключение и нажмите кнопку Удалить.

Исключения сайтов

Настройте исключения URL-адресов сайта, чтобы предотвратить создание оповещений политики для потенциальных рискованных действий, происходящих в SharePoint (и сайтов SharePoint, связанных с сайтами каналов Teams). Может потребоваться исключить сайты и каналы, содержащие не конфиденциальные файлы и данные, которые могут быть переданы заинтересованным лицам или общественности. Можно ввести до 500 url-адресов сайта, которые необходимо исключить.

Добавление путей URL-адресов сайта для исключения

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.
5. В разделе Исключение URL-адреса сайта выберите Добавить или изменить сайты SharePoint.
6. В области Добавление или изменение сайтов SharePoint введите или найдите сайт SharePoint, чтобы исключить из оценки рисков.
7. Нажмите Добавить.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите в раздел Параметры>Интеллектуальные обнаружения.
4. В разделе Исключение URL-адреса сайта выберите Добавить или изменить сайты SharePoint.
5. В области Добавление или изменение сайтов SharePoint введите или найдите сайт SharePoint, чтобы исключить из оценки рисков.
6. Нажмите Добавить.

Примечание.

• Чтобы изменить путь к URL-адресу сайта для исключения, выберите Изменить в области Добавление или изменение сайтов SharePoint .
• Чтобы удалить исключение URL-адреса сайта, выберите исключение URL-адреса сайта и нажмите кнопку Удалить.

Исключение ключевых слов

Настройте исключения для ключевых слов, которые отображаются в именах файлов, путях к файлам или строках темы сообщений электронной почты. Это обеспечивает гибкость для организаций, которым необходимо уменьшить потенциальную частоту оповещений из-за пометки неопасных условий, указанных для вашей организации. Такие действия, связанные с файлами или темами электронной почты, содержащими ключевое слово, будут игнорироваться политиками управления внутренними рисками и не будут создавать оповещения. Для исключения можно ввести до 500 ключевых слов.

Используйте исключение, только если оно не содержит поле для определения определенных групп терминов, которые следует игнорировать для исключения. Например, если вы хотите исключить ключевое слово "обучение", но не исключить "обучение по соответствию", введите "соответствие" (или "обучение по соответствию") в поле Исключить, только если оно не содержит поле и "обучение" в поле Но содержит.

Если вы просто хотите исключить определенные автономные термины, введите их только в поле Но содержит .

Добавление автономных ключевых слов для исключения

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Нажмите кнопку Параметры в правом верхнем углу страницы.
3. Выберите Управление внутренними рисками , чтобы перейти к параметрам управления внутренними рисками.
4. В разделе Параметры внутренних рисков выберите Интеллектуальные обнаружения.
5. В разделе Исключение ключевых слов введите автономные ключевые слова в поле Но содержит .
6. Нажмите кнопку Сохранить, чтобы настроить исключения ключевое слово.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.
2. Перейдите к решению для управления внутренними рисками .
3. Перейдите в раздел Параметры>Интеллектуальные обнаружения.
4. В разделе Исключение ключевых слов введите автономные ключевые слова в поле Но содержит .
5. Нажмите кнопку Сохранить, чтобы настроить исключения ключевое слово.

Чтобы удалить изолированный ключевое слово исключить:

1. В разделе Исключение ключевых слов выберите X для конкретной автономной ключевое слово в поле Но содержит. Повторите при необходимости, чтобы удалить несколько ключевых слов.
2. Нажмите кнопку Сохранить.