Исследование действий по управлению рисками изнутри

Изучение рискованных действий пользователей является важным первым шагом к сведению к минимуму рисков, связанных с инсайдерской деятельностью для организации. Эти риски могут быть действиями, которые генерируют оповещения из инсайдерской политики управления рисками, или рисками от действий, которые обнаруживаются политиками, но не сразу создают оповещение об управлении рисками для пользователей. Вы можете исследовать эти типы действий с помощью отчетов о действиях пользователя (предварительный просмотр) или панели мониторинга оповещения.

Отчеты о действиях пользователей (предварительный просмотр)

Отчеты о действиях пользователей позволяют проверять действия определенных пользователей в течение определенного периода времени, не назначая их временно или явно политике управления рисками. В большинстве сценариев управления рисками изнутри пользователи явно определяются в политиках, и у них могут быть оповещения о политике (в зависимости от событий запуска) и оценки риска, связанные с действиями. Но в некоторых сценариях может потребоваться изучить действия для пользователей, которые явно не определены в политике. Эти действия могут быть для пользователей, которые получили подсказки о пользователе и потенциально рискованных действиях, или для пользователей, которые обычно не должны быть назначены политике управления рисками изнутри.

После настройки индикаторов на странице управления рисками Параметры, пользовательская активность обнаруживается для рискованных действий, связанных с выбранными индикаторами. Вам не нужно настраивать политику для отчетов о действиях пользователей, чтобы обнаруживать и сообщать о рискованных действиях пользователей в вашей организации. Действия, включенные в отчеты о действиях пользователей, не требуют запуска событий для отображения действий. Эта конфигурация означает, что все обнаруженные действия для пользователя доступны для проверки независимо от того, имеется ли событие-триггер или создается оповещение. Отчеты создаются на основе каждого пользователя и могут включать все действия в течение настраиваемого 90-дневного периода. Несколько отчетов для одного пользователя не поддерживаются.

После изучения действий для пользователя следователи могут отклонять отдельные действия как доброкачественные, делиться или отправлять ссылку на отчет с другими следователями или назначать пользователя временно или явно в политику управления рисками. Чтобы просмотреть страницу отчетов о действиях пользователя, пользователи должны быть назначены в группу "Эксперты по управлению рисками" (Insider Risk Management Investigators).

Обзор отчета об активности пользователей по управлению рисками.

Вы можете начать работу, выбрав раздел Управление отчетами в разделе Исследование действий пользователей на странице Обзор управления рисками. Чтобы просмотреть действия для пользователя, сначала выберите Создать отчет о действиях пользователя и завершить следующие поля в области отчетов о действиях новых пользователей:

  • Пользователь. Поиск пользователя по имени или адресу электронной почты
  • Дата начала. Для выбора даты начала действий пользователя используйте управление календарем.
  • Дата окончания. Для выбора даты окончания действий пользователя используйте управление календарем. Выбранная дата должна быть больше, чем через два дня после выбранной даты начала и не более 90 дней с выбранной даты начала. Новые отчеты обычно принимаются до 10 часов, прежде чем они будут готовы к проверке. Когда отчет будет готов, вы увидите отчет, готовый в столбце Состояние на странице отчета о действии пользователя. Выберите пользователя, чтобы просмотреть подробный отчет:

Отчет об активности пользователя по управлению рисками, связанный с инсайдерской деятельностью.

Отчет о действии пользователя для выбранного пользователя содержит вкладки User activity и Activity Explorer:

  • Действия пользователей. Используйте это представление диаграммы для изучения действий и просмотра потенциальных действий, которые происходят в последовательности. Эта вкладка структурирована для быстрого рассмотрения дела, включая историческую шкалу всех действий, сведения о деятельности, текущую оценку риска для пользователя в данном случае, последовательность событий риска и элементы управления фильтрацией, чтобы помочь в расследовании.
  • Обозреватель действий. Вкладка Обозреватель действий предоставляет следователям по рискам комплексный аналитический инструмент, который предоставляет подробные сведения о действиях. С помощью обозревателя активности рецензенты могут быстро просмотреть хронологию обнаруженной рискованной активности и определить и фильтровать все действия риска, связанные с оповещениями. Дополнительные информацию об использовании обозревателя действий см. в разделе Обозреватель действий в этой статье.

Панель мониторинга оповещений

Оповещения управления инсайдерскими рисками автоматически создаются на основе индикаторов риска, определенных в политиках управления инсайдерскими рисками. Эти оповещения предоставляют аналитикам и расследователям общую картину текущего состояния рисков и позволяют организации оценивать выявленные риски и принимать меры. По умолчанию политики генерируют определенное количество оповещений о низкой, средней и высокой степени тяжести, но вы можете увеличить или уменьшить объем оповещений в соответствии с вашими потребностями. Кроме того, можно настроить пороговое значение оповещения для индикаторов политики при создании новой политики с помощью средства создания политики.

Ознакомьтесь с видеомагой "Управление рисками, связанными с инсайдерской деятельностью", чтобы узнать, как оповещений предоставляют сведения, контекст и связанное содержимое для рискованных действий и как сделать процесс расследования более эффективным.

Панель оповещений о рисках для инсайдеров позволяет просматривать и действовать в отношении оповещений, созданных политиками риска инсайдеров. Каждый виджет отчета отображает сведения за последние 30 дней.

  • Общее число оповещений, которые требуют проверки: общее число оповещений, необходимых для проверки и проверки, включая разбивку по степени серьезности оповещения.
  • Открытие оповещений за последние 30 дней. Общее число оповещений, созданных в матчах политик за последние 30 дней, отсортировали по высоким, средним и низким уровням серьезности оповещения.
  • Среднее время для устранения оповещений: сводка полезной статистики оповещений:
    • Среднее время закрытия оповещений высокого уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений среднего уровня серьезности в часах, днях или месяцах.
    • Среднее время закрытия оповещений низкого уровня серьезности в часах, днях или месяцах.

Панель оповещений об управлении рисками изнутри.

Примечание

Для защиты и оптимизации системы исследования и анализа рисков в системе управления внутренними рисками используется встроенный механизм регулирования оповещений. Он защищает от проблем, которые могут привести к избыточным оповещениям политик, например из-за неправильной настройки соединителей данных или политик DLP. В результате может возникать задержка при отображении новых оповещений для пользователя.

Состояние и серьезность оповещений

Можно переделыть оповещения в один из следующих статусов:

  • Подтверждено: оповещение подтверждено и назначено новому или существующему делу.
  • Отклонено: оповещение, отклонено как доброкачественная в процессе триажа.
  • Обзор потребностей. Новое оповещение, в котором еще не приняты действия по триажу.
  • Разрешено. Оповещение, которое является частью закрытого и разрешенного дела.

Оценки риска оповещений автоматически вычисляются из нескольких показателей активности риска. Эти индикаторы включают тип активности риска, количество и частоту возникновения активности, историю активности риска пользователей и добавление рисков активности, которые могут повысить серьезность деятельности. На основе оценки риска оповещений осуществляется программное назначение уровня серьезности риска для каждого оповещения, и этот механизм не настраивается. Если оповещения остаются невыявляемы, а действия риска продолжают накапливаться в оповещении, уровень серьезности риска может увеличиться. Аналитики рисков и исследователи могут использовать серьезность риска оповещения, чтобы помочь в проверке оповещений в соответствии с политиками и стандартами вашей организации.

Уровень серьезности риска оповещений:

  • Высокая серьезность. Действия и индикаторы оповещения представляют значительный риск. Связанные с этим действия риска являются серьезными, повторяющимися и сильно связаны с другими существенными факторами риска.
  • Средняя серьезность. Действия и индикаторы оповещения представляют умеренный риск. Соответствующие небезопасные действия являются умеренными и частыми и некоторым образом связаны с другими значимыми факторами риска.
  • Низкая серьезность. Действия и индикаторы оповещения представляют незначительный риск. Связанные действия риска являются незначительными, более редкими и не связаны с другими существенными факторами риска.

Фильтрация оповещений на панели оповещений

В зависимости от количества и типа активных политик управления внутренними рисками в организации просмотреть большую очередь оповещений может быть непросто. Использование фильтров оповещений может помочь аналитикам и следователям сортировать оповещения по нескольким атрибутам. Для фильтрации оповещений на панели оповещений выберите управление фильтром. Можно фильтровать оповещения по одному или более атрибутам:

  • Состояние. Выберите одно или несколько значений состояния для фильтрации списка оповещений. Доступные параметры: Подтверждено, Закрыто, Требуется проверка и Устранено.
  • Серьезность. Выберите один или несколько уровней серьезности риска для фильтрации списка оповещений. Возможные варианты: Высокий, Средний и Низкий.
  • Обнаружено время: Выберите даты начала и окончания для создания оповещений. Этот фильтр выполняет поиск оповещений между UTC 00:00 в дату начала и UTC 00:00 в конец даты. Чтобы отфильтровать оповещения за определенный день, введите дату дня в поле Дата начала и дату следующего дня в поле Дата окончания.
  • Политика. Выберите одну или несколько политик для фильтрации оповещений, созданных выбранными политиками.

Оповещение о поиске на панели мониторинга оповещения

Чтобы найти в названии оповещения определенное слово, выберите поле поиска и введите соответствующий запрос. В результатах поиска отображаются все оповещение политик, содержащие искомое слово.

Отклонять несколько оповещений (предварительный просмотр)

Это может помочь сэкономить время для аналитиков и исследователей, чтобы немедленно отклонять несколько оповещений одновременно. Параметр Панели командных оповещений Dismiss оповещений позволяет выбрать одно или несколько оповещений со статусом проверки потребностей на панели мониторинга и быстро отклонять эти оповещений как допустимые в процессе проверки. Одновременно можно выбрать до 400 оповещений.

Чтобы отклонять оповещение о рисках, выполните следующие действия:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите вкладку Alerts.
  2. На панели оповещений выберите оповещение (или оповещение) с состоянием проверки потребностей, которое необходимо отклонять.
  3. В панели команд оповещений выберите оповещений об увольнении.
  4. На области детализации оповещений Об увольнении можно просмотреть сведения о пользователе и политике, связанные с выбранными оповещениями.
  5. Выберите оповещений Об отклонении, чтобы устранить предупреждения в качестве доброкачественной, или выберите Отмена, чтобы закрыть области сведений без отмены оповещений.

Оповещений по триажу

Чтобы выполнить список оповещений о рисках, выполните следующие действия:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите вкладку Alerts.

  2. На панели оповещений выберите оповещение, необходимое для переделки.

  3. На странице Оповещение можно просмотреть сведения о оповещении и подтвердить предупреждение и создать новый случай, подтвердить оповещение и добавить в существующий случай или отклонять предупреждение. На этой странице также содержится текущее состояние оповещений и уровень серьезности риска оповещения, указанный как High, Medium или Low. Уровень серьезности может со временем увеличиваться или уменьшаться, если оповещение не будет триагировали.

    Вкладки на странице Оповещение подробно предоставляют дополнительные сведения для оповещения:

    • Сводка. Эта вкладка содержит общие сведения о оповещении.
      • Что было событием-триггером?: Отображает последнее событие запуска, которое побудило политику приступить к назначению баллов риска действию пользователя.
      • Действие, которое породило это оповещение: отображает верхнее соответствие действий и политики в период оценки активности, который привел к сгенерированию оповещения.
      • Сведения о рисках для действий в этом оповещении: отображает количество любых выводов о рисках для оповещения. Например, если предупреждение содержит действия последовательности, совокупный риск активности эксфильтрации, действия, которые включают события с неопроверченными доменами, действия, которые включают события с приоритетным контентом или действия, которые являются необычными для пользователя.
      • Сведения о пользователях. Отображает общие сведения о пользователе, назначенного оповещению. Если включена анонимизация, имя пользователя, адрес электронной почты, псевдоним и поля организации анонимизируются.
      • Сведения об оповещении. Включает время с момента с момента сгенерирований оповещений, перечислены политики, которые создали оповещение, и случай, созданный из оповещения. Для новых оповещений поле Case отображает None.
      • Обнаруженное содержимое: включает содержимое, связанное с действиями риска для оповещения, и суммирует события действий по ключевым областям. Выбор ссылки действий открывает проводник действий и отображает дополнительные сведения о действии.
    • Обозреватель действий. Эта вкладка открывает проводник действий. Дополнительные сведения см. в следующем разделе в этой статье.

Обозреватель действий

Примечание

Обозреватель действий доступен в области управления оповещениями для пользователей с запусками событий после того, как эта функция будет доступна в организации.

Обозреватель действий предоставляет следователям и аналитикам по рискам комплексный аналитический инструмент, который предоставляет подробные сведения о оповещениях. С помощью обозревателя активности рецензенты могут быстро просмотреть хронологию обнаруженной рискованной активности и определить и фильтровать все действия риска, связанные с оповещениями.

Для фильтрации оповещений в проводнике активности для получения сведений о столбцах выберите контроль фильтра. Вы можете фильтровать оповещения по одному или более атрибутам, указанным в области сведений для оповещения. Обозреватель действий также поддерживает настраиваемые столбцы, чтобы помочь следователям и аналитикам сосредоточить панель мониторинга на наиболее важных для них сведениях.

Используйте фильтры области действия и анализа рисков для отображения и сортировки действий и анализов для следующих областей.

  • Фильтры области действий: фильтрует все забитые действия для пользователя.

    • Все забитые действия для этого пользователя
    • Только забитые действия в этом оповещении
  • Фильтры анализа рисков: фильтры для действий, применимых для всех политик, назначающих оценки риска.

    • Накопительные действия эксфильтрации
    • Включает событие с приоритетным контентом
    • Включает событие с незаверяемой областью
    • Действия последовательности
    • Необычное действие

Обзор обозревателя действий по управлению рисками.

Чтобы использовать проводник действий, выполните следующие действия:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите вкладку Alerts.
  2. На панели оповещений выберите оповещение, необходимое для переделки.
  3. На области детализации Оповещений выберите открыть расширенное представление.
  4. На странице выбранного оповещения выберите вкладку Обозреватель действий.

При просмотре действий в проводнике действий исследователи и аналитики могут выбрать определенное действие и открыть области сведений о действиях. В области отображаются подробные сведения о действиях, которые следователи и аналитики могут использовать во время процесса проверки оповещений. Подробные сведения могут предоставить контекст оповещения и помочь определить полный объем действий по риску, которые вызвали оповещение.

При выборе событий действия из временной шкалы действий количество действий, отображающихся в проводнике, может не совпадать с числом событий действий, перечисленных в временной шкале. Примеры того, почему такое различие может возникать:

  • Совокупное обнаружение эксфильтрации. Накопительное обнаружение эксфильтрации анализирует журналы событий, но применяет модель, которая включает в себя дублирование аналогичных действий для вычисления накопительного риска эксфильтрации. Кроме того, может также быть разница в количестве действий, отображаемых в проводнике действий, если вы влили изменения в существующую политику или параметры. Например, если после создания политики и совпадений действий изменить разрешенные или незаверяющиеся домены или добавить новые исключения типа файлов, совокупные действия по обнаружению эксфильтрации будут отличаться от результатов до изменения политики или параметров. Суммарные итоговые показатели активности обнаружения эксфильтрации основаны на конфигурации политик и параметров на момент вычисления и не включают действия до изменений политики и параметров
  • Сообщения электронной почты внешним получателям. Активности для сообщений, отправленных внешним получателям, назначена оценка риска в зависимости от количества отправленных сообщений, которые могут не совпадать с журналами событий действий.

Сведения об обозревателе действий по управлению рисками.

Создание случая оповещения

По мере проверки и проверки оповещений можно создать новый случай для дальнейшего изучения активности риска. Чтобы создать случай оповещения, выполните следующие действия:

  1. В Центр соответствия требованиям Microsoft 365перейдите к управлению рисками insider и выберите вкладку Alerts.
  2. На панели оповещений выберите оповещение, необходимое для подтверждения и создания нового случая.
  3. На области сведений оповещений выберите > Действия, подтверждающие оповещения, & создать случай .
  4. В диалоговом оклике Подтвердите оповещение и создайте диалоговую ситуацию с инсайдерской угрозой, введите имя дела, выберите пользователей для добавления в качестве участников и добавьте комментарии в соответствии с применимыми. В качестве заметки к делу автоматически добавляются комментарии.
  5. Выберите Создание случая для создания нового случая или выберите Отмена, чтобы закрыть диалоговое окно без создания дела.

После создания дела следователи и аналитики могут управлять и действовать по этому делу. Дополнительные сведения см. в статье Insider risk management case.

Справка по управлению очередью оповещений о рисках изнутри

Проверка, исследование и действия в отношении оповещений о рисках, связанных с инсайдерской деятельностью, являются важными частями сведения к минимуму рисков, связанных с инсайдерской деятельностью в организации. Быстрое принятие мер по минимизации воздействия этих рисков может потенциально сэкономить время, деньги, а также нормативные или юридические последствия для вашей организации. В этом процессе исправлений первый шаг проверки оповещений может показаться самой сложной задачей для многих аналитиков и исследователей. В зависимости от обстоятельств вы можете столкнулись с некоторыми незначительными препятствиями при действиях по инсайдерской оповещений о рисках. Просмотрите следующие рекомендации и узнайте, как оптимизировать процесс проверки оповещений.

Слишком много оповещений для проверки

Быть перегруженным количеством оповещений, производимых вашими политиками управления рисками изнутри, может удручать. Количество оповещений можно быстро устранить простыми шагами в зависимости от типов громкости оповещений, которые вы получаете. Вы можете получать слишком много действительных оповещений или слишком много устаревших оповещений с низким уровнем риска. Рассмотрите следующие действия:

  • Настройка политики риска изнутри. Выбор и настройка правильной политики риска для инсайдеров является самым основным методом для решения типа и объема оповещений. Начиная с соответствующего шаблона политики, вы сможете сосредоточиться на видах действий и оповещений, которые вы увидите. Другими факторами, которые могут повлиять на объем оповещений, являются размер пользователя и групп, а также содержимого и каналов, которые имеют приоритет. Рассмотрите возможность корректировки политик для уточнения этих областей до наиболее важных для организации.
  • Изменение параметров риска для инсайдеров. Параметры риска для инсайдеров включают широкий спектр параметров конфигурации, которые могут повлиять на объем и типы получаемых предупреждений. К ним относятся параметры для показателей политики, пороговыезначения индикаторов и временные рамки политик. Настройка параметров интеллектуальных обнаружения для исключения определенных типов файлов, определение минимальных пороговых значений до того, как политики сообщают о оповещениях о действиях, и изменение конфигурации громкости оповещений на более низкий параметр.
  • Массовое удаление оповещений, если это применимо. Это может помочь сэкономить время для аналитиков и исследователей, чтобы немедленно отклонять сразу несколько оповещений. Одновременно можно выбрать до 400 оповещений.

Не знакомые с процессом оповещения

Исследование и действия по оповещениям в управлении рисками в инсайдерской области просты:

  1. Просмотрите панель оповещений для оповещений с состоянием проверки потребностей. Фильтруя состояние оповещений, если это необходимо, чтобы помочь найти эти типы оповещений.
  2. Начните с оповещений с самой высокой степенью серьезности. Фильтруя степень серьезности оповещений, если это необходимо, чтобы помочь найти эти типы оповещений.
  3. Выберите оповещение, чтобы узнать больше информации и просмотреть сведения об оповещении. При необходимости используйте обозреватель действий, чтобы просмотреть хронологию связанного рискованного поведения и определить все действия риска для оповещения.
  4. Действовать в оповещении. Вы можете подтвердить и создать случай для оповещения или отклонять и устранить предупреждение.

Ограничения ресурсов в организации

Современные пользователи на рабочем месте часто имеют широкий спектр обязанностей и требований к своему времени. Для устранения ограничений ресурсов можно принять несколько действий:

  • Сначала сосредоточь усилия аналитика и следователя на самых высоких оповещениях о рисках. В зависимости от политик вы можете захватывать действия и создавать оповещения с различной степенью потенциального влияния на усилия по смягчению рисков. Фильтрация оповещений по степени серьезности и приоритеты оповещений с высокой степенью серьезности.
  • Назначение пользователей аналитиками и следователями. Наличие правильного пользователя, назначенного на соответствующие роли, является важной частью процесса проверки оповещений о рисках. Убедитесь, что соответствующие пользователи назначены группам экспертов по управлению рисками и экспертам по управлению рисками.
  • Используйте автоматические функции инсайдерской опасности для обнаружения наиболее рискованных действий. Обнаружение последовательности управления рисками изнутри и накопительные функции обнаружения эксфильтрации помогут вам быстрее обнаружить риски в организации. Рассмотрите возможность тонкой настройки ускорителей оценки риска,исключений типа файлов,доменов ипараметров минимального порогового значения индикатора для политик.